Configuration du protocole SNMP sur les pare-feu de nouvelle génération Firepower

Introduction

Ce document décrit comment configurer et dépanner le protocole SNMP (Simple Network Management Protocol) sur les appliances de pare-feu de nouvelle génération (NGFW) Firepower Threat Defense (FTD).

Conditions préalables

Conditions requises

Ce document nécessite une connaissance de base du protocole SNMP.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Les appliances de pare-feu de nouvelle génération Firepower peuvent être divisées en 2 sous-systèmes principaux :

• Firepower Extensible Operative System (FX-OS) contrôle le matériel du châssis.
• Le pare-feu FTD (Firepower Threat Defense) s'exécute dans le module.

FTD est un logiciel unifié qui comprend deux moteurs principaux, le moteur Snort et le moteur LINA. Le moteur SNMP actuel du FTD provient de l'ASA classique et offre une visibilité sur les fonctionnalités liées à LINA.  

FX-OS et FTD ont des plans de contrôle indépendants et, à des fins de surveillance, ils ont différents moteurs SNMP. Chacun des moteurs SNMP fournit des informations différentes et vous pouvez être intéressé par la surveillance des deux pour obtenir une vue plus complète de l'état du périphérique. 

Du point de vue matériel, il existe actuellement deux architectures principales pour les appliances de pare-feu de nouvelle génération Firepower : les gammes Firepower 2100 et Firepower 4100/9300.

Les périphériques Firepower 4100/9300 disposent d'une interface dédiée pour la gestion des périphériques. Il s'agit de la source et de la destination du trafic SNMP adressé au sous-système FXOS. D'autre part, l'application FTD utilise une interface LINA (données et/ou diagnostic). Dans les versions post-6.6 FTD, l'interface de gestion FTD peut également être utilisée) pour la configuration SNMP.

Le moteur SNMP sur les appliances Firepower 2100 utilise l'interface de gestion FTD et l'IP. L'appliance elle-même relie le trafic SNMP reçu sur cette interface et le transfère au logiciel FXOS.

  

Sur les FTD qui utilisent la version 6.6+ du logiciel, ces modifications ont été introduites :

• SNMP via l'interface de gestion.
• Sur les plates-formes de la gamme FPR1000 ou FPR2100, il unifie à la fois LINA SNMP et FXOS SNMP sur cette interface de gestion unique. En outre, il fournit un point de configuration unique sur FMC sous Paramètres de plate-forme > SNMP.

Configuration

Châssis (FXOS) SNMP sur FPR4100/FPR9300

Configurer FXOS SNMPv1/v2c via l'interface utilisateur graphique

Étape 1. Ouvrez l'interface utilisateur de Firepower Chassis Manager (FCM) et accédez à Platform Settings > SNMP tab. Cochez la case d'activation SNMP, spécifiez la chaîne de communauté à utiliser sur les requêtes SNMP et enregistrez.

Note: Si le champ Communauté/Nom d'utilisateur est déjà défini, le texte à droite du champ vide indique Set : Oui. Si le champ Communauté/Nom d'utilisateur n'est pas encore rempli avec une valeur, le texte à droite du champ vide indique Définir : Non

Étape 2. Configurez le serveur de destination des déroutements SNMP.

Note: Les valeurs de communauté pour les requêtes et l'hôte de déroutement sont indépendantes et peuvent être différentes

  

L'hôte peut être défini comme adresse IP ou par nom. Sélectionnez OK et la configuration du serveur SNMP Trap est enregistrée automatiquement. Il n'est pas nécessaire de sélectionner le bouton d'enregistrement dans la page principale SNMP. La même chose se produit lorsque vous supprimez un hôte. 

Configurer FXOS SNMPv1/v2c via l'interface de ligne de commande (CLI)

ksec-fpr9k-1-A# scope monitoring
ksec-fpr9k-1-A /monitoring # enable snmp
ksec-fpr9k-1-A /monitoring* # set snmp community
Enter a snmp community:
ksec-fpr9k-1-A /monitoring* # enter snmp-trap 192.168.10.100
ksec-fpr9k-1-A /monitoring/snmp-trap* # set community
Community:
ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v2c
ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps
ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162
ksec-fpr9k-1-A /monitoring/snmp-trap* # exit
ksec-fpr9k-1-A /monitoring* # commit-buffer

Configurer FXOS SNMPv3 via l'interface utilisateur graphique

Étape 1. Ouvrez FCM et accédez à Platform Settings > SNMP tab.

Étape 2. Pour SNMP v3, il n'est pas nécessaire de définir une chaîne de communauté dans la section supérieure. Chaque utilisateur créé peut exécuter des requêtes avec succès sur le moteur SNMP FXOS. La première étape consiste à activer SNMP dans la plate-forme. Une fois que vous avez terminé, vous pouvez créer les utilisateurs et l'hôte de destination de déroutement. Les utilisateurs SNMP et les hôtes de déroutement SNMP sont enregistrés automatiquement.

  

Étape 3. Comme l'illustre l'image, ajoutez l'utilisateur SNMP. Le type d'authentification est toujours SHA, mais vous pouvez utiliser AES ou DES pour le chiffrement :

Étape 4. Ajoutez l'hôte de déroutement SNMP, comme illustré sur l'image :

Configurer FXOS SNMPv3 via CLI

ksec-fpr9k-1-A# scope monitoring
ksec-fpr9k-1-A /monitoring # enable snmp
ksec-fpr9k-1-A /monitoring # create snmp-user user1
Password:
ksec-fpr9k-1-A /monitoring/snmp-user* # set auth sha
ksec-fpr9k-1-A /monitoring/snmp-user* # set priv-password
Enter a password:
Confirm the password:
ksec-fpr9k-1-A /monitoring/snmp-user* # set aes-128 yes
ksec-fpr9k-1-A /monitoring/snmp-user* # exit
ksec-fpr9k-1-A /monitoring* # enter snmp-trap 10.48.26.190
ksec-fpr9k-1-A /monitoring/snmp-trap* # set community
Community:
ksec-fpr9k-1-A /monitoring/snmp-trap* # set version v3
ksec-fpr9k-1-A /monitoring/snmp-trap* # set notificationtype traps
ksec-fpr9k-1-A /monitoring/snmp-trap* # set port 162
ksec-fpr9k-1-A /monitoring/snmp-trap* # exit
ksec-fpr9k-1-A /monitoring* # commit-buffer

SNMP FTD (LINA) sur FPR4100/FPR9300

Modifications des versions 6.6 et plus

• Dans les versions postérieures à la version 6.6, vous avez également la possibilité d'utiliser l'interface de gestion FTD pour les sondages et les pièges.

La fonctionnalité de gestion IP unique SNMP est prise en charge à partir de la version 6.6 sur toutes les plates-formes FTD :

• FPR2100
• FPR1000
• FPR4100
• FPR9300
• ASA5500 qui exécute FTD
• FTDv

Configurer LINA SNMPv2c

Étape 1. Sur FMC UI, accédez à Devices > Platform Settings > SNMP. Cochez l'option Activer les serveurs SNMP et configurez les paramètres SNMPv2 comme suit :

Étape 2. Dans l'onglet Hôtes, sélectionnez le bouton Ajouter et spécifiez les paramètres du serveur SNMP :

Vous pouvez également spécifier l'interface de diagnostic comme source des messages SNMP. L'interface de diagnostic est une interface de données qui autorise uniquement le trafic vers le boîtier et depuis le boîtier (gestion uniquement).

Cette image provient de la version 6.6 et utilise le thème Light.

En outre, dans les versions post-6.6 FTD, vous pouvez également choisir l'interface de gestion :

Si la nouvelle interface de gestion est sélectionnée, LINA SNMP est disponible sur l'interface de gestion.

Résultat :

Configuration de LINA SNMPv3

Étape 1. Sur FMC UI, accédez à Devices > Platform Settings > SNMP. Cochez l'option Enable SNMP Servers et configurez l'utilisateur et l'hôte SNMPv3 :

Étape 2. Configurez également l’hôte pour recevoir des interruptions :

Étape 3. Les interruptions que vous souhaitez recevoir peuvent être sélectionnées dans la section Interruptions SNMP :

SNMP dans FPR2100

Sur les systèmes FPR2100, il n'y a pas de FCM. La seule façon de configurer SNMP est via FMC.

SNMP de châssis (FXOS) sur FPR2100

  

Depuis FTD 6.6+, vous pouvez également utiliser l'interface de gestion FTD pour SNMP. Dans ce cas, les informations SNMP FXOS et LINA sont transférées via l'interface de gestion FTD.

Configurer FXOS SNMPv1/v2c

Ouvrez FMC UI et accédez à Devices > Device Management. Sélectionnez le périphérique et sélectionnez SNMP :

Modification de FTD 6.6+

Vous pouvez spécifier l'interface de gestion FTD :

Étant donné que l'interface de gestion peut également être configurée pour SNMP, la page affiche ce message d'avertissement :

La configuration des paramètres SNMP de la plate-forme du périphérique sur cette page sera désactivée si les paramètres SNMP configurés avec l'interface de gestion du périphérique via Périphériques > Paramètres de la plate-forme (Défense contre les menaces) > SNMP > Hôtes.

Configuration de FXOS SNMPv3

Ouvrez FMC UI et accédez à Choose Devices > Device Management. Sélectionnez le périphérique et sélectionnez SNMP.

SNMP FTD (LINA) sur FPR2100

• Pour les versions antérieures à la version 6.6, la configuration SNMP FTD LINA sur les appliances FTD FP1xxx/FP21xx est identique à une configuration FTD sur les appliances Firepower 4100 ou 9300.

Versions FTD 6.6+

• Dans les versions post-6.6, vous avez également la possibilité d'utiliser l'interface de gestion FTD pour les sondages et les pièges LINA.

Si la nouvelle interface de gestion est sélectionnée :

• LINA SNMP est disponible via l'interface de gestion.
• Sous Devices > Device Management l'onglet SNMP est désactivé car il n'est plus nécessaire. Une bannière de notification s'affiche. L'onglet Périphérique SNMP n'était visible que sur les plates-formes 2100/1100. Cette page n'existe pas sur les plates-formes FPR9300/FPR4100 et FTD55xx.

Une fois configuré, les informations d'interrogation/déroutement SNMP LINA + FXOS (sur FP1xxx/FP2xxx) SNMP se trouvent sur l'interface de gestion FTD.

La fonctionnalité de gestion IP unique SNMP est prise en charge à partir de la version 6.6 sur toutes les plates-formes FTD :

• FPR2100
• FPR1000
• FPR4100
• FPR9300
• ASA5500 qui exécute FTD
• FTDv

Pour plus de détails, consultez Configurer SNMP pour la défense contre les menaces

Vérification

Vérifier FXOS SNMP pour FPR4100/FPR9300

Vérifications SNMPv2c FXOS

Vérification de la configuration CLI :

ksec-fpr9k-1-A /monitoring # show snmp
Name: snmp
    Admin State: Enabled
    Port: 161
    Is Community Set: Yes
    Sys Contact:
    Sys Location:
ksec-fpr9k-1-A /monitoring # show snmp-trap

SNMP Trap:
    SNMP Trap                Port     Community  Version V3 Privilege Notification Type
    ------------------------ -------- ---------- ------- ------------ -----------------
    192.168.10.100           162                 V2c     Noauth       Traps

En mode FXOS :

ksec-fpr9k-1-A(fxos)# show run snmp

!Command: show running-config snmp
!Time: Mon Oct 16 15:41:09 2017

version 5.0(3)N2(4.21)
snmp-server host 192.168.10.100 traps version 2c cisco456
snmp-server enable traps callhome event-notify
snmp-server enable traps callhome smtp-send-fail
… All traps will appear as enable …
snmp-server enable traps flexlink ifStatusChange
snmp-server context mgmt vrf management
snmp-server community cisco123 group network-operator

Vérifications supplémentaires :

ksec-fpr9k-1-A(fxos)# show snmp host
-------------------------------------------------------------------
Host                            Port Version  Level  Type   SecName
-------------------------------------------------------------------
192.168.10.100                  162  v2c      noauth trap   cisco456
-------------------------------------------------------------------

ksec-fpr9k-1-A(fxos)# show snmp
Community            Group / Access      context    acl_filter
---------            --------------      -------    ----------
cisco123              network-operator

...

Tester les requêtes SNMP

Effectuer une requête SNMP depuis un hôte valide :

Confirmer la génération de pièges

Vous pouvez utiliser flap une interface avec éthanalyzer activé pour confirmer que les déroutements SNMP sont générés et envoyés aux hôtes déroutés définis :

ksec-fpr9k-1-A(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162"
Capturing on eth0
wireshark-broadcom-rcpu-dissector: ethertype=0xde08, devicetype=0x0
2017-11-17 09:01:35.954624 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap
2017-11-17 09:01:36.054511 10.62.148.35 -> 192.168.10.100 SNMP sNMPv2-Trap

Avertissement : Un battement d'interface peut provoquer une panne de trafic. Effectuez ce test uniquement dans un environnement de travaux pratiques ou dans une fenêtre de maintenance

Vérifications SNMPv3 FXOS 

Étape 1. Ouvrir les paramètres de la plate-forme FCM > SNMP > User indique s'il y a un mot de passe et un mot de passe de confidentialité configurés :

Étape 2. Dans l'interface de ligne de commande, vous pouvez vérifier la configuration SNMP sous la surveillance de la portée :  

ksec-fpr9k-1-A /monitoring # show snmp
Name: snmp
    Admin State: Enabled
    Port: 161
    Is Community Set: No
    Sys Contact:
    Sys Location:

ksec-fpr9k-1-A /monitoring # show snmp-user

SNMPv3 User:
    Name                     Authentication type
    ------------------------ -------------------
    user1                    Sha

ksec-fpr9k-1-A /monitoring # show snmp-user detail

SNMPv3 User:
    Name: user1
    Authentication type: Sha
    Password: ****
    Privacy password: ****
    Use AES-128: Yes

ksec-fpr9k-1-A /monitoring # show snmp-trap

SNMP Trap:
    SNMP Trap                Port     Community  Version V3 Privilege Notification Type
    ------------------------ -------- ---------- ------- ------------ -----------------
    192.168.10.100           162                 V3      Priv         Traps

Étape 3. Sous le mode FXOS, vous pouvez développer la configuration et les détails SNMP :

ksec-fpr9k-1-A(fxos)# show running-config snmp all
…
snmp-server user user1 network-operator auth sha 0x022957ee4690a01f910f1103433e4b7b07d4b5fc priv aes-128 0x022957ee4690a01f910f1103433e4b7b07d4b5fc localizedkey
snmp-server host 192.168.10.100 traps version 3 priv user1

ksec-fpr9k-1-A(fxos)# show snmp user
______________________________________________________________
                  SNMP USERS
______________________________________________________________

User                          Auth  Priv(enforce) Groups
____                          ____  _____________ ______
user1                         sha   aes-128(yes)   network-operator

______________________________________________________________
 NOTIFICATION TARGET USERS (configured  for sending V3 Inform)
______________________________________________________________

User                          Auth  Priv
____                          ____  ____

ksec-fpr9k-1-A(fxos)# show snmp host
-------------------------------------------------------------------
Host                            Port Version  Level  Type   SecName
-------------------------------------------------------------------
10.48.26.190                    162  v3       priv   trap   user1
-------------------------------------------------------------------

Tester les requêtes SNMP

Vous pouvez vérifier la configuration et effectuer une requête SNMP à partir de n'importe quel périphérique doté des fonctionnalités SNMP :

Pour vérifier comment la demande SNMP est traitée, vous pouvez utiliser le débogage SNMP :

ksec-fpr9k-1-A(fxos)# debug snmp pkt-dump
ksec-fpr9k-1-A(fxos)# 2017 Oct 16 17:11:54.681396 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2 = NULL  SNMPPKTEND
2017 Oct 16 17:11:54.681833 snmpd:  SNMPPKTSTRT: 3.000000 161 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0    0 remote ip,v4: snmp_40437_10.48.26.190 \200 11  0 \200 11 user1 5 0 0 0xa19ef14 89
2017 Oct 16 17:11:54.683952 snmpd: 1281064976.000000:iso.3.6.1.2.1.2.2.1.2.83886080 = STRING: "mgmt0"  SNMPPKTEND
2017 Oct 16 17:11:54.684370 snmpd:  SNMPPKTSTRT: 3.000000 162 1281064976.000000 1647446526.000000 0.000000 0.000000 0 4 3 3 0    0 remote ip,v4: snmp_40437_10.48.26.190 \200 11  0 \200 11 user1 5 0 0 0xa19ef14 89

Attention : Un débogage peut affecter les performances du périphérique.

Vérification de FXOS SNMP pour FPR2100

Vérifications SNMPv2 FXOS

Vérifiez la configuration via l'interface de ligne de commande :

FP2110-4 /monitoring # show snmp
Name: snmp
    Admin State: Enabled
    Port: 161
    Is Community Set: Yes
    Sys Contact:
    Sys Location:
FP2110-4 /monitoring # show snmp-trap
 
SNMP Trap:
    SNMP Trap                Port     Version V3 Privilege Notification Type
    ------------------------ -------- ------- ------------ -----------------
    10.48.26.190             162      V2c     Noauth       Traps

Confirmer le comportement SNMP

Vous pouvez vérifier que vous êtes en mesure d'interroger le FXOS et d'envoyer une requête SNMP à partir d'un hôte ou d'un périphérique doté de fonctionnalités SNMP :

Utilisez la commande capture-traffic pour afficher la requête et la réponse SNMP :  

> capture-traffic
 
Please choose domain to capture traffic from:
  0 - management0
 
Selection? 0
 
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: udp port 161
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes
13:50:50.521383 IP 10.48.26.190.42224 > FP2110-4.snmp:  C=cisco123 GetNextRequest(29)  interfaces.ifTable.ifEntry.ifDescr
13:50:50.521533 IP FP2110-4.snmp > 10.48.26.190.42224:  C=cisco123 GetResponse(32)  interfaces.ifTable.ifEntry.ifDescr.1=[|snmp]
^C
Caught interrupt signal
 
Exiting.
 
2 packets captured
2 packets received by filter
0 packets dropped by kernel

Vérifications SNMPv3 FXOS

Vérifiez la configuration via l'interface de ligne de commande :

FP2110-4 /monitoring # show snmp
Name: snmp
    Admin State: Enabled
    Port: 161
    Is Community Set: No
    Sys Contact:
    Sys Location:
FP2110-4 /monitoring # show snmp-user detail

SNMPv3 User:
    Name: user1
    Authentication type: Sha
    Password: ****
    Privacy password: ****
    Use AES-128: Yes
FP2110-4 /monitoring # show snmp-trap detail

SNMP Trap:
    SNMP Trap: 10.48.26.190
    Port: 163
    Version: V3
    V3 Privilege: Priv
    Notification Type: Traps

Confirmez le comportement SNMP :

Envoyez une requête SNMP pour vérifier que vous êtes en mesure d'interroger le FXOS :

En outre, vous pouvez capturer la demande :

> capture-traffic

Please choose domain to capture traffic from:
  0 - management0

Selection? 0

Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: udp port 161
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on management0, link-type EN10MB (Ethernet), capture size 96 bytes
14:07:24.016590 IP 10.48.26.190.38790 > FP2110-4.snmp:  F=r U= E=  C= [|snmp]
14:07:24.016851 IP FP2110-4.snmp > 10.48.26.190.38790:  F= [|snmp][|snmp]
14:07:24.076768 IP 10.48.26.190.38790 > FP2110-4.snmp:  F=apr [|snmp][|snmp]
14:07:24.077035 IP FP2110-4.snmp > 10.48.26.190.38790:  F=ap [|snmp][|snmp]
^C4 packets captured
Caught interrupt signal

Exiting.


4 packets received by filter
0 packets dropped by kernel

Vérification du protocole FTD SNMP

Pour vérifier la configuration SNMP de FTD LINA :

Firepower-module1# show run snmp-server
snmp-server host OUTSIDE3 10.62.148.75 community ***** version 2c
no snmp-server location
no snmp-server contact
snmp-server community *****

Dans FTD post-6.6, vous pouvez configurer et utiliser l'interface de gestion FTD pour SNMP :

firepower# show running-config snmp-server
snmp-server group Priv v3 priv
snmp-server group NoAuth v3 noauth
snmp-server user uspriv1 Priv v3 engineID
80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470 encrypted auth sha256
6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05:82:be:30:88:86:19:3c:96:42:3b
:98:a5:35:1b:da:db priv aes 128
6d:cf:98:6d:4d:f8:bf:ee:ad:01:83:00:b9:e4:06:05
snmp-server user usnoauth NoAuth v3 engineID
80000009fe99968c5f532fc1f1b0dbdc6d170bc82776f8b470
snmp-server host ngfw-management 10.225.126.168 community ***** version 2c
snmp-server host ngfw-management 10.225.126.167 community *****
snmp-server host ngfw-management 10.225.126.186 version 3 uspriv1
no snmp-server location
no snmp-server contact

Vérification supplémentaire :

Firepower-module1# show snmp-server host
host ip = 10.62.148.75, interface = OUTSIDE3 poll community ***** version 2c

À partir de l'interface de ligne de commande du serveur SNMP, exécutez une commande snmpwalk :

root@host:/Volume/home/admin# snmpwalk -v2c -c cisco -OS 10.62.148.48
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 6.2.3.1 (Build 43), ASA Version 9.9(2)4
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2313
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (8350600) 23:11:46.00
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: Firepower-module1
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 4
IF-MIB::ifNumber.0 = INTEGER: 10
IF-MIB::ifIndex.5 = INTEGER: 5
IF-MIB::ifIndex.6 = INTEGER: 6
IF-MIB::ifIndex.7 = INTEGER: 7
IF-MIB::ifIndex.8 = INTEGER: 8
IF-MIB::ifIndex.9 = INTEGER: 9
IF-MIB::ifIndex.10 = INTEGER: 10
IF-MIB::ifIndex.11 = INTEGER: 11
...

Vérification des statistiques de trafic SNMP.

Firepower-module1# show snmp-server statistics
1899 SNMP packets input
    0 Bad SNMP version errors
    0 Unknown community name
    0 Illegal operation for community name supplied
    0 Encoding errors
    1899 Number of requested variables
    0 Number of altered variables
    0 Get-request PDUs
    1899 Get-next PDUs
    0 Get-bulk PDUs
    0 Set-request PDUs (Not supported)
1904 SNMP packets output
    0 Too big errors (Maximum packet size 1500)
    0 No such name errors
    0 Bad values errors
    0 General errors
    1899 Response PDUs
    5 Trap PDUs

Autoriser le trafic SNMP vers FXOS sur FPR4100/FPR9300

La configuration FXOS sur FPR4100/9300 peut restreindre l'accès SNMP par adresse IP source. La section Configuration de la liste d'accès définit les réseaux/hôtes qui peuvent atteindre le périphérique via SSH, HTTPS ou SNMP. Vous devez vous assurer que les requêtes SNMP provenant de votre serveur SNMP sont autorisées. 

Configurer la liste d'accès globale via l'interface utilisateur graphique

Configuration de la liste d’accès globale via CLI

ksec-fpr9k-1-A# scope system
ksec-fpr9k-1-A /system # scope services
ksec-fpr9k-1-A /system/services # enter ip-block 0.0.0.0 0 snmp
ksec-fpr9k-1-A /system/services/ip-block* # commit-buffer

Vérification

ksec-fpr9k-1-A /system/services # show ip-block

Permitted IP Block:
    IP Address      Prefix Length Protocol
    --------------- ------------- --------
    0.0.0.0                     0 https
 0.0.0.0 0 snmp
    0.0.0.0                     0 ssh

Utiliser le navigateur d'objets OID

Cisco SNMP Object Navigator est un outil en ligne permettant de traduire les différents OID et d'obtenir une brève description. 

Utilisez la commande show snmp-server oid de l'interface CLI LINA FTD pour récupérer la liste complète des OID LINA pouvant être interrogés.

> system support diagnostic-cli
firepower# show snmp-server oid

-------------------------------------------------
[0]     1.3.6.1.2.1.1.1.        sysDescr
[1]     1.3.6.1.2.1.1.2.        sysObjectID
[2]     1.3.6.1.2.1.1.3.        sysUpTime
[3]     1.3.6.1.2.1.1.4.        sysContact
[4]     1.3.6.1.2.1.1.5.        sysName
[5]     1.3.6.1.2.1.1.6.        sysLocation
[6]     1.3.6.1.2.1.1.7.        sysServices
[7]     1.3.6.1.2.1.1.8.        sysORLastChange
...
[1081]  1.3.6.1.6.3.16.1.4.1.9. vacmAccessStatus
[1082]  1.3.6.1.6.3.16.1.5.1.   vacmViewSpinLock
[1083]  1.3.6.1.6.3.16.1.5.2.1.3.       vacmViewTreeFamilyMask
[1084]  1.3.6.1.6.3.16.1.5.2.1.4.       vacmViewTreeFamilyType
[1085]  1.3.6.1.6.3.16.1.5.2.1.5.       vacmViewTreeFamilyStorageType
[1086]  1.3.6.1.6.3.16.1.5.2.1.6.       vacmViewTreeFamilyStatus
-------------------------------------------------
firepower#

Note: La commande est masquée.

Dépannage

Voici les générateurs de cas SNMP les plus courants vus par le TAC Cisco :

1. Impossible d'interroger FTD LINA SNMP
2. Impossible d'interroger FXOS SNMP
3. Quelles valeurs d'OID SNMP utiliser ?
4. Impossible d'obtenir les interruptions SNMP
5. Impossible de surveiller FMC via SNMP
6. Impossible de configurer SNMP
7. Configuration SNMP sur Firepower Device Manager

Impossible d'interroger FTD LINA SNMP

Description des problèmes (exemple de cas réels du TAC Cisco) :

• « Impossible de récupérer les données sur SNMP. »
• « Impossible d'interroger le périphérique sur SNMPv2. »
• « SNMP ne fonctionne pas. Nous voulons surveiller le pare-feu avec SNMP, mais après la configuration, nous sommes confrontés à des problèmes. »
• « Nous avons deux systèmes de surveillance qui ne peuvent pas surveiller le FTD via SNMP v2c ou 3. »
• « La marche SNMP ne fonctionne pas sur le pare-feu. »

Dépannage recommandé

Voici l'organigramme de dépannage recommandé pour les problèmes d'interrogation SNMP LINA :

Plongée profonde

1. Le paquet SNMP arrive-t-il sur FTD ?

• Activer les captures pour vérifier l'arrivée des paquets SNMP

SNMP sur l'interface de gestion FTD (version post-6.6) utilise le mot clé ‘management’ :

firepower# show run snmp-server
snmp-server host management 192.0.2.100 community ***** version 2c

SNMP sur les interfaces de données FTD utilise le nom de l'interface :

firepower# show run snmp-server
snmp-server host net201 192.0.2.100 community ***** version 2c

Capture sur l'interface de gestion FTD :

> capture-traffic
Please choose domain to capture traffic from:
  0 - management1
  1 - management0
  2 - Global
Selection? 1

Capture sur l'interface de données FTD :

firepower# capture SNMP interface net201 trace match udp any any eq 161

Suivi des paquets de l'interface de données FTD (scénario fonctionnel - pré 6.6/9.14.1) :

Suivi des paquets de l'interface de données FTD (scénario non fonctionnel - post 6.6/9.14.1) :

2. Si vous ne voyez pas de paquets SNMP dans les captures d'entrée FTD :

• Prendre des captures en amont le long du chemin
• S'assurer que le serveur SNMP utilise l'adresse IP FTD appropriée
• Démarrez à partir du port de commutation qui fait face à l'interface FTD et remontez

3. Les réponses SNMP FTD s'affichent-elles ?

Pour vérifier si FTD répond, vérifiez :

1. Capture de sortie FTD (interface LINA ou de gestion)

Vérifiez les paquets SNMP avec le port source 161 :

firepower# show capture SNMP
75 packets captured
   1: 22:43:39.568101       802.1Q vlan#201 P0 192.0.2.100.58255 > 192.0.2.50.161:  udp 39
   2: 22:43:39.568329       802.1Q vlan#201 P0 192.0.2.100.58255 > 192.0.2.50.161:  udp 39
   3: 22:43:39.569611       802.1Q vlan#201 P0 192.0.2.50.161 > 192.0.2.100.58255:  udp 119

Dans les versions postérieures à 6.6/9.14.1, vous avez un point de capture supplémentaire : Capturer sur l'interface de la touche NLP. Notez que l'adresse IP NATed provient de la plage 162.254.x.x :

admin@firepower:~$ sudo tcpdump -i tap_nlp
listening on tap_nlp, link-type EN10MB (Ethernet), capture size 262144 bytes
16:46:28.372018 IP 192.0.2.100.49008 > 169.254.1.2.snmp:  C="Cisc0123" GetNextRequest(28)  E:cisco.9.109
16:46:28.372498 IP 169.254.1.2.snmp > 192.0.2.100.49008:  C="Cisc0123" GetResponse(35)  E:cisco.9.109.1.1.1.1.2.1=0

Contrôles supplémentaires

a. Vérifiez les statistiques FTD LINA snmp-server :

firepower# clear snmp-server statistics
firepower# show snmp-server statistics
379 SNMP packets input
    0 Bad SNMP version errors
    0 Unknown community name
    0 Illegal operation for community name supplied
    0 Encoding errors
    351 Number of requested variables    <- SNMP requests in
…
360 SNMP packets output
    0 Too big errors (Maximum packet size 1500)
    0 No such name errors
    0 Bad values errors
    0 General errors
    351 Response PDUs                    <- SNMP replies out
    9 Trap PDUs

b. Table de connexion FTD LINA

Cette vérification est très utile si vous ne voyez pas de paquets dans la capture sur l'interface d'entrée FTD. Notez qu'il s'agit d'une vérification valide uniquement pour SNMP sur l'interface de données ! Si SNMP se trouve sur l'interface de gestion (post-6.6/9.14.1), aucun conn n'est créé.

firepower# show conn all protocol udp port 161
13 in use, 16 most used
...
UDP nlp_int_tap  169.254.1.2:161 net201  192.0.2.100:55048, idle 0:00:21, bytes 70277, flags -c

c. Syslogs FTD LINA

Il s'agit également d'une vérification valide uniquement pour SNMP sur l'interface de données ! Si SNMP est sur l'interface de gestion, aucun journal n'est créé :

firepower# show log | i 302015.*161
Jul 13 2021 21:24:45: %FTD-6-302015: Built inbound UDP connection 5292 for net201:192.0.2.100/42909 (192.0.2.100/42909) to nlp_int_tap:169.254.1.2/161 (192.0.2.50/161)

d. Vérifier si le FTD supprime les paquets SNMP en raison d'une adresse IP source d'hôte incorrecte

e. Informations d'identification incorrectes (communauté SNMP)

Dans le contenu de la capture, vous pouvez voir les valeurs de communauté (SNMP v1 et 2c) :

f. Configuration incorrecte (par exemple, version SNMP ou chaîne de communauté)

Il existe plusieurs façons de vérifier la configuration SNMP du périphérique et les chaînes de communauté :

firepower# more system:running-config | i community
snmp-server host net201 192.0.2.100 community cISCO123 version 2c

Autre possibilité :

firepower# debug menu netsnmp 4

g. FTD LINA/ASA ASP abandonne

Il s'agit d'une vérification utile afin de vérifier si les paquets SNMP sont abandonnés par le FTD. Commencez par effacer les compteurs (clear asp drop), puis testez :

firepower# clear asp drop
firepower# show asp drop

Frame drop:
  No valid adjacency (no-adjacency)                                   6
  No route to host (no-route)                                       204
  Flow is denied by configured rule (acl-drop)                      502
  FP L2 rule drop (l2_acl)                                            1

Last clearing: 19:25:03 UTC Aug 6 2021 by enable_15

Flow drop:
Last clearing: 19:25:03 UTC Aug 6 2021 by enable_15

h. Captures ASP

Les captures ASP fournissent une visibilité sur les paquets abandonnés (par exemple, ACL ou contiguïté) :

firepower# capture ASP type asp-drop all

Testez puis vérifiez le contenu de la capture :

firepower# show capture
capture ASP type asp-drop all [Capturing - 196278 bytes]

i. coeur SNMP (traceback) - méthode de vérification 1

Cette vérification est utile si vous suspectez des problèmes de stabilité du système :

firepower# show disk0: | i core
13  52286547    Jun 11 2021 12:25:16  coredumpfsys/core.snmpd.6208.1626214134.gz

coeur SNMP (traceback) - méthode de vérification 2

admin@firepower:~$ ls -l /var/data/cores
-rw-r--r-- 1 root root 685287 Jul 14 00:08 core.snmpd.6208.1626214134.gz

Si vous voyez un fichier principal SNMP, collectez ces éléments et contactez le TAC Cisco :

• Fichier TS FTD (ou ASA show tech)
• snmpd core files

Débogues SNMP (il s'agit de commandes masquées et disponibles uniquement sur les versions plus récentes) :

firepower# debug snmp trace [255]
firepower# debug snmp verbose [255]
firepower# debug snmp error [255]
firepower# debug snmp packet [255]

La réponse SNMP du pare-feu arrive-t-elle au serveur ?

Si le FTD répond, mais que la réponse n'atteint pas le contrôle du serveur :

a. Routage FTD

Pour le routage d'interface de gestion FTD :

> show network

Pour le routage d'interface de données FTD LINA :

firepower# show route

b. Vérification MAC de destination

Vérification MAC dst de gestion FTD :

> capture-traffic
Please choose domain to capture traffic from:
  0 - management1
  1 - management0
  2 - Global
Selection? 1
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n -e udp port 161
01:00:59.553385 a2:b8:dc:00:00:02 > 5c:fc:66:36:50:ce, ethertype IPv4 (0x0800), length 161: 10.62.148.197.161 > 10.62.184.23.49704:  C="cisco" GetResponse(105)  .1.3.6.1.2.1.1.1.0="Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3"

Vérification MAC de destination de l'interface de données FTD LINA :

firepower# show capture SNMP detail
...
   6: 01:03:01.391886 a2b8.dc00.0003 0050.5685.3ed2 0x8100 Length: 165
      802.1Q vlan#201 P0 192.168.21.50.161 > 192.168.21.100.40687:  [udp sum ok] udp 119 (DF) (ttl 64, id 42429)

c. Vérifier les périphériques situés le long du chemin qui peuvent potentiellement bloquer/supprimer les paquets SNMP.

Vérifier le serveur SNMP

a. Vérifier le contenu de la capture pour vérifier les paramètres

b. Vérifier la configuration du serveur

c. Essayez de modifier le nom de la communauté SNMP (par exemple, sans caractères spéciaux)

Vous pouvez utiliser un hôte final ou même le FMC pour tester l'interrogation tant que les deux conditions sont remplies :

1. La connectivité SNMP est en place
2. L'adresse IP source est autorisée à interroger le périphérique

admin@FS2600-2:~$ snmpwalk -c cisco -v2c 192.0.2.197
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3

Considérations relatives à l'interrogation SNMPv3

• Licence : SNMPv3 nécessite une licence de chiffrement fort. Assurez-vous que la fonctionnalité d'exportation contrôlée est activée sur le portail Smart Licensing.
• Pour le dépannage, vous pouvez essayer avec un nouvel utilisateur/de nouvelles informations d'identification
• Si le chiffrement est utilisé, vous pouvez déchiffrer le trafic SNMPv3 et vérifier la charge utile comme décrit dans : https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/215092-analyze-firepower-firewall-captures-to-e.html#anc59
• Considérez AES128 pour le chiffrement au cas où votre logiciel serait affecté par des défauts tels que :

ID bogue Cisco CSCvy27283 L'interrogation SNMPv3 ASA/FTD peut échouer à l'aide des algorithmes de confidentialité AES192/AES256

ID bogue Cisco CSCvx45604 Échec de la marche Snmpv3 sur l'utilisateur avec auth sha et priv aes 192

Note: Si SNMPv3 échoue en raison d'une incompatibilité d'algorithme entre les sorties show et les journaux ne montrent rien d'évident

Considérations d'interrogation SNMPv3 - Études de cas

1. SNMPv3 snmpwalk - Scénario fonctionnel

admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a SHA -A Cisco123 -x AES -X Cisco123 192.168.21.50
SNMPv2-MIB::sysDescr.0 = STRING: Cisco Firepower Threat Defense, Version 7.0.0 (Build 3), ASA Version 9.16(0)3
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.2315

Dans la capture (snmpwalk), vous voyez une réponse pour chaque paquet :

Le fichier de capture ne montre rien d'inhabituel :

2. SNMPv3 snmpwalk - Échec du chiffrement

Conseil n° 1 : Il y a un délai d'attente :

admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a SHA -A Cisco123 -x DES -X Cisco123 192.168.21.50
Timeout: No Response from 192.0.2.1

Conseil n° 2 : Il y a beaucoup de requêtes et 1 réponse :

Conseil n° 3 : Échec du déchiffrement Wireshark :

Indice 4. Consultez le fichier ma_ctx2000.log pour connaître l'erreur lors de l'analyse des messages ScopedPDU :

> expert
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log
security service 3 error parsing ScopedPDU
security service 3 error parsing ScopedPDU
security service 3 error parsing ScopedPDU

L'analyse d'erreur ScopedPDU est un indice fort d'une erreur de chiffrement. Notez que le fichier ma_ctx2000.log affiche des événements uniquement pour SNMPv3 !

3. SNMPv3 snmpwalk - Échec de l'authentification

Conseil n° 1 : Échec de l'authentification

admin@FS2600-2:~$ snmpwalk -v 3 -u Cisco123 -l authPriv -a MD5 -A Cisco123 -x AES -X Cisco123 192.168.21.50
snmpwalk: Authentication failure (incorrect password, community or key)

Conseil n° 2 : Il y a beaucoup de requêtes et de réponses

Conseil n° 3 : Paquet malformé Wireshark

Indice 4. Vérifiez les messages d'échec de l'authentification dans le fichier ma_ctx2000.log :

> expert
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log
Authentication failed for Cisco123
Authentication failed for Cisco123

Impossible d'interroger FXOS SNMP

Description des problèmes (exemple de cas réels du TAC Cisco) :

• « SNMP donne une version incorrecte pour FXOS. Lorsque vous interrogez SNMP pour la version de FXOS, le résultat est difficile à comprendre. »
• « Impossible de configurer la communauté snmp sur FXOS FTD4115. »
• « Après une mise à niveau de FXOS de 2.8 à 2.9 sur le pare-feu de secours, nous obtenons un délai d'attente lorsque nous essayons de recevoir des informations via SNMP. »
• « snmpwalk échoue sur 9300 fxos mais fonctionne sur 4140 fxos sur la même version. L'accessibilité et la communauté ne sont pas le problème. »
• « Nous voulons ajouter 25 serveurs SNMP sur FPR4K FXOS, mais nous ne le pouvons pas. »

Dépannage recommandé

Voici l'organigramme de dépannage recommandé pour les problèmes d'interrogation SNMP FXOS :

1. Voyez-vous des paquets SNMP dans les captures FXOS ?

FPR1xxx/21xx

• Sur FPR1xxx/21xx, il n'y a pas de gestionnaire de châssis (mode appliance)
• Vous pouvez interroger le logiciel FXOS à partir de l'interface de gestion

> capture-traffic
Please choose domain to capture traffic from:
  0 - management0
  1 - Global

Selection? 0
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n host 192.0.2.100 and udp port 161

41xx/9300

• Sur Firepower 41xx/93xx, utilisez l'outil de ligne de commande Ethanalyzer pour capturer un châssis :

firepower# connect fxos
firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 161" limit-captured-frames 50 write workspace:///SNMP.pcap
firepower(fxos)# exit
firepower# connect local-mgmt
firepower(local-mgmt)# dir
1 11152 Jul 26 09:42:12 2021 SNMP.pcap
firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap

2. Aucun paquet dans les captures FXOS ?

• Prendre des captures en amont le long du chemin

3. Réponses FXOS ?

• Scénario fonctionnel :

> capture-traffic
...
Options: -n host 192.0.2.23 and udp port 161
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on management0, link-type EN10MB (Ethernet), capture size 262144 bytes
08:17:25.952457 IP 192.0.2.23.36501 > 192.0.2.28.161:  C="Cisco123" GetNextRequest(25)  .1.3.6.1.2.1
08:17:25.952651 IP 192.0.2.28.161 > 192.0.2.23.36501:  C="Cisco123" GetResponse(97)  .1.3.6.1.2.1.1.1.0="Cisco Firepower FPR-1150 Security Appliance, System Version 2.10(1.1)"

4. FXOS ne répond pas

Contrôles supplémentaires

• Vérifiez la configuration SNMP (à partir de l'interface utilisateur ou de l'interface de ligne de commande) :

firepower# scope monitoring
firepower /monitoring # show snmp
Name: snmp
    Admin State: Enabled
    Port: 161
    Is Community Set: Yes

• Attention aux caractères spéciaux (par exemple, "$") :

FP4145-1# connect fxos
FP4145-1(fxos)# show running-config snmp all
FP4145-1(fxos)# show snmp community
Community            Group / Access      context    acl_filter
---------            --------------      -------    ----------
Cisco123              network-operator

• Pour SNMP v3, utilisez show snmp-user [detail]
• Vérification de la compatibilité FXOS

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html#id_59069

4. Si FXOS ne répond pas

Vérifiez les compteurs SNMP FXOS :

• Vérifiez la liste de contrôle d'accès (ACL) FXOS. Ceci est applicable uniquement sur les plates-formes FPR41xx/9300.

Si le trafic est bloqué par la liste de contrôle d'accès FXOS, vous voyez des requêtes, mais aucune réponse n'apparaît :

firepower(fxos)# ethanalyzer local interface mgmt capture-filter
"udp port 161" limit-captured-frames 50 write workspace:///SNMP.pcap
Capturing on 'eth0'
    1 2021-07-26 11:56:53.376536964 192.0.2.23 → 192.0.2.37 SNMP 84 get-next-request 1.3.6.1.2.1
    2 2021-07-26 11:56:54.377572596 192.0.2.23 → 192.0.2.37 SNMP 84 get-next-request 1.3.6.1.2.1
    3 2021-07-26 11:56:55.378602241 192.0.2.23 → 192.0.2.37 SNMP 84 get-next-request 1.3.6.1.2.1

Vous pouvez vérifier la liste de contrôle d'accès FXOS à partir de l'interface utilisateur :

Vous pouvez également vérifier la liste de contrôle d'accès FXOS à partir de l'interface de ligne de commande :

firepower# scope system
firepower /system # scope services
firepower /system/services # show ip-block detail

Permitted IP Block:
    IP Address: 0.0.0.0
    Prefix Length: 0
    Protocol: snmp

• Déboguer SNMP (paquets uniquement). Applicable uniquement sur FPR41xx/9300 :

FP4145-1# connect fxos
FP4145-1(fxos)# terminal monitor
FP4145-1(fxos)# debug snmp pkt-dump
2021 Aug  4 09:51:24.963619 snmpd:  SNMPPKTSTRT: 1.000000 161 495192988.000000 0.000000 0.000000 0.000000 0 0 2 1 0   Cisco123 8 remote ip,v4: snmp_44048_192.0.2.23  0  0  0  0 0 0 0 15

• Debug SNMP (all) - Ce résultat de débogage est très détaillé !

FP4145-1(fxos)# debug snmp all
2021 Aug  4 09:52:19.909032 snmpd: SDWRAP message Successfully processed
2021 Aug  4 09:52:21.741747 snmpd: Sending it to SDB-Dispatch
2021 Aug  4 09:52:21.741756 snmpd: Sdb-dispatch did not process

• Vérifiez s'il existe des pannes FXOS liées au protocole SNMP :

FXOS# show fault
Severity Code Last Transition Time ID Description
--------- -------- ------------------------ -------- -----------
Warning F78672 2020-04-01T21:48:55.182 1451792 [FSM:STAGE:REMOTE-ERROR]: Result: resource-unavailable Code: unspecified Message: Failed to set SNMP user (sam:dme:CommSvcEpUpdateSvcEp:SetEpLocal)

• Vérifiez s'il existe des coeurs snmpd :

Sur FPR41xx/FPR9300 :

firepower# connect local-mgmt
firepower(local-mgmt)# dir cores
1 1983847 Apr 01 17:26:40 2021 core.snmpd.10012.1585762000.gz
1 1984340 Apr 01 16:53:09 2021 core.snmpd.10018.1585759989.gz

Sur FPR1xxx/21xx :

firepower(local-mgmt)# dir cores_fxos

Si vous voyez des coeurs snmpd, collectez les coeurs avec le bundle de dépannage FXOS et contactez le TAC Cisco.

5. La réponse SNMP arrive-t-elle sur le serveur SNMP ?

• Vérifier le routage FXOS

Ce résultat provient de FPR41xx/9300 :

firepower# show fabric-interconnect
Fabric Interconnect:
    ID   OOB IP Addr     OOB Gateway     OOB Netmask     OOB IPv6 Address OOB IPv6 Gateway Prefix Operability Ingress VLAN Group Entry Count (Current/Max) Switch Forwarding Path Entry Count (Current/Max)
    ---- --------------- --------------- --------------- ---------------- ---------------- ------ ----------- --------------------------------------------
A    192.0.2.37    192.0.2.1     255.255.255.128 ::               ::               64     Operable    0/500                                        14/1021

• Prenez une capture, exportez le pcap et vérifiez l’adresse MAC dst de la réponse
• Enfin, vérifiez le serveur SNMP (captures, configuration, application, etc.)

Quelles valeurs d'OID SNMP utiliser ?

Description des problèmes (exemple de cas réels du TAC Cisco) :

• « Nous voulons surveiller l'équipement Cisco Firepower. Veuillez fournir des OID SNMP pour chaque processeur principal, mémoire, disques »
• « Existe-t-il un OID pouvant être utilisé pour surveiller l'état de l'alimentation sur le périphérique ASA 5555 ? »
• « Nous voulons récupérer l'OID SNMP du châssis sur FPR 2K et FPR 4K. »
• « Nous voulons interroger le cache ARP ASA. »
• « Nous devons connaître l'OID SNMP pour l'homologue BGP en panne. »

Comment rechercher les valeurs OID SNMP

Ces documents fournissent des informations sur les OID SNMP sur les périphériques Firepower :

• Livre blanc sur la surveillance SNMP de Cisco Firepower Threat Defense (FTD) :

https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/white-paper-c11-741739.html

• Guide de référence de la base MIB FXOS Cisco Firepower 4100/9300 :

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/mib/b_FXOS_4100_9300_MIBRef.html

• Comment rechercher un OID spécifique sur les plates-formes FXOS :

https://www.cisco.com/c/en/us/support/docs/security/firepower-9000-series/214337-how-to-look-for-an-specific-oid-on-fxos.html

• Vérifier les OID SNMP à partir de l'interface de ligne de commande (ASA/LINA)

firepower# show snmp-server ?
  engineID    Show snmp engineID
  group       Show snmp groups
  host        Show snmp host's
  statistics  Show snmp-server statistics
  user        Show snmp users

firepower# show snmp-server oid  <- hidden option!
[1]  .1.3.6.1.2.1.2.1   IF-MIB::ifNumber
[2]  .1.3.6.1.2.1.2.2.1.1   IF-MIB::ifIndex
[3]  .1.3.6.1.2.1.2.2.1.2   IF-MIB::ifDescr
[4]  .1.3.6.1.2.1.2.2.1.3   IF-MIB::ifType

• Pour plus d'informations sur les OID, consultez le Navigateur d'objets SNMP

https://snmp.cloudapps.cisco.com/Support/SNMP/do/BrowseOID.do?local=en

• Sur FXOS (41xx/9300), exécutez ces 2 commandes à partir de l'interface de ligne de commande FXOS :

FP4145-1# connect fxos
FP4145-1(fxos)# show snmp internal oids supported create
FP4145-1(fxos)# show snmp internal oids supported
- SNMP All supported MIB OIDs -0x11a72920
Subtrees for Context:
ccitt
1
1.0.8802.1.1.1.1.1.1  ieee8021paeMIB
1.0.8802.1.1.1.1.1.2
...

Référence rapide des OID courants

Exigence	OID
CPU (LINA)	1.3.6.1.4.1.9.9.109
CPU (Snort)	1.3.6.1.4.1.9.9.109.1.1.1.1.7, 1.3.6.1.4.1.9.9.109.1.1.1.1.10 (FP >= 6.7)
Mémoire (LINA)	1.3.6.1.4.1.9.9.48, 1.3.6.1.4.1.9.9.221
Mémoire (Linux/FMC)	1.3.6.1.4.1.2021.4
Mémoire FXOS utilisée/libre (41xx/93xx)	1.3.6.1.4.1.9.9.109.1.1.1.1.12.1, 1.3.6.1.4.1.9.9.109.1.1.1.1.13.1
Interfaces	1.3.6.1.2.1.2
Informations HA	1.3.6.1.4.1.9.9.147.1.2.1.1.1
Informations sur le cluster	1.3.6.1.4.1.9.9.491.1.8.1
Informations VPN	1.3.6.1.4.1.9.9.171.1 - Conseil : firepower# show snmp-server oid | j'aime
État BGP	ENH ID de bogue Cisco CSCux13512 :: Ajouter une MIB BGP pour l'interrogation SNMP
FPR 1K/2K ASA/ASAv Smart Licensing	ENH ID de bogue Cisco CSCvv83590 :: ASAv/ASA sur FPR1k/2k : Nécessité de l'OID SNMP pour le suivi de l'état des licences Smart
OID SNMP Lina pour canal de port de niveau FXOS	ID de bogue ENH Cisco CSCvu91544 :: Prise en charge des OID SNMP Lina pour les statistiques d'interface port-channel de niveau FXOS

Impossible d'obtenir les interruptions SNMP

Description des problèmes (exemple de cas réels du TAC Cisco) :

• « SNMPv3 de FTD n'envoie aucun déroutement au serveur SNMP. »
• « FMC et FTD n'envoient pas de messages d'interruption SNMP. »
• « Nous avons configuré SNMP sur notre FTD 4100 pour FXOS et avons essayé SNMPv3 et SNMPv2, mais les deux ne peuvent pas envoyer de déroutements. »
• « Firepower SNMP n'envoie pas de déroutements à l'outil de surveillance. »
• « Le pare-feu FTD n'envoie pas d'interruption SNMP à NMS. »
• « Les interruptions de serveur SNMP ne fonctionnent pas. »
• « Nous avons configuré SNMP sur notre FTD 4100 pour FXOS et avons essayé SNMPv3 et SNMPv2, mais les deux ne peuvent pas envoyer de déroutements. »

Dépannage recommandé

Voici l'organigramme de dépannage recommandé pour les problèmes de déroutement SNMP Firepower :

1. Voyez-vous des déroutements SNMP sur la capture de sortie ?

Pour capturer les interruptions LINA/ASA sur l'interface de gestion :

> capture-traffic
Please choose domain to capture traffic from:
  0 - management0
  1 - Global
Selection? 0
Options: -n host 192.0.2.100 and udp port 162

Pour capturer les interruptions LINA/ASA sur l'interface de données :

firepower# capture SNMP interface net208 match udp any any eq 162

Pour capturer des interruptions FXOS (41xx/9300) :

firepower# connect fxos
firepower(fxos)# ethanalyzer local interface mgmt capture-filter "udp port 162" limit-captured-frames 500 write workspace:///SNMP.pcap
 1 2021-08-02 11:22:23.661436002  10.62.184.9 → 10.62.184.23 SNMP 160 snmpV2-trap 1.3.6.1.2.1.1.3.0 1.3.6.1.6.3.1.1.4.1.0
firepower(fxos)# exit
firepower# connect local-mgmt
firepower(local-mgmt)# dir
1 11134 Aug 2 11:25:15 2021 SNMP.pcap
firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap

2. Si vous ne voyez pas de paquets sur l'interface de sortie

firepower# show run all snmp-server
snmp-server host ngfw-management 10.62.184.23 version 3 Cisco123 udp-port 162
snmp-server host net208 192.168.208.100 community ***** version 2c udp-port 162
snmp-server enable traps failover-state

Configuration des interruptions SNMP FXOS :

FP4145-1# scope monitoring
FP4145-1 /monitoring # show snmp-trap

SNMP Trap:
    SNMP Trap     Port   Community  Version  V3 Privilege Notification Type
    ------------------- ------- --------------- ----------- ---------------- -----------------
    192.0.2.100     162    ****              V2c        Noauth         Traps

Note: Sur 1xxx/21xx, ces paramètres ne s'affichent que dans le cas de Devices > Device Management > SNMP config !

• Routage LINA/ASA pour les interruptions via l'interface de gestion :

> show network

• Routage LINA/ASA pour les interruptions via l'interface de données :

firepower# show route

• Routage FXOS (41xx/9300) :

FP4145-1# show fabric-interconnect

• Compteurs de déroutement (LINA/ASA) :

firepower# show snmp-server statistics | i Trap
    20 Trap PDUs

Et FXOS :

FP4145-1# connect fxos
FP4145-1(fxos)# show snmp | grep Trap
        1296 Out Traps PDU

Vérifications supplémentaires

• Prendre une capture sur le serveur SNMP de destination

Autres choses à vérifier :

• Capture le long du chemin
• Adresse MAC de destination des paquets de déroutement SNMP
• Paramètres et état du serveur SNMP (par exemple, pare-feu, ports ouverts, etc.)
• Chaîne de communauté SNMP
• Configuration du serveur SNMP

Impossible de surveiller FMC via SNMP

Description des problèmes (exemple de cas réels du TAC Cisco) :

• « SNMP ne fonctionne pas sur FMC de secours. »
• « Besoin de surveiller la mémoire FMC. »
• « Le protocole SNMP doit-il être fonctionnel sur le module FMC de secours 6.4.0.8 ? »
• « Nous devons configurer les FMC pour surveiller leurs ressources telles que le processeur, la mémoire, etc. »

Dépannage recommandé

Voici le diagramme de dépannage recommandé pour les problèmes SNMP FMC :

1. Le paquet SNMP arrive sur FMC ?

• Capture sur l'interface de gestion FMC :

admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:58:45.961836 IP 192.0.2.10.57076 > 192.0.2.23.161:  C="Cisco123" GetNextRequest(28)  .1.3.6.1.4.1.2021.4

Astuce : Enregistrez la capture dans le répertoire FMC /var/common/ et téléchargez-la à partir de l'interface FMC.

admin@FS2600-2:~$ sudo tcpdump -i eth0 udp port 161 -n -w /var/common/FMC_SNMP.pcap
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C46 packets captured
46 packets received by filter

FMC répond-il ?

Si FMC ne répond pas, vérifiez :

• Configuration SNMP FMC (System > Configuration)
  1. Section SNMP
  2. Section Liste d'accès

Si FMC ne répond pas, vérifiez :

• Capture (pcap) du contenu
• Chaîne de communauté (visible dans les captures)
• Sortie de la souche FMC (rechercher les erreurs, les échecs, les traces) et contenu de /var/log/snmpd.log
• processus snmpd

admin@FS2600-2:~$ sudo pmtool status | grep snmpd
snmpd (normal) - Running 12948
Command: /usr/sbin/snmpd -c /etc/snmpd.conf -Ls daemon -f -p /var/run/snmpd.pid
PID File: /var/run/snmpd.pid
Enable File: /etc/snmpd.conf

• coeurs snmpd

admin@FS2600-2:~$ ls -al /var/common | grep snmpd
-rw-------  1 root root         5840896 Aug  3 11:28 core_1627990129_FS2600-2_snmpd_3.12948

• Fichier de configuration du serveur principal dans /etc/snmpd.conf :

admin@FS2600-2:~$ sudo cat /etc/snmpd.conf
# additional user/custom config can be defined in *.conf files in this folder
includeDir /etc/snmp/config.d
engineIDType 3
agentaddress udp:161,udp6:161
rocommunity Cisco123
rocommunity6 Cisco123

Note: Si SNMP est désactivé, le fichier snmpd.conf n'existe pas

• Est-ce un FMC de secours ?

Dans les versions antérieures à 6.4.0-9 et antérieures à 6.6.0, le FMC de secours n'envoie pas de données SNMP (snmpd est en attente). C’est un comportement attendu. Check Enhancement ID de bogue Cisco CSCvs32303

Impossible de configurer SNMP

Description des problèmes (exemple de cas réels du TAC Cisco) :

• « Nous voulons configurer SNMP pour Cisco Firepower Management Center et Firepower 4115 Threat Defense. »
• « Prise en charge de la configuration SNMP sur FTD »
• « Nous voulons activer la surveillance SNMP sur mon appareil FTD. »
• « Nous essayons de configurer le service SNMP dans FXOS, mais le système ne nous laisse pas commit-buffer en fin de compte. Il indique Erreur : Modifications non autorisées. utilisez 'Connect ftd' pour apporter des modifications. »
• « Nous voulons activer la surveillance SNMP sur notre appareil FTD. »
• « Impossible de configurer SNMP sur FTD et de détecter le périphérique dans la surveillance. »

Comment aborder les problèmes de configuration SNMP

Tout d'abord : Documentation!

• Lisez le document actuel !
• Guide de configuration FMC :

https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70.html

• Guide de configuration FXOS :

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos2101/web-guide/b_GUI_FXOS_ConfigGuide_2101/platform_settings.html#topic_6C6725BBF4BC4333BA207BE9DB115F53

Connaître les différents documents SNMP !

SNMP FMC :

SNMP FXOS :

Configuration SNMP de Firepower 41xx/9300 :

Configuration SNMP de Firepower 1xxx/21xx :

Configuration SNMP sur Firepower Device Manager (FDM)

Description des problèmes (exemple de cas réels du TAC Cisco) :

• « Nous avons besoin de conseils sur SNMPv3 sur le périphérique Firepower avec FDM. »
• « La configuration SNMP ne fonctionne pas sur le périphérique FPR 2100 à partir de FDM. »
• « Impossible d'obtenir que la configuration SNMP v3 fonctionne sur le FDM. »
• « Assistance à la configuration SNMP de FDM 6.7. »
• « Activez SNMP v3 dans Firepower FDM. »

Comment aborder les problèmes de configuration SNMP FDM

• Pour la version antérieure à la version 6.7, vous pouvez effectuer la configuration SNMP à l'aide de FlexConfig :

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/fdm/fptd-fdm-config-guide-660/fptd-fdm-advanced.html

• Depuis Firepower version 6.7, la configuration SNMP n'est plus faite avec FlexConfig, mais avec l'API REST :

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216551-configure-and-troubleshoot-snmp-on-firep.html

Fiches de dépannage SNMP

1xxx/21xx/41xx/9300 (LINA/ASA) - Que collecter avant d'ouvrir un dossier auprès du centre d'assistance technique Cisco

Commande	Description
firepower# show run snmp-server	Vérifier la configuration SNMP de la liaison ASA/FTD LINA
firepower# show snmp-server statistics	Vérifiez les statistiques SNMP sur ASA/FTD LINA. Concentrez-vous sur les compteurs d'entrée et de sortie des paquets SNMP.
> capture-traffic	Capturer le trafic sur l'interface de gestion
firepower# capture interface SNMP-POLL net201 trace match udp any any any eq 161	Capturer le trafic sur l'interface de données (nom ‘net201’) pour UDP 161 (interrogation SNMP)
firepower# capture SNMP-TRAP interface net208 match udp any any eq 162	Capturer le trafic sur l'interface de données (nom ‘net208’) pour UDP 162 (déroutements SNMP)
firepower# show capture SNMP-POLL packet-number 1 trace	Suivre un paquet SNMP entrant arrivant sur l'interface de données LINA ASA/FTD
admin@firepower:~$ sudo tcpdump -i tap_nlp	Capture sur l'interface de connexion interne NLP (Non Lina Process)
firepower# show conn all protocol udp port 161	Vérifier toutes les connexions ASA/FTD LINA sur UDP 161 (sondage SNMP)
firepower# show log | i 302015.*161	Vérifier le journal ASA/FTD LINA 302015 pour l'interrogation SNMP
firepower# système supplémentaire : running-config | communauté i	Vérifier la chaîne de communauté SNMP
firepower# menu debug netsnmp 4	Vérifier la configuration SNMP et l'ID de processus
firepower# show asp table classify interface net201 domain permit match port=161	Vérifiez les nombres hitcount sur la liste de contrôle d’accès SNMP sur l’interface nommée ‘net201’
firepower# show disk0 : | i coeur	Vérifier s'il existe des coeurs SNMP
admin@firepower:~$ ls -l /var/data/coeurs	Vérifiez s'il existe des coeurs SNMP. Applicable uniquement sur FTD
firepower# show route	Vérifier la table de routage LINA ASA/FTD
> show network	Vérifier la table de routage du plan de gestion FTD
admin@firepower:~$ tail -f /mnt/disk0/log/ma_ctx2000.log	Vérifier/dépanner SNMPv3 sur FTD
firepower# debug snmp trace [255] firepower# debug snmp verbose [255] firepower# debug snmp error [255] firepower# debug snmp packet [255]	Commandes masquées sur les nouvelles versions. Débogues internes, utiles pour dépanner SNMP avec le TAC Cisco

41xx/9300 (FXOS) - Que collecter avant d'ouvrir un dossier auprès du centre d'assistance technique Cisco

Commande	Description
firepower# connect fxos firepower(fxos)# ethanalyzer interface locale mgmt capture-filter « udp port 161 » limit-capture-frames 50 write workspace:///SNMP-POLL.pcap firepower(fxos)# exit firepower# connect local-mgmt firepower(local-mgmt)# dir 1 11152 juil 26 09:42:12 2021 SNMP.pcap firepower(local-mgmt)# copy workspace:///SNMP.pcap ftp://ftp@192.0.2.100/SNMP.pcap	Capture FXOS pour l'interrogation SNMP (UDP 161) Télécharger sur un serveur FTP distant IP FTP : 192.0.2.100 Nom d'utilisateur FTP : ftp
firepower# connect fxos firepower(fxos)# ethanalyzer interface locale mgmt capture-filter « udp port 162 » limit-capture-frames 50 write workspace:///SNMP-TRAP.pcap	Capture FXOS pour déroutements SNMP (UDP 162)
firepower# scope system firepower /system # services d'étendue firepower /system/services # show ip-block detail	Vérifier la liste de contrôle d'accès FXOS
firepower# show error	Vérifier les erreurs FXOS
firepower# show fabric-interconnect	Vérifier la configuration de l'interface FXOS et les paramètres de la passerelle par défaut
firepower# connect fxos firepower(fxos)# show running-config snmp all	Vérification de la configuration SNMP FXOS
firepower# connect fxos firepower(fxos)# show snmp internal oids support create firepower(fxos)# show snmp internal oids support	Vérifier les OID SNMP FXOS
firepower# connect fxos firepower(fxos)# show snmp	Vérifier les paramètres et compteurs SNMP FXOS
firepower# connect fxos firepower(fxos)# terminal monitor firepower(fxos)# debug snmp pkt-dump firepower(fxos)# debug snmp all	Déboguer FXOS SNMP (paquets ou tout) Utilisez « terminal no monitor » et « undebug all » pour l'arrêter

1xxx/21xx (FXOS) - Que collecter avant d'ouvrir un dossier auprès du centre d'assistance technique Cisco

Commande	Description
> capture-traffic	Capturer le trafic sur l'interface de gestion
> show network	Vérifier la table de routage du plan de gestion FTD
contrôle de portée firepower# firepower /monitoring # show snmp [host] firepower /monitoring # show snmp-user [detail] firepower /monitoring # show snmp-trap	Vérification de la configuration SNMP FXOS
firepower# show error	Vérifier les erreurs FXOS
firepower# connect local-mgmt firepower(local-mgmt)# dir cores_fxos firepower(local-mgmt)# dir coeurs	Vérifier les fichiers de base FXOS (tracebacks)

FMC - Que collecter avant d'ouvrir un dossier auprès du centre d'assistance technique Cisco

Commande	Description
admin@FS2600-2:~$ sudo tcpdump -i eth0 port udp 161 -n	Capturer le trafic sur l'interface de gestion pour l'interrogation SNMP
admin@FS2600-2:~$ sudo tcpdump -i eth0 port udp 161 -n -w /var/common/FMC_SNMP.pcap	Capturer le trafic sur l'interface de gestion pour l'interrogation SNMP et l'enregistrer dans un fichier
admin@FS2600-2:~$ état de sudo pmtool | grep snmpd	Vérifier l'état du processus SNMP
admin@FS2600-2:~$ ls -al /var/common | grep snmpd	Rechercher les fichiers principaux SNMP (retraites)
admin@FS2600-2 :~$ sudo cat /etc/snmpd.conf	Vérifier le contenu du fichier de configuration SNMP

Exemples snmpwalk

Ces commandes peuvent être utilisées pour la vérification et le dépannage :

Commande	Description
# snmpwalk -c Cisco123 -v2c 192.0.2.1	Récupère tous les OID de l'hôte distant à l'aide de SNMP v2c. Cisco123 = chaîne de communauté 192.0.2.1 = hôte de destination
# snmpwalk -v2c -c Cisco123 -OS 192.0.2.1 1.3.6.1.4.1.9.9.109.1.1.1.1.3 iso.3.6.1.4.1.9.9.109.1.1.1.1.3.1 = Gage32 : 0	Récupère un OID spécifique de l'hôte distant avec l'utilisation de SNMP v2c
# snmpwalk -c Cisco123 -v2c 192.0.2.1.1.3.6.1.4.1.9.9.109.1.1.1.1 -On .1.3.6.1.4.1.9.9.109.1.1.1.1.6.1 = Gage32 : 0	Affiche les OID récupérés au format numérique
# snmpwalk -v3 -l authPriv -u cisco -a SHA -A Cisco123 -x AES -X Cisco123 192.0.2.1	Récupère tous les OID de l'hôte distant à l'aide de SNMP v3. Utilisateur SNMPv3 = cisco Authentification SNMPv3 = SHA. Autorisation SNMPv3 = AES
# snmpwalk -v3 -l authPriv -u cisco -a MD5 -A Cisco123 -x AES -X Cisco123 192.0.2.1	Récupère tous les OID de l'hôte distant à l'aide de SNMP v3 (MD5 et AES128)
# snmpwalk -v3 -l auth -u cisco -a SHA -A Cisco123 192.0.2.1	SNMPv3 avec authentification uniquement

Comment rechercher des défauts SNMP

1. Accédez à https://bst.cloudapps.cisco.com/bugsearch/search?kw=snmp&pf=prdNm&sb=anfr&bt=custV
2. Entrez le mot clé snmp et sélectionnez Sélectionner dans la liste

Produits les plus courants :

• Logiciel Cisco Adaptive Security Appliance (ASA)
• Gamme Cisco Firepower 9300
• Appliance virtuelle Cisco Firepower Management Center
• NGFW Cisco Firepower

Informations connexes

• Configurer SNMP pour la défense contre les menaces
• Configuration de SNMP sur FXOS (interface utilisateur)
• Support et documentation techniques - Cisco Systems