Configurez le SNMP sur des appliances de FirePOWER NGFW
Contenu
Introduction
Ce document décrit comment configurer le Protocole SNMP (Simple Network Management Protocol) sur les appliances de la défense contre des menaces de FirePOWER du Pare-feu de nouvelle génération (NGFW) (FTD).
Conditions préalables
Exigences
Ce document exige la connaissance de base du protocole SNMP.
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Des appliances de FirePOWER NGFW peuvent être coupées en 2 sous-systèmes importants :
- Le système effectif extensible de FirePOWER (FX-OS) qui contrôle le matériel de châssis.
- La défense contre des menaces de FirePOWER (FTD) qui fonctionne dans le module.
FTD est un logiciel unifié qui se compose de 2 engines principales, de l'engine de renifler et de l'engine de LINA. L'engine SNMP de courant du FTD dérive de l'ASA classique et elle a la visibilité aux caractéristiques liées à la Lina.
FX-OS et FTD ont des avions de contrôle indépendant et pour surveiller des buts, ils ont différentes engines SNMP. Chacune des engines SNMP fournit des informations différentes et vous pourriez être intéressé à surveiller chacun des deux pour une vue plus complète de l'état des périphériques.
Au niveau système surveillant par l'intermédiaire du SNMP au-dessus de l'interface de gestion FTD qui inclut LINA et les informations Snort n'est pas possible (amélioration CSCvd12321)
D'un point de vue de matériel, il y a actuellement deux architectures importantes pour les appliances de FirePOWER NGFW : la gamme 2100 de FirePOWER et la gamme 4100/9300 de FirePOWER.
FirePOWER 4100/9300 périphérique ont une interface dédiée pour la Gestion de périphériques et c'est la source et la destination pour le trafic SNMP adressé au sous-système FXOS. D'autre part, l'application FTD utilise une interface de LINA (des données et/ou diagnostic) pour la configuration SNMP.
L'engine SNMP sur FirePOWER 2100 appliances utilise l'interface de gestion FTD et l'IP. L'appliance elle-même jette un pont sur le trafic SNMP reçu là-dessus ces interface et en avant au logiciel FXOS.
Configurer
SNMP du châssis (FXOS) sur FPR4100/FPR9300
Configurez FXOS SNMPv1/v2c par l'intermédiaire du GUI
Étape 1. Ouvrez le gestionnaire de châssis de FirePOWER (FCM) UI et naviguez vers les configurations de plate-forme > l'onglet SNMP. Cochez la case d'enable SNMP, spécifiez la chaîne de la Communauté pour l'utiliser sur des demandes et la sauvegarde SNMP.
Étape 2. Configurez le serveur cible de déroutements SNMP.
L'hôte peut être défini comme adresse IP ou de nom. Sélectionnez CORRECT et la configuration du serveur de déroutement SNMP est enregistrée automatiquement. Il n'y a aucun besoin de sélectionner le bouton de sauvegarde de la page principale SNMP. Le même se produit quand vous supprimez un hôte.
Configurez FXOS SNMPv1/v2c par l'intermédiaire de l'interface de ligne de Commnad (le CLI)
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring* # set snmp community Enter a snmp community: ksec-fpr9k-1-A /monitoring* # enter snmp-trap 192.168.10.100 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v2c ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
Configurez FXOS SNMPv3 par l'intermédiaire du GUI
Étape 1. Ouvrez FCM et naviguez vers les configurations de plate-forme > l'onglet SNMP.
Étape 2. Pour SNMP v3 il n'y a aucun besoin de placer n'importe quelle chaîne de la communauté dans la section supérieure. Chaque créé par l'utilisateur peut exécuter avec succès des requêtes à l'engine SNMP FXOS. La première étape est d'activer le SNMP dans la plate-forme. Une fois que fait te peut créer les utilisateurs et l'hôte de déroutement de destination. Chacun des deux, des utilisateurs SNMP et des hôtes du déroutement SNMP sont enregistrés automatiquement.
Étape 3. Suivant les indications de l'image, ajoutez l'utilisateur SNMP. Le type d'authentification est toujours SHA mais vous pouvez utiliser AES ou DES pour le cryptage.
Étape 4. Ajoutez l'hôte de déroutement SNMP, suivant les indications de l'image.
Configurez FXOS SNMPv3 par l'intermédiaire du CLI
ksec-fpr9k-1-A# scope monitoring ksec-fpr9k-1-A /monitoring # enable snmp ksec-fpr9k-1-A /monitoring # create snmp-user user1 Password: ksec-fpr9k-1-A /monitoring/snmp-user* # set auth sha ksec-fpr9k-1-A /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: ksec-fpr9k-1-A /monitoring/snmp-user* # set aes-128 yes ksec-fpr9k-1-A /monitoring/snmp-user* # exit ksec-fpr9k-1-A /monitoring* # enter snmp-trap 10.48.26.190 ksec-fpr9k-1-A /monitoring/snmp-trap* # set community Community: ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v3 ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162 ksec-fpr9k-1-A /monitoring/snmp-trap* # exit ksec-fpr9k-1-A /monitoring* # commit-buffer
SNMP FTD (LINA) sur FPR4100/FPR9300
Configurez le SNMPv2C de LINA
Étape 1. Sur FMC UI, naviguez vers des périphériques > des configurations de plate-forme > le SNMP. Vérifiez l'option « serveurs SNMP d'enable » et configurez les configurations SNMPv2 comme suit.
Étape 2. Sur l'onglet d'hôtes sélectionnez le bouton d'ajouter et spécifiez les configurations de serveur SNMP.
Configurez LINA SNMPv3
Étape 1. Sur FMC UI naviguent vers des périphériques > des configurations de plate-forme > le SNMP. Vérifiez les serveurs SNMP d'enable d'option et configurez l'utilisateur SNMPv3 et l'hôte.
Étape 2. Configurez l'hôte également pour recevoir des déroutements.
Étape 3. Les déroutements que vous voulez recevoir peuvent être sélectionnés sous la section de déroutements SNMP.
SNMP dans FPR2100
Sur les systèmes FPR2100, il n'y a aucun FCM. La seule manière de configurer le SNMP est par l'intermédiaire de FMC.
SNMP du châssis (FXOS) sur FPR2100
Configurez FXOS SNMPv1/v2c
Ouvrez FMC UI et naviguez pour choisir les périphériques > la Gestion de périphériques. Sélectionnez le périphérique et sélectionnez le SNMP.
Configurez FXOS SNMPv3
Ouvrez FMC UI et naviguez pour choisir les périphériques > la Gestion de périphériques. Sélectionnez le périphérique et sélectionnez le SNMP.
SNMP FTD (LINA) sur FPR2100
La configuration SNMP de LINA FTD sur l'appliance FTD FPR2100 est identique à un FTD sur FirePOWER 4100 ou l'appliance 9300.
Vérifiez
Vérifiez le SNMP FXOS pour FPR4100/FPR9300
Vérifications de SNMPv2C FXOS
Vérification de configuration CLI
ksec-fpr9k-1-A /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: Yes
Sys Contact:
Sys Location:
ksec-fpr9k-1-A /monitoring # show snmp-trap
SNMP Trap:
SNMP Trap Port Community Version V3 Privilege Notification Type
------------------------ -------- ---------- ------- ------------ -----------------
192.168.10.100 162 V2c Noauth Traps
Du mode FXOS.
ksec-fpr9k-1-A(fxos)# show run snmp !Command: show running-config snmp !Time: Mon Oct 16 15:41:09 2017 version 5.0(3)N2(4.21) snmp-server host 192.168.10.100 traps version 2c cisco456 snmp-server enable traps callhome event-notify snmp-server enable traps callhome smtp-send-fail … All traps will appear as enable … snmp-server enable traps flexlink ifStatusChange snmp-server context mgmt vrf management snmp-server community cisco123 group network-operator
ksec-fpr9k-1-A(fxos)# show snmp host ------------------------------------------------------------------- Host Port Version Level Type SecName ------------------------------------------------------------------- 192.168.10.100 162 v2c noauth trap cisco456 -------------------------------------------------------------------
ksec-fpr9k-1-A(fxos)# show snmp Community Group / Access context acl_filter --------- -------------- ------- ---------- cisco123 network-operator
...
Demandes SNMP de test :
Exécutez une demande SNMP d'un hôte valide.
Confirmez la génération de déroutement :
Vous pouvez utiliser l'instabilité une interface avec l'ethanalyzer activé confirmer que des déroutements SNMP sont générés et envoyés aux hôtes de déroutement définis
ksec-fpr9k-1-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" Capturing on eth0 wireshark-broadcom-rcpu-dissector: ethertype=0xde08, devicetype=0x0 2017-11-17 09:01:35.954624 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap 2017-11-17 09:01:36.054511 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap
Vérifications FXOS SNMPv3
Étape 1. Les configurations ouvertes de plate-forme FCM UI > le SNMP > l'utilisateur affiche s'il y a n'importe quel mot de passe configuré de mot de passe et d'intimité.
Étape 2. Dans le CLI vous pouvez vérifier la configuration SNMP sous la surveillance de portée.
ksec-fpr9k-1-A /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: No
Sys Contact:
Sys Location:
ksec-fpr9k-1-A /monitoring # show snmp-user
SNMPv3 User:
Name Authentication type
------------------------ -------------------
user1 Sha
ksec-fpr9k-1-A /monitoring # show snmp-user detail
SNMPv3 User:
Name: user1
Authentication type: Sha
Password: ****
Privacy password: ****
Use AES-128: Yes
ksec-fpr9k-1-A /monitoring # show snmp-trap
SNMP Trap:
SNMP Trap Port Community Version V3 Privilege Notification Type
------------------------ -------- ---------- ------- ------------ -----------------
192.168.10.100 162 V3 Priv Traps
Étape 3. Sous le mode FXOS vous pouvez développer la configuration et des détails SNMP.
ksec-fpr9k-1-A(fxos)# show running-config snmp all
…
snmp-server user user1 network-operator auth sha 0x022957ee4690a01f910f1103433e4b7b07d4b5fc priv aes-128 0x022957ee4690a01f910f1103433e4b7b07d4b5fc localizedkey
snmp-server host 192.168.10.100 traps version 3 priv user1
ksec-fpr9k-1-A(fxos)# show snmp user
______________________________________________________________
SNMP USERS
______________________________________________________________
User Auth Priv(enforce) Groups
____ ____ _____________ ______
user1 sha aes-128(yes) network-operator
______________________________________________________________
NOTIFICATION TARGET USERS (configured for sending V3 Inform)
______________________________________________________________
User Auth Priv
____ ____ ____
ksec-fpr9k-1-A(fxos)# show snmp host
-------------------------------------------------------------------
Host Port Version Level Type SecName
-------------------------------------------------------------------
10.48.26.190 162 v3 priv trap user1
-------------------------------------------------------------------
Demandes SNMP de test :
Vous pouvez vérifier la configuration et faire une demande SNMP de n'importe quel périphérique avec des capacités SNMP.
Pour vous vérifier comment la demande SNMP est traitée peut utiliser le SNMP mettent au point.
ksec-fpr9k-1-A(fxos)# debug snmp pkt-dump ksec-fpr9k-1-A(fxos)# 2017 Oct 16 17:11:54.681396 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2 = NULL SNMPPKTEND 2017 Oct 16 17:11:54.681833 snmpd: SNMPPKTSTRT: 3.000000 161 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89 2017 Oct 16 17:11:54.683952 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2.83886080 = STRING: "mgmt0" SNMPPKTEND 2017 Oct 16 17:11:54.684370 snmpd: SNMPPKTSTRT: 3.000000 162 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0 0 remote ip,v4: snmp_40437_10.48.26.190 \200 11 0 \200 11 user1 5 0 0 0xa19ef14 89
Vérifiez le SNMP FXOS pour FPR2100
Vérifications FXOS SNMPv2
Vérifiez la configuration par l'intermédiaire du CLI
FP2110-4 /monitoring # show snmp Name: snmp Admin State: Enabled Port: 161 Is Community Set: Yes Sys Contact: Sys Location: FP2110-4 /monitoring # show snmp-trap SNMP Trap: SNMP Trap Port Version V3 Privilege Notification Type ------------------------ -------- ------- ------------ ----------------- 10.48.26.190 162 V2c Noauth Traps
Confirmez le comportement SNMP :
Vous pouvez vérifier que vous pouvez voter le FXOS et envoyer une demande SNMP d'un hôte ou de n'importe quel périphérique avec des capacités SNMP.
Utilisez la commande du capture-trafic de voir la demande et la réponse SNMP.
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 13:50:50.521383 IP 10.48.26.190.42224 > FP2110-4.snmp: C=cisco123 GetNextRequest(29) interfaces.ifTable.ifEntry.ifDescr 13:50:50.521533 IP FP2110-4.snmp > 10.48.26.190.42224: C=cisco123 GetResponse(32) interfaces.ifTable.ifEntry.ifDescr.1=[|snmp] ^C Caught interrupt signal Exiting. 2 packets captured 2 packets received by filter 0 packets dropped by kernel
Vérifications FXOS SNMPv3
Vérifiez la configuration par l'intermédiaire du CLI.
FP2110-4 /monitoring # show snmp
Name: snmp
Admin State: Enabled
Port: 161
Is Community Set: No
Sys Contact:
Sys Location:
FP2110-4 /monitoring # show snmp-user detail
SNMPv3 User:
Name: user1
Authentication type: Sha
Password: ****
Privacy password: ****
Use AES-128: Yes
FP2110-4 /monitoring # show snmp-trap detail
SNMP Trap:
SNMP Trap: 10.48.26.190
Port: 163
Version: V3
V3 Privilege: Priv
Notification Type: Traps
Confirmez le comportement SNMP :
Envoyez une demande SNMP de vérifier que vous pouvez voter le FXOS.
Supplémentaire, vous pouvez capturer la demande.
> capture-traffic Please choose domain to capture traffic from: 0 - management0 Selection? 0 Please specify tcpdump options desired. (or enter '?' for a list of supported options) Options: udp port 161 HS_PACKET_BUFFER_SIZE is set to 4. tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes 14:07:24.016590 IP 10.48.26.190.38790 > FP2110-4.snmp: F=r U= E= C= [|snmp] 14:07:24.016851 IP FP2110-4.snmp > 10.48.26.190.38790: F= [|snmp][|snmp] 14:07:24.076768 IP 10.48.26.190.38790 > FP2110-4.snmp: F=apr [|snmp][|snmp] 14:07:24.077035 IP FP2110-4.snmp > 10.48.26.190.38790: F=ap [|snmp][|snmp] ^C4 packets captured Caught interrupt signal Exiting. 4 packets received by filter 0 packets dropped by kernel
Vérifiez le SNMP FTD
Pour vérifier la configuration SNMP FTD LINA.
Firepower-module1# show run snmp-server snmp-server host OUTSIDE3 10.62.148.75 community ***** version 2c no snmp-server location no snmp-server contact snmp-server community *****
Vérification supplémentaire.
Firepower-module1# show snmp-server host host ip = 10.62.148.75, interface = OUTSIDE3 poll community ***** version 2c
Du serveur CLI SNMP exécutez un snmpwalk.
root@host:/Volume/home/admin# snmpwalk -v2c -c cisco -OS 10.62.148.48 SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 6.2.3.1 (Build 43), ASA Version 9.9(2)4 SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2313 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8350600) 23:11:46.00 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: Firepower-module1 SNMPv2-MIB::sysLocation.0 = STRING: SNMPv2-MIB::sysServices.0 = INTEGER: 4 IF-MIB::ifNumber.0 = INTEGER: 10 IF-MIB::ifIndex.5 = INTEGER: 5 IF-MIB::ifIndex.6 = INTEGER: 6 IF-MIB::ifIndex.7 = INTEGER: 7 IF-MIB::ifIndex.8 = INTEGER: 8 IF-MIB::ifIndex.9 = INTEGER: 9 IF-MIB::ifIndex.10 = INTEGER: 10 IF-MIB::ifIndex.11 = INTEGER: 11 ...
Vérification des statistiques de trafic SNMP.
Firepower-module1# show snmp-server statistics
1899 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
1899 Number of requested variables
0 Number of altered variables
0 Get-request PDUs
1899 Get-next PDUs
0 Get-bulk PDUs
0 Set-request PDUs (Not supported)
1904 SNMP packets output
0 Too big errors (Maximum packet size 1500)
0 No such name errors
0 Bad values errors
0 General errors
1899 Response PDUs
5 Trap PDUs
Permettez le trafic SNMP à FXOS sur FPR4100/FPR9300
La configuration FXOS sur FPR4100/9300 peut limiter l'accès SNMP par adresse IP source. La section de configuration de liste d'accès définit que les réseaux/hôtes peuvent atteindre le périphérique par l'intermédiaire du SSH, du HTTPS ou du SNMP. Vous devez s'assurer qu'on permet des requêtes SNMP de votre serveur SNMP.
Configurez la liste d'accès globale par l'intermédiaire du GUI
Configurez la liste d'accès globale par l'intermédiaire du CLI
ksec-fpr9k-1-A# scope system ksec-fpr9k-1-A /system # scope services ksec-fpr9k-1-A /system/services # enter ip-block 0.0.0.0 0 snmp ksec-fpr9k-1-A /system/services/ip-block* # commit-buffer
Vérification
ksec-fpr9k-1-A /system/services # show ip-block
Permitted IP Block:
IP Address Prefix Length Protocol
--------------- ------------- --------
0.0.0.0 0 https
0.0.0.0 0 snmp
0.0.0.0 0 ssh
Utilisez le navigateur d'objet OID
Le navigateur d'objet SNMP de Cisco est un outil en ligne où vous pouvez traduire les différents OID et obtenir une description courte.
Employez l'oid de serveur SNMP d'exposition de commande du FTD LINA CLI pour récupérer la liste de totalité de LINA OID qui peut être votée.
> system support diagnostic-cli
firepower# show snmp-server oid ------------------------------------------------- [0] 1.3.6.1.2.1.1.1. sysDescr [1] 1.3.6.1.2.1.1.2. sysObjectID [2] 1.3.6.1.2.1.1.3. sysUpTime [3] 1.3.6.1.2.1.1.4. sysContact [4] 1.3.6.1.2.1.1.5. sysName [5] 1.3.6.1.2.1.1.6. sysLocation [6] 1.3.6.1.2.1.1.7. sysServices [7] 1.3.6.1.2.1.1.8. sysORLastChange
... [1081] 1.3.6.1.6.3.16.1.4.1.9. vacmAccessStatus [1082] 1.3.6.1.6.3.16.1.5.1. vacmViewSpinLock [1083] 1.3.6.1.6.3.16.1.5.2.1.3. vacmViewTreeFamilyMask [1084] 1.3.6.1.6.3.16.1.5.2.1.4. vacmViewTreeFamilyType [1085] 1.3.6.1.6.3.16.1.5.2.1.5. vacmViewTreeFamilyStorageType [1086] 1.3.6.1.6.3.16.1.5.2.1.6. vacmViewTreeFamilyStatus ------------------------------------------------- firepower#
Les informations relatives
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)