Меню

asa 5506 firepower настройка

Инструкция по установке и обновлению модуля Fire Power на Cisco ASA 5506-X

Наши пошаговые рекомендации как правильно обновить Fire Power на Cisco ASA 5506-X.

Начинаем установку и обновление модуля Fire Power на Cisco ASA 5506-X. Все используемые мной файлы, загружены из сайта Cisco https://software.cisco.com/download/type.html?mdfid=286283326&catid=null.

  1. Копируем загрузочный образ для модуля Fire Power asasfr-5500xboot-6.1.0-330.img на Cisco ASA, я использую для этого ASDM.

Устанавливаем его как загрузочный с помощью команды

sw-module module sfr recover configure image disk0:asasfr-5500x-boot-6.1.0-330.img

и запускаем процедуру восстановления

sw-module module sfr recover boot

В консоли это выглядит примерно так

ciscoasa# sw-module module sfr recover configure image disk0:asasfr-5500x-boot$

ciscoasa# sw-module module sfr recover boot

Module sfr will be recovered. This may erase all configuration and all data

on that device and attempt to download/install a new image for it. This may take

several minutes.

Recover module sfr? [confirm]

Recover issued for module sfr.

Сама процедура восстановления может занять довольно длительное время.

  1. Подключаемся к консоли модуля Fire Power командой

session sfr console

логин admin

пароль Admin123

Cisco FirePOWER Services Boot Image 6.1.0

asasfr login: admin

Cisco FirePOWER Services Boot 6.1.0 (330)

Type ? for list of commands

Где мы сразу видим версию загрузочного образа. Теперь нам необходимо пройти процедуру настройки модуля Fire Power, команда в консоли setup (подозреваю что эту процедуру можно пропустить, сам не пробовал).

Отвечаем на вопросы и не забываем включить в сеть порт модуля Fire Power Management 1/1.

  1. На данном этапе мы устанавливаем само программное обеспечение Fire Power, для этого нам потребуется файл asasfr-sys-6.1.0-330.pkg и сервер FTP с которого мы его загрузим, используя команду

system install ftp://User:Password@192.168.1.10/asasfr-sys-6.1.0-330.pkg

asasfr-boot>system install ftp://fd:fd@192.168.1.10/asasfr-sys-6.1.0-330.pkg

Downloading

Do you want to continue with upgrade? [y]:

Starting upgrade process …

Populating new system image..

Процесс установки очень длительный, до нескольких часов. Можно проверять статус модуля с помощью команды show module all в консоли самой Cisco ASA. Ниже приведу часть ответа на данную команду.

Mod Status Data Plane Status Compatibility

1 Up Sys Not Applicable

sfr Recover Not Applicable

Необходимо дождаться изменения статуса sfr с recover на up.

Готово, заходим в консоль Fire Power командой session sfr console, пролистываем и принимаем пользовательское соглашение. Меняем пароль администратора и настройки. Заходим в ASDM и настраиваем Fire Power в соответствии с поставленными задачами.

  1. В конце стоит упомянуть о том, как же завернуть трафик на модуль Fire Power.

Заходим в настройки Service Policy Rules и там создаем политику, в которой указываем в каких случаях трафик пропускать через Fire Power.

В данном примере я создал переадресацию трафика на Fire Power от всех всем по любому IP протоколу.

И еще, обратите внимание на то, что теперь есть два варианта сохранения конфигураций. Один для конфигурации самой Cisco ASA, другой для модуля Fire Power.

Расценки на услуги

Тип услуги Цена
Настройка Firewall (Cisco ASA 56xx; 55xx и т.д.) до 10 правил От 12 т.р.
Настройка Cisco ASA с модулем FirePower От 24 т.р.
Настройка Cisco ASA Site to Site От 35 т.р.
Настройка Firewall (Cisco ASA 56xx; 55xx и т.д.) настройка LDAP и VPN От 60 т.р.
Виртуализация (Файлового сервера; Active Directory; Базы данных) От 90 т.р.

Тариф на услугу настройка… ( xlsx , 0.02мб )

источник

Инструкция по установке и обновлению модуля Fire Power на Cisco ASA 5506-X

Начинаем установку и обновление модуля Fire Power на Cisco ASA 5506-X.

Копируем загрузочный образ для модуля Fire Power asasfr-5500x–boot-6.1.0-330.img на Cisco ASA, я использую для этого ASDM.

Устанавливаем его как загрузочный с помощью команды

sw-module module sfr recover configure image disk0:asasfr-5500x-boot-6.1.0-330.img

и запускаем процедуру восстановления

sw-module module sfr recover boot

В консоли это выглядит примерно так

ciscoasa# sw-module module sfr recover configure image disk0:asasfr-5500x-boot$

ciscoasa# sw-module module sfr recover boot

Module sfr will be recovered. This may erase all configuration and all data

on that device and attempt to download/install a new image for it. This may take

Recover module sfr? [confirm]

Recover issued for module sfr.

Сама процедура восстановления может занять довольно длительное время.

  • Подключаемся к консоли модуля Fire Power командой

Cisco FirePOWER Services Boot Image 6.1.0

Cisco FirePOWER Services Boot 6.1.0 (330)

Type ? for list of commands

Где мы сразу видим версию загрузочного образа. Теперь нам необходимо пройти процедуру настройки модуля Fire Power, команда в консоли setup (подозреваю что эту процедуру можно пропустить, сам не пробовал).

Отвечаем на вопросы и не забываем включить в сеть порт модуля Fire Power Management 1/1.

  • На данном этапе мы устанавливаем само программное обеспечение Fire Power, для этого нам потребуется файл asasfr-sys-6.1.0-330.pkg и сервер FTP с которого мы его загрузим, используя команду

system install ftp://User:Password@192.168.1.10/asasfr-sys-6.1.0-330.pkg

asasfr-boot>system install ftp://fd:fd@192.168.1.10/asasfr-sys-6.1.0-330.pkg

Do you want to continue with upgrade? [y]:

Populating new system image..

Процесс установки очень длительный, до нескольких часов. Можно проверять статус модуля с помощью команды show module all в консоли самой Cisco ASA. Ниже приведу часть ответа на данную команду.

Mod Status Data Plane Status Compatibility

sfr Recover Not Applicable

Необходимо дождаться изменения статуса sfr с recover на up.

Готово, заходим в консоль Fire Power командой session sfr console, пролистываем и принимаем пользовательское соглашение. Меняем пароль администратора и настройки. Заходим в ASDM и настраиваем Fire Power в соответствии с поставленными задачами.

  • В конце стоит упомянуть о том, как же завернуть трафик на модуль Fire Power.

Заходим в настройки Service Policy Rules и там создаем политику, в которой указываем в каких случаях трафик пропускать через Fire Power.

источник

Asa 5506 firepower настройка

Модуль Cisco ASA Firepower. Введение. Установка.

Это программный модуль, который запускается и работает на SSD диске установленном в устройствах ASA 55хх-Х серии (исключение составляет модуль для ASA 5585-Х, он является аппаратным). Этот модуль вышел на замену старым IPS модулям для Сisco ASA – SSM-10, SSM-20 и SSM-40.

Обозначение X в конце говорит, что ASA нового поколения. Данный модуль может работать только на устройствах нового поколения.
Для успешной установки и запуска модуля, кроме ASA нового поколения, так же необходима версия IOS установленная на Cisco ASA не ниже 9.2(2.4). В случае нового устройства в этом семействе как ASA 5506-Х, версия должна быть 9.3(2) или старше.

Сервер управления FireSIGHT или еще именуемый как Defence Center должен быть той же версии что и модуль SFR(другое название данного модуля, так же часто встречается в официальной документации от Cisco) или старше.

В зависимости от лицензии, модуль SFR может блокировать и\или регистровать трафик на по URL условиям, осуществлять проверку загружаемых или скачиваемых файлов, попытки взлома или на на уровне примитива, к примеру на основе TCP или IP параметров.

Варианты лицензий:
URL – дает возможность только фильтрации по URL
TA – классический IPS
TAC – IPS+URL
TAM – IPS+AMP (Advanced Malware Protection), т.е. защита от различного рода вредоносных программ
TAMC – URL+IPS+AMP

Перенаправление трафика на модуль реализуется, так же как и в предыдущем поколении, с помощью MFP (Modular Policy Framework):

  • Определяются классы трафика при помощи команды class-map или же указывается, что надо учитывать весь трафик, как в примере(используется на кастомный, дефолтный класс):

class-map global-class
match any

  • Создаем политику (policy-map) , где для различных классов можно назначить определенные действия, в том числе и отправку на модуль:

policy-map global_policy
class global-class
sfr fail-open
Причем режим fail-open говорит, что трафик будет продолжать проходить, даже если модуль не отвечает (перезагружается, вышел из строя и т.п.). В случаях, когда недопустимо пропускать трафик без проверки используется команда fail-close. В этом случае, при недоступности модуля, весь трафик, попавший под условия class-map, будет заблокирован.

  • Применяем созданную политику к интерфейсу или глобально для всех интерфейсов. Команда service-policy:

service-policy global_policy global

Приведенными выше настройками мы включаем проверку всего трафика с блокировкой трафика не прошедшего проверку, данные настройки соответствуют следующей схеме:

Если у нас стоит задача только отслеживать трафик, не влияя на него, необходимо изменить в policy-map. В место команды:
sfr fail-open
отдать команду:
sfr fail-open monitor-only
В этом случае, если пакет должен был быть заблокирован, то модуль только пометит его как “заблокирован”. Система работает по схеме:

Примечание: Сам модуль не блокирует трафик, он только проверяет на различные политики, активированные в соответствии с лицензией, и отдает команду ASA – пропустить или заблокировать.

  1. Установка сервера управления FireSIGHT(Defence Center)

Сервера управления бывают двух видов:
Аппаратный
Виртуальный

Далее мы будем рассматривать установку и запуск виртуального, который работает на VMware ESXi .
Для начала смотрим необходимые требования под виртуальную машину:
4 vCPU
4 GB RAM
250Gb HDD
1 vNIC

Создавать виртуальную машину, с указанными выше требованиями, не надо.
Необходимо только убедиться что в гипервизоре есть для этого все необходимое. Сама виртуальная машина «расклеивается» с соответствующего OVF шаблона, скаченного с сайта Cisco. Именуются они на сайте следующим образом:
Sourcefire_Defense_Center_Virtual64_VMware-текущая_версия.
После завершения работы «Мастера развертывания шаблона OVF» в гипервизоре, переходим в нашем VMware vSphere Client в вкладку «Консоль».

Производим первичный вход в систему, используя логин и пароль admin и Sourcefire соответственно.
Теперь необходимо произвести первичную настройку, для этого исполняем команду:
sudo /usr/local/sf/bin/configure-network

В ответ нас просят ввести пароль супер пользователя, еще раз — Sourcefire.
Отвечаем на вопросы:

Do you wish to configure IPv4?(y or n) y
Management IP address? [192.168.45.45] 192.168.100.20
Management netmask? [255.255.255.0]
Management default gateway? 192.168.100.1

Management IP address? 192.168.100.20
Management netmask? 255.255.255.0
Management default gateway? 192.168.100.20

Are these settings correct? (y or n) y
Do you wish to configure IPv6?(y or n) n

На этом работа с консолью завершена.
Открываем браузер и идем по адресу https://192.168.100.20

Логинимся в систему (admin/Sourcefire).

После логина в систему будет предложено сменить пароль, опционально можно сменить IP настройки. Устанавливаем настройки времени. И самое основное — формируем запрос на лицензию. Система подсказывает, как сформировать запрос, далее, этот запрос размещаем на специальной страницы у Cisco и получаем ключ активации с учетом приобретенной лицензии.
На этом установка и первичная настройка Defence Center завершена.

  1. Установка программного модуля Cisco ASA FirePower

Перед тем как приступить к установке нового модуля IPS (далее по тексту sfr).
Необходимо убедиться, что у нас отсутствуют\удалены старые модули, для этого подключаемся к ASA и выполняем команду:
sh module
Если в ответе наблюдаем что модули есть (к примеру, как на картинке):

Необходимо выполнить следующие команды:
а) для модуля cxsc
sw-module module cxsc shutdown
sw-module module cxsc uninstall
б) для модуля ips
sw-module module ips shutdown
sw-module module ips uninstall

После этого перезагрузить Cisco ASA командой reload.
Теперь мы полностью готовы к установке SFR модуля.

Установка и первичное конфигурирование проходит в два этапа.
На первом этапе загружается и настраивается так называемый загрузочный образ.
На втором этапе устанавливается программное обеспечение.
Для загрузки использовал образы, скаченные с сайта Cisco и размещенные на ftp сервере, так же возможны загрузки с USB носителя, TFTP, HTTP или HTTPS серверов.

И так приступим к загрузке и установке загрузочного образа.
Для начала, что бы иметь возможность отслеживать процесс загрузки и установки образа отдаем команду:
debug module-boot
Копируем образ:
copy ftp://anonymous:anonymous@192.168.100.25/asasfr-5500x-boot-текущаяверсия.img disk0:/asasfr-5500x-boot-текущаяверсия.img
По завершению копирования выполняем следующие команды:
sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-текущаяверсия.img
sw-module module sfr recover boot
И, если включили debug, наблюдаем процесс установки (5-10 минут).

По завершению установки подключаемся и работаем уже с модулем, для этого отдаем команду:
session sfr console
Логин и пароль по умолчанию — admin/Admin123.
Теперь необходимо произвести настройку boot образа модуля, он должен «уметь ходить в сеть».
Исполняем команду setup:
asasfr-boot>setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asasfr]: SFR
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 192.168.50.20
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 192.168.50.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 192.168.1.1
Do you want to configure Secondary DNS Server? (y/n) [n]: Y
Enter the secondary DNS server IP address: 192.168.1.2
Do you want to configure Local Domain Name? (y/n) [n]: Y
Enter the local domain name: example.com
Do you want to configure Search domains? (y/n) [n]: n
Do you want to enable the NTP service? [Y]: Y
Enter the NTP servers separated by commas: 192.168.1.1,192.168.1.2
Do you want to enable the NTP symmetric key authentication? [N]: N

Please review the final configuration:
Hostname: SFR
Management Interface Configuration
IPv4 Configuration: static
IP Address: 192.168.50.20
Netmask: 255.255.255.0
Gateway: 192.168.50.1
IPv6 Configuration: Stateless autoconfiguration
DNS Configuration:
Domain:example.com
DNS Server:
192.168.1.1
192.168.1.2
NTP configuration:
192.168.1.1 192.168.1.2

CAUTION:
You have selected IPv6 stateless autoconfiguration, which assigns a global address
based on network prefix and a device identifier. Although this address is unlikely
to change, if it does change, the system will stop functioning correctly.
We suggest you use static addressing instead.

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying…
Restarting network services…
Restarting NTP service…
Done.
Press ENTER to continue…
Первый этап завершен, переходим к этапу установки и конфигурирования самого программного обеспечения SFR модуля.
asasfr-boot> system install ftp://anonymous:anonymous@192.168.100.25/asasfr-sys-текущаяверсия.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-SFR текущаяверсия System Install
Requires reboot: Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process …
Populating new system image…
Reboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.

После нажатия Enter модуль уйдет в перезагрузку (в этот раз только модуль, а не вся ASA). Процесс занимает некоторое время.
Проверить готов модуль или нет можно командой:
sh module sfr
Как только видим как на картинке ниже:

Переходим к завершению процесса установки.
session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Sourcefire3D login:
Логин по умолчанию – admin, пароль – Sourcefire.
После входа, читаем EULA и настраиваем менеджмент интерфейс:
You must accept the EULA to continue.
Press to display the EULA:
END USER LICENSE AGREEMENT

Please enter ‘YES’ or press to AGREE to the EULA: YES

System initialization in progress. Please stand by.
You must change the password for ‘admin’ to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 192.168.50.21
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface []: 192.168.50.1
Enter a fully qualified hostname for this system [Sourcefire3D]: SFR
Enter a comma-separated list of DNS servers or ‘none’ []: 192.168.1.1,192.168.1.2
Enter a comma-separated list of search domains or ‘none’ [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run ‘configure network http-proxy’

This sensor must be managed by a Defense Center. A unique alphanumeric
registration key is always required. In most cases, to register a sensor
to a Defense Center, you must provide the hostname or the IP address along
with the registration key.
‘configure manager add [hostname | ip address ] [registration key ]’
However, if the sensor and the Defense Center are separated by a NAT device,
you must enter a unique NAT ID, along with the unique registration key.
‘configure manager add DONTRESOLVE [registration key ] [ NAT ID ]’

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
Остался последний штрих, необходимо «связать» SFR модуль с центром управления(Defence Center).
> configure manager add 192.168.100.20 examplestring
Manager successfully configured.
Проверяем:
> show managers
Host : 192.168.100.20
Registration Key : examplestring
Registration : pending
RPC Status :
>

Теперь подключаемся к центру управления (в браузере набираем https://192.168.100.20)
Переходим во вкладку Devices, затем Device Management. Нажимаем кнопку Add Device.

Заполняем поля, проставляем галочки, какие из доступных лицензий необходимо активировать (в моем случае уже все доступные лицензии выбраны, по этому и поля не активны). Нажимаем Register.
После этого наш модуль появится в списке управляемых устройств в центре мониторинга и управления. А на самом модуле, при выполнении команды show managers, будет отображена следующая информация:
> show managers
Type : Manager
Host : 192.168.100.20
Registration : Completed

источник

Читайте также:  настройка wdr4300 на 3g модем

Добавить комментарий

Adblock
detector