Seguridad : Cisco ASA 5500-X with FirePOWER Services

Instalación de los servicios de la potencia de fuego (SFR) en el módulo de hardware ASA 5585-X

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

El módulo de la potencia de fuego ASA, también conocido como ASA SFR, suministra los servicios del Firewall de la última generación, incluyendo la última generación IPS (NGIPS), visibilidad de la aplicación y el control (AVC), Filtrado de URL, y la protección anticipada de Malware (amperio). Usted puede utilizar el módulo en solo o el modo de contexto múltiple, y en ruteado o el modo transparente. Este documento describe los requisitos previos y los procesos de instalación de un módulo de la potencia de fuego (SFR) en el módulo de hardware ASA 5585-X. También proporciona los pasos para registrar un módulo SFR con el centro de administración de FireSIGHT.

Nota: Los servicios de la potencia de fuego (SFR) residen en un módulo de hardware en el ASA 5585-X, mientras que, los servicios de la potencia de fuego en el ASA 5512-X a través de los dispositivos de las 5555-X Series están instalados en un módulo de software, las diferencias resultantes en los procesos de instalación.

Contribuido por Nazmul Rajib y Ben Ritter, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Las instrucciones en este documento requieren el acceso al modo EXEC privilegiado. Para acceder al modo EXEC privilegiado, ingrese el comando enable. Si una contraseña no fue fijada, apenas el golpe ingresa.

ciscoasa> enable
Password:
ciscoasa#

Para instalar los servicios de la potencia de fuego en un ASA, los componentes siguientes son necesarios:

  • Versión de software 9.2.2 ASA o mayor
  • Plataforma ASA 5585-X
  • Un servidor TFTP accesible por la interfaz de administración del módulo de la potencia de fuego
  • Centro de administración de FireSIGHT con la versión 5.3.1 o posterior

Nota: La información en este documento se crea de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configuración

Antes de comenzar

Dado un ASA SS ocupa siempre uno de los dos slots en el chasis ASA 5585-X, si usted tiene un módulo de hardware con excepción de los servicios SSP de la potencia de fuego (SFR) tal como el SSP-CX (contexto enterado) o AIP-SSM (examen y Seguridad avanzados de la prevención), el otro módulo debe ser desinstalado para hacer el espacio para el SSP-SFR. Antes de que usted quite un módulo de hardware, funcione con el siguiente comando de apagar un módulo:

ciscoasa# hw-module module 1 shutdown

Cableado y Administración

  • Usted no puede acceder el puerto serial del módulo SFR vía la consola ASA en el ASA 5585-X.
  • Una vez que el módulo SFR es aprovisionado, usted puede sesión en la cuchilla usando el “comando de la sesión el 1".
  • Para totalmente nueva imagen el módulo SFR en un ASA 5585-X, usted debe utilizar la interfaz Ethernet de administración y a una sesión de consola en el puerto de administración serial, que están en el módulo SFR y a parte de la interfaz de administración y de la consola ASA.

Consejo: Para encontrar el estatus de un módulo en el ASA, funcione con los “detalles del módulo show 1” ordenan cuál extrae el IP de administración del módulo SFR y el centro asociado de la defensa.

Instale el módulo de la potencia de fuego (SFR) en el ASA

1. Descargue la imagen de arranque de la inicial del módulo de la potencia de fuego SFR ASA del cisco.com a un servidor TFTP accesible de la interfaz de administración de la potencia de fuego ASA. El nombre de la imagen parece el “asasfr-inicio-5.3.1-152.img"

2. Descargue el software del sistema de la potencia de fuego ASA del cisco.com a un HTTP, a un HTTPS, o a un servidor FTP accesible de la interfaz de administración de la potencia de fuego ASA.


3. Recomience el módulo SFR

Opción 1: Si usted no tiene la contraseña al módulo SFR, usted puede publicar el siguiente comando del ASA de recomenzar el módulo.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1


Opción 2: Si usted tiene la contraseña al módulo SFR, usted puede reiniciar el sensor directamente de su línea de comando.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot


4. Interrumpa el proceso de arranque del módulo SFR usando el ESCAPE o la secuencia de interrupción de su software de la sesión terminal para colocar el módulo en el ROMMON.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14

<truncated output>

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Configure la interfaz de administración del módulo SFR con una dirección IP e indique la ubicación del servidor TFTP y del trayecto TFTP a la imagen de arranque. Ingrese los siguientes comandos de fijar un IP Address en la interfaz y de extraer la imagen TFTP:

  • set
  • ADDRESS= Your_IP_Address
  • GATEWAY = Your_Gateway
  • SERVER= Your_TFTP_Server
  • IMAGEN = Your_TFTP_Filepath
  • sincronice
  • tftp


¡! Información de la dirección IP del ejemplo usada. Actualización para su entorno.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000


6. Login a la imagen del primer arranque. Inicie sesión como admin y con la contraseña Admin123

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands

 
7. Utilice la imagen del primer arranque para configurar una dirección IP en la interfaz de administración del módulo. Ingrese el comando setup de ingresar al Asisitente. Le indican para la siguiente información:

  • Nombre de host: Hasta 65 caracteres alfanuméricos, ningunos espacios. Se permiten los guiones.
  • Dirección de red: Usted puede fijar los direccionamientos estáticos del IPv4 o del IPv6, o utilice el DHCP (para el IPv4) o la autoconfiguración apátrida del IPv6.
  • Información DNS: Usted debe identificar por lo menos a un servidor DNS, y usted puede también fijar el Domain Name y buscar el dominio.
  • Información de NTP: Usted puede habilitar el NTP y configurar a los servidores NTP, para fijar el Tiempo del sistema.

¡! Información del ejemplo usada. Actualización para su entorno.

asasfr-boot>setup

Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration

IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1

IPv6 Configuration: Stateless autoconfiguration

DNS Configuration:
DNS Server: 198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Utilice la imagen del arranque de sistema para tirar y para instalar de la imagen del software del sistema usando el comando install del sistema. Incluya la opción del noconfirm si usted no quiere responder a los mensajes de confirmación. Substituya la palabra clave URL por la ubicación del archivo .package.

asasfr-boot> system install [noconfirm] url

Por ejemplo,

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying
Downloading
Extracting

Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process ...
Populating new system image ...

Nota: Cuando la instalación es completa en 20 a 30 minutos, a le indicarán que golpee tecla Enter (Intro) para reiniciar. Permita que 10 o más minutos para la Instalación del componente de la aplicación y para que los servicios de la potencia de fuego ASA comiencen. La salida de los detalles del módulo show 1 debe mostrar todos los procesos como para arriba.

El estado del módulo durante instala

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive

El estado del módulo después de acertado instala

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true

Configuración

Software de la potencia de fuego de la configuración


1.You puede conectar con el módulo de la potencia de fuego ASA 5585-X vía uno de los puertos externos siguientes:

  • Puerto de la consola de la potencia de fuego ASA
  • Interfaz de la Administración 1/0 de la potencia de fuego ASA usando SSH

Nota: Usted no puede acceder el módulo de hardware CLI de la potencia de fuego ASA sobre el backplane ASA usando el comando del sfr de la sesión.


2. Después de que usted acceda el módulo de la potencia de fuego vía la consola, inicie sesión con el nombre del usuario administrador y la contraseña Sourcefire.

Sourcefire3D login: admin
Password:

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
key is always required.  In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.

>

Configure el centro de administración de FireSIGHT

Para manejar un módulo y una política de seguridad de la potencia de fuego ASA, usted debe registrarla con un centro de administración de FireSIGHT. Usted no puede hacer el siguiente con un centro de administración de FireSIGHT:

  • No puede configurar las interfaces de la potencia de fuego ASA.
  • No puede apagar, recomenzar, o manejar de otra manera los procesos de la potencia de fuego ASA.
  • No puede crear los respaldos de o restablecer los respaldos a los dispositivos de la potencia de fuego ASA.
  • No puede escribir las reglas del control de acceso para hacer juego el tráfico usando las condiciones de la etiqueta del VLA N.

Reoriente el tráfico al módulo SFR

Usted reorienta el tráfico al módulo de la potencia de fuego ASA creando una política de servicio que identifique el tráfico específico. Para reorientar el tráfico a un módulo de la potencia de fuego, siga los pasos abajo:

Paso 1: Seleccione el tráfico

Primero, tráfico selecto usando el comando access-list. En el siguiente ejemplo, estamos reorientando todo el tráfico de todas las interfaces. Usted podría hacerlo para el tráfico específico también.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Paso 2: Tráfico de la coincidencia

Las demostraciones del siguiente ejemplo cómo crear un clase-mapa y hacer juego el tráfico en una lista de acceso:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Paso 3: Especifique la acción

Usted puede configurar su dispositivo en un despliegue pasivo (“monitor-solamente”) o en línea. Usted no puede configurar el modo del monitor-solamente y el modo en línea normal al mismo tiempo en el ASA. Se permite a solamente un tipo de política de seguridad.

Modo en línea

En un despliegue en línea, después de caer el tráfico indeseado y de tomar otras medidas aplicadas por la directiva, el tráfico se vuelve al ASA para el procesamiento adicional y la última transmisión. El siguiente ejemplo muestra cómo crear un directiva-mapa y configurar el módulo de la potencia de fuego en el modo en línea:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Modo pasivo

En un despliegue pasivo,

  • Una copia del tráfico se envía al dispositivo, pero no se vuelve al ASA.
  • El modo pasivo le deja considerar lo que habría hecho el dispositivo para traficar, y le deja evaluar el contenido del tráfico, sin la afectación de la red.

Si usted quiere configurar el módulo de la potencia de fuego en el modo pasivo, utilice la palabra clave del monitor-solamente como abajo. Si usted no incluye la palabra clave, el tráfico se envía en el modo en línea.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Paso 4: Especifique la ubicación

El paso más reciente es aplicar la directiva. Usted puede aplicar una directiva global o en una interfaz. Usted puede reemplazar la política global en una interfaz aplicando una política de servicio a esa interfaz. 

La palabra clave global aplica la correspondencia de políticas a todas las interfaces, y la interfaz aplica la directiva a una interfaz. Se permite solamente una política global. En el siguiente ejemplo, la directiva se aplica global:

ciscoasa(config)# service-policy global_policy global

Precaución: El global_policy de la correspondencia de políticas es una política predeterminada. Si usted utiliza esta directiva y quiere quitar esta directiva en su dispositivo para el propósito de Troubleshooting, aseegurese le entender su implicación.

Documento relacionado



Document ID: 118824