Безопасность : Cisco ASA 5500-X with FirePOWER Services

Установка FirePOWER (SFR) сервисы на ASA 5585-X модуль оборудования

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Модуль ASA FirePOWER, также известный как ASA SFR, предоставляет сервисы межсетевого экрана следующего поколения, включая IPS Следующего поколения (NGIPS), Видимость Приложения и Контроль (AVC), фильтрация URL-адресов и Защита вредоносного ПО усовершенствования (AMP). Можно использовать модуль на сингле или многоконтекстном режиме, и в маршрутизировавшем или прозрачном режиме. Этот документ описывает предварительные условия и процессы установки FirePOWER (SFR) модуль на ASA 5585-X модуль оборудования. Это также предоставляет шаги для регистрации модуля SFR в Центре управления FireSIGHT.

Примечание: FirePOWER (SFR), Сервисы находятся на модуле оборудования в 5585-X ASA, тогда как, сервисы FirePOWER на ASA, 5512-X через 5555-X устройства Серии, установлены на модуле ПО, получающихся различиях в процессах установки.

Внесенный Нэзмулом Рэджибом и Беном Риттером, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Инструкции по этому документу требуют доступа к привилегированному режиму EXEC. Для доступа к привилегированному режиму EXEC введите команду enable. Если пароль был "not set", просто соответствие Входит.

ciscoasa> enable
Password:
ciscoasa#

Для установки FirePOWER Services на ASA следующие компоненты необходимы:

  • Версия программного обеспечения 9.2.2 ASA или больше
  • ASA 5585-X платформа
  • Сервер TFTP, достижимый интерфейсом управления модуля FirePOWER
  • Центр управления FireSIGHT с Версией 5.3.1 или больше

Примечание: Сведения в этом документе созданы от устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.

!--- конфигурацию

Перед началом работы

Учитывая SSM ASA всегда занимает один из этих двух слотов в ASA 5585-X шасси, если у вас есть модуль оборудования кроме FirePOWER (SFR) SSP Сервисов, такой как CX SSP (С учетом контекста) или SSM AIP (Усовершенствованная Безопасность Контроля и Предотвращения), другой модуль должен быть деинсталлирован для создания пространства для SFR SSP. Перед удалением модуля оборудования выполните следующую команду для завершения работу модуля:

ciscoasa# hw-module module 1 shutdown

Кабельное подключение и менеджмент

  • Вы не можете обратиться к последовательному порту модуля SFR через консоль ASA на 5585-X ASA.
  • Как только модуль SFR настроен, можно открыть сеанс в блейд с помощью "сеанса 1" команда.
  • Чтобы полностью повторно захватить образ модуль SFR на 5585-X ASA, необходимо использовать интерфейс управления Ethernet и сеанс консоли на последовательном порте управления, которые находятся на модуле SFR и отдельные от интерфейса управления и консоли ASA.

Совет: Для обнаружения статуса модуля на ASA выполните "команду "show module" 1 подробные данные" команда, которая получает IP - управление модуля SFR и привязанный Центр Защиты.

Установите FirePOWER (SFR) модуль на ASA

1. Загрузите образ начального загрузки начальной буквы модуля ASA FirePOWER SFR от Cisco.com до сервера TFTP, доступного от интерфейса управления ASA FirePOWER. Имя образа похоже на "asasfr-boot-5.3.1-152.img"

2. Загрузите системное программное обеспечение ASA FirePOWER от Cisco.com до HTTP, HTTPS или сервера FTP, доступного от интерфейса управления ASA FirePOWER.


3. Перезапустите модуль SFR

Вариант 1: Если у вас нет пароля к Модулю SFR, можно выполнить следующую команду от ASA для перезапуска модуля.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1


Вариант 2: Если у вас есть пароль к модулю SFR, можно перезагрузить датчик непосредственно из его командной строки.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot


4. Прервите процесс загрузки модуля SFR с помощью ESCAPE или последовательности прерывания программного обеспечения терминальной сессии для размещения модуля в ROMMON.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14

<truncated output>

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Настройте интерфейс управления модуля SFR с IP-адресом и укажите на местоположение Сервера TFTP и путь TFTP к образу начального загрузки. Введите следующие команды, чтобы установить IP-адрес на интерфейсе и получить образ TFTP:

  • набор
  • ОБРАТИТЕСЬ = Your_IP_Address
  • ШЛЮЗ = Your_Gateway
  • СЕРВЕР = Your_TFTP_Server
  • ОТОБРАЗИТЕ = Your_TFTP_Filepath
  • sync
  • tftp


! Информация о IP-адресе в качестве примера используется. Обновите для своей среды.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000


6. Вход в систему к образу первоначальной загрузки. Вход в систему как admin и с паролем Admin123

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands

 
7. Используйте образ первоначальной загрузки для настройки IP-адреса на интерфейсе управления модуля. Введите команду настройки для ввода мастера. Вам предлагают для следующей информации:

  • Host name: До 65 алфавитно-цифровых знаков, никакие пробелы. Дефисы позволены.
  • Сетевой адрес: Можно установить статический IPv4 или адреса IPv6, или использовать DHCP (для IPv4) или IPv6 автоматическая конфигурация не сохраняющая состояние.
  • Информация DNS: необходимо определить по крайней мере один сервер DNS, и можно также установить доменное имя и область поиска.
  • Информация NTP: можно включить NTP и настроить серверы NTP для установки системного времени.

! Информация о примере используется. Обновите для своей среды.

asasfr-boot>setup

Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration

IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1

IPv6 Configuration: Stateless autoconfiguration

DNS Configuration:
DNS Server: 198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Используйте образ загрузки, чтобы вытянуть и установить Образ программного обеспечения системы с помощью системной команды установки. Включайте noconfirm опцию, если вы не хотите отвечать на подтверждающие сообщения. Замените ключевое слово URL местоположением .pkg файла.

asasfr-boot> system install [noconfirm] url

Пример,

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying
Downloading
Extracting

Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process ...
Populating new system image ...

Примечание: Когда установка будет завершена через 20 - 30 минут, вам предложат поразить Клавишу Enter к перезагрузке. Позвольте 10 или больше минутам для установки компонента приложения и для сервисов ASA FirePOWER запускаться. Команда "show module" 1 подробные выходные данные должна показать все процессы как.

Состояние модуля во время установки

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive

Состояние модуля после успешной установки

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...

Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true

!--- конфигурацию

Настройте программное обеспечение FirePOWER


1. Можно подключить с ASA 5585-X модуль FirePOWER через один из следующих внешних портов:

  • Консольный порт ASA FirePOWER
  • Менеджмент ASA FirePOWER 1/0 интерфейс с помощью SSH

Примечание: Вы не можете обратиться к CLI ASA FirePOWER модуля оборудования по объединительной плате ASA с помощью сеанса sfr команда.


2. После того, как вы обращаетесь к модулю FirePOWER через консоль, входите с именем пользователя admin и паролем в Sourcefire.

Sourcefire3D login: admin
Password:

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress. Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center. A unique alphanumeric registration
key is always required. In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.

>

Настройте центр управления FireSIGHT

Для управления модулем ASA FirePOWER и политикой безопасности, необходимо зарегистрировать ее в Центре управления FireSIGHT. Вы не можете сделать придерживающегося с Центром управления FireSIGHT:

  • Не может настроить интерфейсы ASA FirePOWER.
  • Не может завершить работу, перезапустить, или иначе управлять процессами ASA FirePOWER.
  • Не может создать резервные копии от или восстановить резервные копии к устройствам ASA FirePOWER.
  • Не могут правила контроля за доступом с правом записи совпасть с трафиком с помощью условий тега VLAN.

Трафик перенаправления к модулю SFR

Вы перенаправляете трафик к модулю ASA FirePOWER путем создания политики обслуживания, которая определяет определенный трафик. Для перенаправления трафика к модулю FirePOWER выполните действия ниже:

Шаг 1: Выберите Traffic

Во-первых, выберите трафик с помощью команды access-list. В следующем примере мы перенаправляем весь трафик от всех интерфейсов. Вы могли сделать это для определенного трафика также.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Шаг 2: Трафик соответствия

Следующий пример показывает, как создать class-map и совпасть с трафиком на списке доступа:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Шаг 3: Задайте действие

Можно настроить устройство или в пассивных или во встроенных развертываниях ("только для монитора"). Вы не можете настроить и режим только для монитора и обычный встроенный режим в то же время на ASA. Только один тип политики безопасности позволен.

Встроенный режим

Во встроенных развертываниях, после отбрасывания нежелательного трафика и принятия любых других мер, примененных политикой, трафик возвращен к ASA для дальнейшей обработки и окончательной передачи. Следующий пример показывает, как создать policy-map и настроить модуль FirePOWER во встроенном режиме:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Пассивный режим

В пассивных развертываниях,

  • Копия трафика передается устройству, но это не возвращено к ASA.
  • Пассивный режим позволяет вам видеть то, что устройство сделало бы к трафику и позволяет вам оценить содержание трафика, не влияя на сеть.

Если вы хотите настроить модуль FirePOWER в пассивном режиме, используйте ключевое слово только для монитора как ниже. Если вы не включаете ключевое слово, трафик передается во встроенном режиме.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Шаг 4: Задайте местоположение

Последний шаг должен применить политику. Можно применить политику глобально или на интерфейсе. Можно заменить глобальную политику на интерфейсе, применив на нем политику обслуживания. 

Глобальное ключевое слово применяет карту политик ко всем интерфейсам, и интерфейс применяет политику к одному интерфейсу . Допускается только одна глобальная политика. В следующем примере политика применена глобально:

ciscoasa(config)# service-policy global_policy global

Внимание: Карта политик global_policy является политикой по умолчанию. При использовании эту политику и хотите удалить эту политику по вашему устройству для цели устранения проблем, удостоверьтесь, что вы понимаете ее результат.

Связанный документ



Document ID: 118824