セキュリティ : Cisco ASA 5500-X with FirePOWER Services

ASA 5585-X ハードウエアモジュールの FirePOWER (SFR)サービスのインストール

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

ASA FirePOWER モジュール、別名 ASA SFR、提供次世代ファイアウォールサービス、次世代 IPS (NGIPS)を含む、アプリケーション表示およびコントロール(AVC)、URLフィルタリングおよび Malware 先発保護(AMP)。 単一かマルチ コンテキスト モードとルーティングされるでまたは透過モード モジュールを使用できます。 この資料は ASA 5585-X ハードウエアモジュールの FirePOWER (SFR)モジュールの前提条件およびインストールプロセスを説明したものです。 それはまた FireSIGHT Management Center の SFR モジュールを登録するためにステップを提供します。

: FirePOWER (SFR)サービスは ASA 5585-X にハードウエアモジュールにインストールプロセスに、5555-X シリーズ アプライアンスを通した ASA 5512-X の FirePOWER サービスがソフトウエアモジュールでインストールされている一方、生じる相違点住みます。

Nazmul Rajib およびベン Ritter によって貢献される、Cisco TAC エンジニア。

前提条件

要件

この資料に関する手順は特権EXECモードにアクセスを必要とします。 特権EXECモードにアクセスするために、enable コマンドを入力して下さい。 パスワードが設定 されなかった場合、ちょうど押された入力。

ciscoasa> enable
Password:
ciscoasa#

FirePOWER サービスを ASA でインストールするために、次のコンポーネントは必要です:

  • ASA ソフトウェア バージョン 9.2.2 またはより大きい
  • ASA 5585-X プラットフォーム
  • FirePOWER モジュールのマネージメントインターフェイスによって到達可能 TFTPサーバ
  • バージョン 5.3.1 または それ 以上との FireSIGHT Management Center

: この文書に記載されている情報は特定のラボ 環境のデバイスから作成されます。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

はじめに

SSP-CX (わかっているコンテキスト)または AIP-SSM のような FirePOWER (SFR)サービス SSP 以外ハードウエアモジュールが(高度インスペクションおよび防止セキュリティ)あれば ASA SSM を与えられる ASA 5585-X シャーシの 2 つのスロットの 1 つを、他のモジュール SSP-SFR のための領域を作るためにアンインストールされなければなりません常にふさぎます。 ハードウエアモジュールを取り外す前に、モジュールをシャットダウンするために次のコマンドを実行して下さい:

ciscoasa# hw-module module 1 shutdown

ケーブル接続および管理

  • ASA 5585-X の ASA のコンソールによって SFR モジュールのシリアルポートにアクセスできません。
  • SFR モジュールが提供されれば、「セッション 1" コマンドを使用してブレードにセッションできます。
  • 完全に SFR モジュールにおよび ASA のマネージメントインターフェイスとは別にあり、コンソール接続を行う ASA 5585-X の SFR モジュールをイメージ変更するために、シリアル マネージメントポートの管理イーサネット インターフェイスおよびコンソール セッションを利用して下さい。

ヒント: SFR モジュールの管理 IP および関連する防御センターを取得するかどれが ASA のモジュールのステータスを見つけるために、「show module 1 詳細」を命じます実行して下さい。

ASA で FirePOWER (SFR)モジュールをインストールして下さい

1. Cisco.com から ASA FirePOWER マネージメントインターフェイスからアクセス可能な TFTPサーバに ASA FirePOWER SFR モジュール頭文字ブートストラップ イメージをダウンロードして下さい。 「asasfr ブート5.3.1 152.img" のようにイメージ名見え

2. Cisco.com から ASA FirePOWER マネージメントインターフェイスからアクセス可能な HTTP、HTTPS、または FTP サーバに ASA FirePOWER システム ソフトウェアをダウンロードして下さい。


3. SFR モジュールを再起動して下さい

オプション 1: SFR モジュールにパスワードを持たない場合、モジュールを再起動するために ASA からの次のコマンドを発行できます。

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1


オプション 2: SFR モジュールにパスワードがある場合、コマンド・ラインからのセンサーを直接リブートできます。

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot


4. ROMMON にモジュールを置くために ESCAPE を使用して SFR モジュールまたはターミナルセッション ソフトウェアのブレークシーケンスのブートプロセスを割り込んで下さい。

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14

<truncated output>

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. IP アドレスの SFR モジュール マネージメントインターフェイスを設定し、TFTPサーバの位置を示し、ブートストラップ イメージにパスを TFTP して下さい。 インターフェイスの IP アドレスを設定 し、TFTP イメージを取得する次のコマンドを入力して下さい:

  • set
  • アドレス = Your_IP_Address
  • ゲートウェイ = Your_Gateway
  • サーバ = Your_TFTP_Server
  • IMAGE = Your_TFTP_Filepath
  • sync
  • TFTP


! 使用される例 IP アドレス 情報。 環境のためのアップデート。

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000


6. 初期ブート イメージへのログイン。 admin としておよびパスワード Admin123 でログイン

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands

 
7. モジュールのマネージメントインターフェイスの IP アドレスを設定するのに初期ブート イメージを使用して下さい。 ウィザードを入力する setup コマンドを入力して下さい。 次の情報のためにプロンプト表示されます:

  • Hostname: 65 までの英数字、領域無し。 ハイフンは許可されます。
  • ネットワーク アドレス: 静的な IPv4 または IPv6 アドレスを設定できますまたは DHCP (IPv4 のために)または IPv6 ステートレス自動設定を使用して下さい。
  • DNS 情報: 少なくとも 1 つの DNSサーバを識別して下さいまたドメイン名を設定 し、ドメインを検索できます。
  • NTP 情報: NTP を有効に し、システムの時刻を設定 するための NTP サーバを、設定できます。

! 使用される情報例。 環境のためのアップデート。

asasfr-boot>setup

Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration

IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1

IPv6 Configuration: Stateless autoconfiguration

DNS Configuration:
DNS Server: 198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. システム インストール コマンドを使用してシステムソフトウェアイメージを引っ張り、インストールするのにブートイメージを使用して下さい。 確認 の メッセージに応答したいと思わない場合 noconfirm オプションを含んで下さい。 .pkg ファイルの位置と URL キーワードを取り替えて下さい。

asasfr-boot> system install [noconfirm] url

次に例を示します。

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying
Downloading
Extracting

Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process ...
Populating new system image ...

: インストールが 20 から 30 分に完了するとき、リブートするために入力 キーを押すためにプロンプト表示されます。 割り当てアプリケーション コンポーネント の インストールと開始するべき ASA FirePOWER サービスのための 10 のまたはより多くの分。 show module はとして 1 詳細出力すべてのプロセスを表示する必要があります。

インストールの間のモジュール状況

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive

正常なインストールの後のモジュール状況

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true

設定

FirePOWER ソフトウェアを設定して下さい


1.You は次のいずれかの外部ポートによって ASA 5585-X FirePOWER モジュールに接続できます:

  • ASA FirePOWER コンソールポート
  • SSH を使用する ASA FirePOWER 管理 1/0 インターフェイス

セッション sfr コマンドを使用して ASA バックプレーン上の ASA FirePOWER ハードウエアモジュール CLI にアクセスできません。


2. コンソールによって FirePOWER モジュール、ユーザ名 admin のログインおよびパスワード Sourcefire にアクセスした後。

Sourcefire3D login: admin
Password:

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
key is always required.  In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.

>

FireSIGHT Management Center を設定して下さい

ASA FirePOWER モジュールおよびセキュリティポリシーを管理するために、FireSIGHT Management Center とそれを登録して下さい。 FireSIGHT Management Center との次の作業を行うことができません:

  • ASA FirePOWER インターフェイスを設定できません。
  • ASA FirePOWER プロセスをシャットダウンするか、再起動するか、または別の方法で管理できません。
  • バックアップをからの作成するか、または ASA FirePOWER デバイスにバックアップを復元することができません。
  • VLAN タグ状態を使用してトラフィックを一致する アクセスコントロール ルールを書くことができません。

SFR モジュールにトラフィックをリダイレクトして下さい

ASA FirePOWER モジュールに特定のトラフィックを識別するサービス ポリシーの作成によってトラフィックをリダイレクトします。 トラフィックを FirePOWER モジュールにリダイレクトするために、下記のようにステップに従って下さい:

ステップ 1: トラフィックを選択して下さい

最初に、access-list コマンドを使用する選定されたトラフィック。 次の例では、インターフェイスすべてからのすべてのトラフィックをリダイレクトしています。 特定のトラフィックのためにそれを同様にする可能性があります。

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

ステップ 2: 一致トラフィック

次の例に class-map を作成しアクセス リストのトラフィックを一致する方法を示されています:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

ステップ 3: 処理を規定 して下さい

受動の(「モニタのみ」)またはインライン配備のデバイスを設定できます。 ASA の両方のモニタのみのモードおよび正常なインライン モードを同時に設定できません。 セキュリティポリシーの 1 つの型だけ割り当てられます。

インライン モード

望ましくないトラフィックを廃棄することおよびポリシーによって適用される他のどの処置もとった後インライン配備では、トラフィックはこれからの プロセスおよび最終的な伝達のための ASA に戻ります。 次の例に policy-map を作成しインライン モードの FirePOWER モジュールを設定する方法を示されています:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

パッシブ モード

受動配備では、

  • トラフィックのコピーはデバイスに送られますが、ASA に戻りません。
  • パッシブモードはデバイスがトラフィックに見ることをしよう可能にし、ことをネットワークに影響を与えないでトラフィックのコンテンツを、評価することを可能にします。

パッシブモードの FirePOWER モジュールを設定したいと思う場合下記にとしてモニタのみのキーワードを使用して下さい。 キーワードを含まない場合、トラフィックはインライン モードで送信 されます。

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

ステップ 4: Location を規定 して下さい

最後のステップはポリシーを適用することです。 グローバルにまたはインターフェイスでポリシーを適用できます。 インターフェイスでは、そのインターフェイスへサービス ポリシーを適用することで、グローバル ポリシーを上書きできます。 

Global キーワードはすべてのインターフェイスにポリシーマップを加え、インターフェイスは 1 つのインターフェイスにポリシーを適用します。 許可されるグローバル ポリシーは 1 つだけです。 次の例では、ポリシーはグローバルに適用されます:

ciscoasa(config)# service-policy global_policy global

注意: ポリシーマップ global_policy はデフォルトポリシーです。 このポリシーを使用し、トラブルシューティングする 目的でデバイスのこのポリシーを取除きたいと思う場合影響を理解するために確かめて下さい。

関連資料


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118824