Безопасность : Cisco ASA 5500-X with FirePOWER Services

Установите и формируйте модуль FirePOWER Services на платформе ASA

16 января 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 октября 2015) | Отзыв

Введение

Этот документ описывает, как установить и формировать модуль Cisco FIREPOWER (SFR), который бежит на Адаптивном приборе безопасности (ASA) Cisco и как зарегистрировать модуль SFR в Cisco FireSIGHT Центр управления.

Внесенный Nazmul Rajib, Cisco инженер TAC.

Предпосылки

Требования

Cisco рекомендует, чтобы ваша система ответила этим требованиям перед попыткой процедур, которые описаны в этом документе:

  • Гарантируйте, чтобы у вас было по крайней мере 3 ГБ свободного пространства на флеш-карте (disk0), в дополнение к размеру программного обеспечения ботинка.

  • Гарантируйте, чтобы у вас был доступ к привилегированному способу EXEC. Для доступа к привилегированному способу EXEC войдите в позволить команду в CLI. Если пароль не был установлен, то нажмите, Войдите:
    ciscoasa> enable
    Password:
    ciscoasa#

Используемые компоненты

Для установки Cisco FirePOWER Services на Cisco ASA эти компоненты требуются:

  • Версия 9.2.2 программного обеспечения Cisco ASA или позже

  • Cisco платформы ASA, 5512-X через 5555-X

Эти компоненты требуются на Cisco FireSIGHT Центр управления:

  • Версия 5.3.1 программного обеспечения или позже

  • Ряд 2, ряд 3, или действительный центр управления FireSIGHT

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Справочная информация

Модуль Cisco ASA FirePOWER, также известный как SFR ASA, снабжает услуги Брандмауэра следующего поколения, которые включают:

  • Система предотвращения вторжения следующего поколения (NGIPS)

  • Прикладная видимость и контроль (AVC)

  • Фильтрация URL

  • Предварительная вредоносная защита (AMP)

Примечание: можно использовать модуль SFR ASA в Единственном или Многократном способе контекста, и в Разбитом или Прозрачном способе.

Перед началом

Рассмотрите эту важную информацию перед попыткой процедур, которые описаны в этом документе:

  • Если у вас есть политика действительной военной службы, которая перенаправляет движение к Системе предотвращения вторжения (IPS) / модуль (CX) С учетом контекста (что вы заменили SFR ASA), необходимо удалить его перед формированием обслуживания SFR ASA.

  • Необходимо закрыть любые другие программные модули, которыми это в настоящее время управляет. Устройство может управлять единственным программным модулем за один раз. Необходимо сделать это от ASA CLI. Например, эти команды закрывают и деинсталлируют программный модуль IPS, и затем перезагружают ASA:
    ciscoasa# sw-module module ips shutdown
    ciscoasa# sw-module module ips uninstall
    ciscoasa# reload
    Команды, которые используются для удаления модуля CX являются тем же самым, кроме cxsc ключевого слова используется вместо ips:
    ciscoasa# sw-module module cxsc shutdown
    ciscoasa# sw-module module cxsc uninstall
    ciscoasa# reload
  • Когда вы переизображение модуль, используйте то же самое закрытие и деинсталлируйте команды, которые используются для удаления старого изображения SFR. Вот пример:
    ciscoasa# sw-module module sfr uninstall
  • Если модуль SFR ASA используется в Многократном способе контекста, выполните процедуры, которые описаны в этом документе в пределах системного пространства выполнения.

Наконечник: для определения статуса модуля на ASA войдите в выставочную команду модуля.

Установить

Эта секция описывает, как установить модуль SFR на ASA и как к установке изображение ботинка SFR ASA.

Установите модуль SFR на ASA

Закончите эти шаги для установки модуля SFR на ASA:

  1. Загрузите системное программное обеспечение SFR ASA от Cisco.com до HTTP, HTTPS или Ftp-сервера, который доступен от управленческого интерфейса SFR ASA.

  2. Загрузите изображение ботинка на устройство. Можно использовать или Адаптивный диспетчер устройств безопасности (ASDM) Cisco или ASA CLI для загрузки изображения ботинка на устройство.

    Примечание: не передавайте системное программное обеспечение; это загружено позже на Твердотельный накопитель (SSD).

    Закончите эти шаги для загрузки изображения ботинка через ASDM:

    1. Загрузите изображение ботинка на свое автоматизированное рабочее место, или поместите его в FTP, TFTP, HTTP, HTTPS, Блок сообщения сервера (SMB), или Обеспечьте Копию (SCP) сервер.

    2. Проведите к Инструментам> управление файлами в ASDM.

    3. Выберите соответствующую команду Передачи файлов, или Между Местным PC и Вспышкой или Между Удаленным сервером и Вспышкой.

    4. Передайте программное обеспечение ботинка флеш-карте (disk0) на ASA.

    Закончите эти шаги для загрузки изображения ботинка через ASA CLI:

    1. Загрузите изображение ботинка на FTP, TFTP, HTTP или сервере HTTPS.

    2. Войдите в команду копии в CLI для загрузки изображения ботинка на флеш-карту.

      Вот пример, который использует протокол HTTP (замените <HTTP_Server> вашим IP-адресом сервера или именем хоста):
      ciscoasa# copy http://<HTTP_SERVER>/asasfr-5500x-boot-5.3.1-152.img
      disk0:/asasfr-5500x-boot-5.3.1-152.img
  3. Войдите в эту команду для формирования местоположения ботинка SFR изображения ASA во флеш-карте ASA:
    ciscoasa# sw-module module sfr recover configure image disk0:/file_path
    Вот пример:
    ciscoasa# sw-module module sfr recover configure image disk0:
    /asasfr-5500x-boot-5.3.1-152.img
  4. Войдите в эту команду для погрузки изображения ботинка SFR ASA:
    ciscoasa# sw-module module sfr recover boot
    В это время при предоставлении возможности ботинка модуля отладки на ASA эти отладки напечатаны:
    Mod-sfr 788> *** EVENT: Creating the Disk Image...
    Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
    Mod-sfr 790> ***
    Mod-sfr 791> ***
    Mod-sfr 792> *** EVENT: The module is being recovered.
    Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
    Mod-sfr 794> ***
    ...
    Mod-sfr 795> ***
    Mod-sfr 796> *** EVENT: Disk Image created successfully.
    Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
    Mod-sfr 798> ***
    Mod-sfr 799> ***
    Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
    ISO: -cdrom /mnt/disk0
    Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
    Mgmt MAC: A4:4C:11:29:
    Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
    cache=none,if=virtio,
    Mod-sfr 803> Dev
    Mod-sfr 804> ***
    Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
    32MB, Cmd Op: r, Shared M
    Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
    Sock: /dev/ttyS1_vm3,
    Mod-sfr 807> Mem-Path: -mem-path /hugepages
    Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
    Mod-sfr 809> ***
    Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
    key is 8061, size is 6
    ...
    Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
    acpid.
    Mod-sfr 240> acpid: starting up with proc fs
    Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
    Mod-sfr 242> starting Busybox inetd: inetd... done.
    Mod-sfr 243> Starting ntpd: done
    Mod-sfr 244> Starting syslogd/klogd: done
    Mod-sfr 245>
    Cisco ASA SFR Boot Image 5.3.1
  5. Ждите приблизительно 5 - 15 минут модуля SFR ASA, чтобы загрузить, и затем открыть сессию пульта для эксплуатационного изображения ботинка SFR ASA.

Настройте изображение ботинка SFR ASA

Закончите эти шаги для подготовки недавно установленного изображения ботинка SFR ASA:

  1. Пресса Входит после открытия сессии для достижения быстрого логина.

    Примечание: имя пользователя по умолчанию является admin, и пароль по умолчанию является Admin123.

    Вот пример:
    ciscoasa# session sfr console
    Opening console session with module sfr.
    Connected to module sfr. Escape character sequence is 'CTRL-^X'.

    Cisco ASA SFR Boot Image 5.3.1
    asasfr login: admin
    Password: Admin123

    Наконечник: Если ботинок модуля SFR ASA не закончил, команда сессии терпит неудачу, и сообщение, кажется, указывает, что система неспособна соединиться по TTYS1. Если это происходит, ждите ботинка модуля, чтобы закончить и попробовать еще раз.

  2. Войдите в команду установки для формирования системы так, чтобы можно было установить системный пакет программ:
    asasfr-boot> setup
    Welcome to SFR Setup
    [hit Ctrl-C to abort]
    Default values are inside []
    Вы тогда побуждены для этой информации:

    • Имя хоста – имя хоста может быть до 65 алфавитно-цифровых символов без мест. Использование дефисов позволено.

    • Сетевой адрес – сетевой адрес может быть или статическим IPv4 или адресами IPv6. Можно также использовать DHCP для IPv4 или не имеющую гражданства автоконфигурацию IPv6.

    • Информация о DNS – необходимо определить по крайней мере один сервер Системы доменных имен (DNS), и можно также установить доменное имя и искать область.

    • Информация о NTP – можно позволить Сетевой протокол времени (NTP) и формировать серверы NTP для урегулирования системного времени.

  3. Войдите система устанавливают команду для установки системного изображения программного обеспечения:
    asasfr-boot> system install [noconfirm] url
    Включайте noconfirm выбор, если вы не хотите отвечать на подтверждающие сообщения. Замените ключевое слово URL местоположением .pkg файла. Вот пример:
    asasfr-boot> system install http://<HTTP_SERVER>/asasfr-sys-5.3.1-152.pkg
    Verifying
    Downloading
    Extracting

    Package Detail
    Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
    Requires reboot: Yes

    Do you want to continue with upgrade? [y]: y
    Warning: Please do not interrupt the process or turn off the system. Doing so
    might leave system in unusable state.

    Upgrading
    Starting upgrade process ...
    Populating new system image

    Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
    (press Enter)

    Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
    The system is going down for reboot NOW!
    Console session with module sfr terminated.

Примечание: Когда установка завершена, системные перезагрузки. Позвольте десять или больше минут для прикладной установки компонента и для услуг SFR ASA начаться. Продукция выставочного модуля sfr команда должна указать, что закончились все процессы.

Формировать

Эта секция описывает, как формировать программное обеспечение FirePOWER и Центр управления FireSIGHT, и как перенаправить движение к модулю SFR.

Формируйте программное обеспечение FirePOWER

Закончите эти шаги для формирования программного обеспечения FirePOWER:

  1. Откройте сессию для модуля SFR ASA.

    Примечание: различный логин, быстрый теперь, появляется, потому что логин происходит на полностью функциональном модуле.

    Вот пример:
    ciscoasa# session sfr
    Opening command session with module sfr.
    Connected to module sfr. Escape character sequence is 'CTRL-^X'.
    Sourcefire ASA5555 v5.3.1 (build 152)
    Sourcefire3D login:
  2. Загрузитесь с именем пользователя admin и паролем Sourcefire.

  3. Закончите системную конфигурацию, как вызвано, которая происходит в этом заказе:

    1. Прочитайте и примите Лицензионное соглашение с конечным пользователем (EULA).

    2. Измените admin пароль.

    3. Формируйте управленческий адрес и параметры настройки DNS, как вызвано.

      Примечание: можно формировать и IPv4 и управленческие адреса IPv6.

    Вот пример:
    System initialization in progress. Please stand by. You must change the password
    for 'admin' to continue. Enter new password: <new password>
    Confirm new password: <repeat password>
    You must configure the network to continue.
    You must configure at least one of IPv4 or IPv6.
    Do you want to configure IPv4? (y/n) [y]: y
    Do you want to configure IPv6? (y/n) [n]:
    Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
    Enter an IPv4 address for the management interface [192.168.45.45]: 198.51.100.3
    Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
    Enter the IPv4 default gateway for the management interface []: 198.51.100.1
    Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
    Enter a comma-separated list of DNS servers or 'none' []:
    198.51.100.15, 198.51.100.14
    Enter a comma-separated list of search domains or 'none' [example.net]: example.com
    If your networking information has changed, you will need to reconnect.
    For HTTP Proxy configuration, run 'configure network http-proxy'
  4. Ждите системы, чтобы повторно формировать себя.

Формируйте центр управления FireSIGHT

Для управления модулем SFR ASA и политикой безопасности, необходимо зарегистрировать ее в Центре управления FireSIGHT. Вы не можете выполнить эти действия с Центром управления FireSIGHT:

  • Формируйте интерфейсы модуля SFR ASA

  • Закрытие, перезапуск, или иначе управляют процессами модуля SFR ASA

  • Создайте резервные копии из или верните резервные копии, устройства модуля SFR ASA

  • Напишите правила управления доступом для соответствия движению с использованием условий признака VLAN

Движение перенаправления к модулю SFR

Для перенаправления движения к модулю SFR ASA необходимо создать обслуживание, которое определяет определенное движение. Закончите эти шаги для перенаправления движения к модулю SFR ASA:

  1. Выберите движение, которое должно быть отождествлено с командой списка доступа. В этом примере перенаправлено все движение от всех интерфейсов. Можно сделать это для определенного движения также.
    ciscoasa(config)# access-list sfr_redirect extended permit ip any any
  2. Создайте карту класса для соответствия движению в списке доступа:
    ciscoasa(config)# class-map sfr
    ciscoasa(config-cmap)# match access-list sfr_redirect
  3. Определите способ развертывания. Можно формировать устройство или в пассивном или в действующем (нормальном) способе развертывания (только для монитора).

    Примечание: Вы не можете формировать и пассивный способ и действующий способ в то же время на ASA. Только один тип политики безопасности позволен.

    • В действующем развертывании, после того, как нежеланное движение пропущено и любые другие действия, которые применены политикой, выполнены, движение возвращено к ASA для последующей обработки и окончательной передачи. Этот пример показывает, как создать стратегическую карту и формировать модуль SFR ASA в действующем способе:
      ciscoasa(config)# policy-map global_policy
      ciscoasa(config-pmap)# class sfr
      ciscoasa(config-pmap-c)# sfr fail-open
    • В пассивном развертывании копию движения посылают в обслуживающий модуль SFR, но это не возвращено к ASA. Пассивный способ позволяет вам рассматривать действия, которые модуль SFR закончил бы в отношении движения. Это также позволяет вам оценивать содержание движения без воздействия к сети.

      Если вы хотите формировать модуль SFR в пассивном способе, используйте ключевое слово только для монитора (как показано в следующем примере). Если вы не включаете ключевое слово, движение посылают в действующем способе.
      ciscoasa(config-pmap-c)# sfr fail-open monitor-only

    Предупреждение: способ только для монитора не позволяет обслуживающему модулю SFR отрицать или блокировать вредоносный трафик.

    Предостережение: могло бы быть возможно формировать ASA в способе только для монитора с использованием транспортного форварда интерфейсного уровня sfr команда только для монитора; однако, эта конфигурация просто для демонстрационной функциональности и не должна использоваться на производстве ASA. Любые проблемы, которые найдены в этой демонстрационной особенности, не поддержаны Центром технической помощи (TAC) Cisco. Если вы желаете развернуть обслуживание SFR ASA в пассивном способе, формируйте его с использованием стратегической карты.

  4. Определите местоположение и примените политику. Можно применить политику глобально или в интерфейсе. Для отвержения глобальной политики по интерфейсу можно применить обслуживание к тому интерфейсу.

    Глобальное ключевое слово применяет стратегическую карту ко всем интерфейсам, и интерфейсное ключевое слово применяет политику к одному интерфейсу. Только одна глобальная политика позволена. В этом примере политика применена глобально:
    ciscoasa(config)# service-policy global_policy global

    Предостережение: стратегическая карта global_policy является политикой по умолчанию. При использовании эту политику и хотите удалить ее на вашем устройстве для поиска неисправностей целей, гарантировать, чтобы вы поняли его значение.

Проверить

В настоящее время нет никакой процедуры проверки, доступной для этой конфигурации.

Расследовать

В настоящее время нет никакой определенной информации о поиске неисправностей, доступной для этой конфигурации.

Соответствующая информация


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118644