Installeer een SFR-module op een ASA 5585-X hardwaremodule

Inleiding

De ASA FirePOWER-module, ook bekend als ASA SFR, biedt next-generation firewallservices, waaronder IPS van de volgende generatie (NGIPS), Application Visibility and Control (AVC), URL-filtering en Advanced Malware Protection (AMP). U kunt de module gebruiken in een enkele of meerdere contextmodus, en in een gerouteerde of transparante modus. Dit document beschrijft de vereisten en installatieprocessen van een FirePOWER (SFR)-module op ASA 5585-X hardwaremodule. Het biedt ook de stappen om een SFR-module te registreren bij FireSIGHT Management Center.

Opmerking: de FirePOWER (SFR)-services bevinden zich op een hardwaremodule in de ASA 5585-X, terwijl de FirePOWER-services op de ASA 5512-X door 5555-X Series-applicaties op een softwaremodule zijn geïnstalleerd, wat verschillen in installatieprocessen tot gevolg heeft.

Voorwaarden

Vereisten

De instructies in dit document vereisen toegang tot de geprivilegieerde EXEC-modus. Om tot de bevoorrechte wijze toegang te hebben EXEC, ga in toelaten bevel. Als een wachtwoord niet is ingesteld, drukt u op Enter.

ciscoasa> enable
Password:
ciscoasa#

Om FirePOWER Services op een ASA te installeren, zijn de volgende componenten nodig:

• ASA software versie 9.2.2 of hoger
• ASA 5585-X platform
• Een TFTP-server bereikbaar via de beheerinterface van FirePOWER-module
• FireSIGHT Management Center met versie 5.3.1 of hoger

Opmerking: de informatie in dit document is afkomstig van de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configuratie

Voordat u begint

Aangezien een ASA SSM altijd een van de twee sleuven in het ASA 5585-X chassis inneemt, moet de andere module worden verwijderd om ruimte te maken voor de SSP-SFR als u een andere hardwaremodule hebt dan de FirePOWER (SFR) Services SSP, zoals de SSP-CX (Context Aware) of AIP-SSM (Advanced Inspection and Prevention Security). Voordat u een hardwaremodule verwijdert, voert u de volgende opdracht uit om een module af te sluiten:

ciscoasa# hw-module module 1 shutdown

bekabeling en beheer

• U hebt geen toegang tot de seriële poort van de SFR-module via de ASA-console op de ASA 5585-X.
• Nadat de SFR-module is geleverd, kunt u een sessie in de blade uitvoeren met behulp van de opdracht "Session 1".
• Als u de SFR-module op een ASA 5585-X volledig opnieuw wilt installeren, moet u de Ethernet-interface voor beheer en een consolesessie gebruiken op de seriële beheerpoort, die zich op de SFR-module bevinden en gescheiden zijn van de beheerinterface en de console van de ASA.

Tip: om de status van een module op de ASA te vinden, voer de opdracht "show module 1 details" uit die het beheer-IP van de SFR-module en het bijbehorende Defensiecentrum ophalen.

Installeer FirePOWER (SFR) module op ASA

1. Download de eerste bootstrap-afbeelding van de ASA FirePOWER SFR-module van Cisco.com naar een TFTP-server die toegankelijk is via ASA FirePOWER Management Interface. De beeldnaam lijkt op "asfr-boot-5.3.1-152.img"

2. Download de ASA FirePOWER-systeemsoftware van Cisco.com naar een HTTP-, HTTPS- of FTP-server die toegankelijk is via de ASA FirePOWER-beheerinterface.

3. Start de SFR-module opnieuw

Optie 1: Als u geen wachtwoord hebt voor de SFR-module, kunt u de volgende opdracht vanuit de ASA uitvoeren om de module opnieuw te starten.

ciscoasa# hw-module module 1 reload 
Reload module 1? [confirm]
Reload issued for module 1

Optie 2: Als u het wachtwoord van de SFR-module hebt, kunt u de sensor direct vanaf de opdrachtregel opnieuw opstarten.

Sourcefire3D login: admin
Password:

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

> system reboot

4. Onderbreek het opstartproces van de SFR module met behulp van ESCAPE of de break-sequentie van uw terminal sessie software om de module in ROMMON te plaatsen.

The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14


     
     

Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014

Platform ASA 5585-X FirePOWER SSP-10, 8GE

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.

Boot interrupted.

Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx

Use ? for help.

rommon #0>

5. Configureer de SFR-module met een IP-adres en geef de locatie van de TFTP-server en het TFTP-pad naar de bootstrap-afbeelding aan. Voer de volgende opdrachten in om een IP-adres in de interface in te stellen en de TFTP-afbeelding op te halen:

• bepalen
• ADRES = Uw_IP_adres
• GATEWAY = Your_Gateway
• SERVER = Your_TFTP_Server
• AFBEELDING = Your_TFTP_Filepath
• synchroniseren
• tftp

! Voorbeeld van gebruikte IP-adresinformatie. Update voor uw omgeving.

rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync

Updating NVRAM Parameters...

rommon #6> tftp
ROMMON Variable Settings:
  ADDRESS=198.51.100.3
  SERVER=198.51.100.100
  GATEWAY=198.51.100.1
  PORT=Management0/0
  VLAN=untagged
  IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>

Received 41235627 bytes

Launching TFTP Image...

Execute image at 0x14000

6. Log in op het eerste opstartbeeld. Login als beheerder en met het wachtwoord Admin123

Cisco ASA SFR Boot Image 5.3.1

asasfr login: admin
Password:

            Cisco ASA SFR Boot 5.3.1 (152)
                  Type ? for list of commands

 
7. Gebruik het initiële opstartbeeld om een IP-adres te configureren op de beheerinterface van de module. Typ de opdracht Setup om de wizard te starten. U wordt om de volgende informatie gevraagd:

• Hostname: maximaal 65 alfanumerieke tekens, geen spaties. Afbreekstreepjes zijn toegestaan.
• Netwerkadres: U kunt statische IPv4- of IPv6-adressen instellen of gebruik maken van DHCP (voor IPv4) of IPv6-stateless automatische configuratie.
• DNS-informatie: U moet minstens één DNS-server identificeren, en u kunt ook de domeinnaam en het zoekdomein instellen.
• NTP-informatie: U kunt NTP inschakelen en de NTP-servers configureren, voor het instellen van de systeemtijd.

! Gebruikte voorbeeldinformatie. Update voor uw omgeving.

asasfr-boot>setup

                         Welcome to SFR Setup
                          [hit Ctrl-C to abort]
                        Default values are inside []

Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N

Please review the final configuration:
Hostname:               sfr-module-5585
Management Interface Configuration

IPv4 Configuration:     static
        IP Address:     198.51.100.3
        Netmask:        255.255.255.0
        Gateway:        198.51.100.1

IPv6 Configuration:     Stateless autoconfiguration

DNS Configuration:
        DNS Server:     198.51.100.15

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.

 
8. Gebruik het opstartbeeld om het image van de systeemsoftware te trekken en te installeren met behulp van de opdracht system install. Neem de optie noconfirm op als u niet wilt reageren op bevestigingsberichten. Vervang het URL trefwoord door de locatie van het .pkg bestand.

asasfr-boot> system install [noconfirm] url

Voorbeeld,

> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg

Verifying     
Downloading     
Extracting     

Package Detail
Description:                    Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot:                Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading     
Starting upgrade process ...
Populating new system image ...

Opmerking: wanneer de installatie over 20 tot 30 minuten is voltooid, wordt u gevraagd op ENTER te drukken om opnieuw op te starten. Laat 10 minuten of langer voor de installatie van toepassingscomponenten en voor het starten van de ASA FirePOWER-services. De show module 1 details output zou alle processen als Omhoog moeten tonen.

Module status tijdens installatie

ciscoasa# show module 1 details

Getting details from the Service Module, please wait...
Unable to read details from module 1

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Not Applicable
App. Status Desc:   Not Applicable
App. version:       5.3.1-152
Data Plane Status:  Not Applicable
Console session:    Not ready
Status:             Unresponsive

Modulestatus na succesvolle installatie

ciscoasa# show module 1 details
 
Getting details from the Service Module, please wait...

Card Type:          ASA 5585-X FirePOWER SSP-10, 8GE
Model:              ASA5585-SSP-SFR10
Hardware version:   1.0
Serial Number:      JAD18400028
Firmware version:   2.0(14)1
Software version:   5.3.1-152
MAC Address Range:  58f3.9ca0.1190 to 58f3.9ca0.119b
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       5.3.1-152
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured                                            
Mgmt IP addr:       192.168.45.45                                               
Mgmt Network mask:  255.255.255.0                                               
Mgmt Gateway:       0.0.0.0                                                     
Mgmt web ports:     443                                                         
Mgmt TLS enabled:   true

Configuratie

FirePOWER-software configureren

1.U kunt een verbinding met de ASA 5585-X FirePOWER-module maken via een van de volgende externe poorten:

• ASA FirePOWER-consolepoort
• ASA FirePOWER Management 1/0-interface met SSH

Opmerking: u kunt de ASA FirePOWER-hardwaremodule CLI niet via de ASA-backplane benaderen met de opdracht Sfr voor de sessie.

2. Nadat u de FirePOWER-module via de console hebt benaderd, meldt u zich aan met de beheerder van de gebruikersnaam en het wachtwoord Sourcefire.

Sourcefire3D login: admin
Password: 

Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
 trademark of Sourcefire, Inc. All other trademarks are property of their respective
 owners.

Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)

Last login: Wed Feb 18 14:22:19 on ttyS0

System initialization in progress.  Please stand by.  
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'

This sensor must be managed by a Defense Center.  A unique alphanumeric registration
 key is always required.  In most cases, to register a sensor to a Defense Center,
 you must provide the hostname or the IP address along with the registration key.
 'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Defense Center are separated by a NAT device, you
 must enter a unique NAT ID, along with the unique registration key. 'configure
 manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Defense Center, you must use the same
 registration key and, if necessary, the same NAT ID when you add this
 sensor to the Defense Center.

> 

FireSIGHT Management Center configureren

Als u een ASA FirePOWER-module en een beveiligingsbeleid wilt beheren, moet u deze registreren bij een FireSIGHT Management Center. U kunt het volgende niet doen met een FireSIGHT Management Center:

• Kan ASA FirePOWER-interfaces niet configureren.
• Kan ASA FirePOWER-processen niet afsluiten, opnieuw opstarten of op een andere manier beheren.
• Kan geen back-ups maken van of terugzetten naar ASA FirePOWER-apparaten.
• Kan toegangscontroleregels niet schrijven om verkeer aan te passen met VLAN-tagvoorwaarden.

Omleiden van verkeer naar SFR-module

U verwijst verkeer naar de ASA FirePOWER-module door een servicebeleid te maken dat specifiek verkeer identificeert. Om verkeer naar een FirePOWER-module te leiden, volgt u de onderstaande stappen:

Stap 1: selecteer verkeer

Selecteer eerst verkeer met opdracht toegangslijst. In het volgende voorbeeld, richten wij al verkeer van alle interfaces opnieuw. Je zou het ook voor specifiek verkeer kunnen doen.

ciscoasa(config)# access-list sfr_redirect extended permit ip any any

Stap 2: overeenkomend verkeer

Het volgende voorbeeld toont hoe u een klasse-kaart maakt en het verkeer op een toegangslijst afstemt:

ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect

Stap 3: actie opgeven

U kunt uw apparaat configureren in een passieve ("monitor-only") of inline-implementatie. U kunt niet zowel de beeldschermmodus als de normale inline modus tegelijkertijd configureren op de ASA. Er is slechts één type security beleid toegestaan.

Inline modus

In een inline-uitrol wordt het verkeer, na het laten vallen van het ongewenste verkeer en het nemen van andere acties die door het beleid worden toegepast, teruggestuurd naar de ASA voor verdere verwerking en uiteindelijke transmissie. Het volgende voorbeeld toont hoe u een beleidskaart maakt en de FirePOWER-module in inline modus configureert:

ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open

Passieve modus

In een passieve inzet,

• Een kopie van het verkeer wordt naar het apparaat verzonden, maar wordt niet naar de ASA teruggestuurd.
• In de passieve modus kunt u zien wat het apparaat zou hebben gedaan met verkeer en kunt u de inhoud van het verkeer evalueren zonder het netwerk te beïnvloeden.

Als u de FirePOWER-module in passieve modus wilt configureren, gebruikt u hieronder het trefwoord alleen voor monitoren. Als u het trefwoord niet opneemt, wordt het verkeer verzonden in de inline modus.

ciscoasa(config-pmap-c)# sfr fail-open monitor-only

Stap 4: Geef een locatie op

De laatste stap is de toepassing van het beleid. U kunt een beleid algemeen of op een interface toepassen. U kunt het globale beleid op een interface met voeten treden door een de dienstbeleid op die interface toe te passen. 

Het globale sleutelwoord past de beleidskaart op alle interfaces toe, en de interface past het beleid op één interface toe. Er is slechts één algemeen beleid toegestaan. In het volgende voorbeeld wordt het beleid globaal toegepast:

ciscoasa(config)# service-policy global_policy global

Let op: De beleidskaart global_policy is een standaardbeleid. Als u dit beleid gebruikt en dit beleid op uw apparaat wilt verwijderen voor het oplossen van problemen, zorg ervoor dat u de implicatie begrijpt.

Gerelateerde document

• Een apparaat registreren bij een FireSIGHT Management Center
• Implementatie van FireSIGHT Management Center op VMware ESXi
• Configuratiescenario’s voor IPS-beheer op een 5500-X IPS-module