Configuratie van beheertoegang tot FTD (HTTPS en SSH) via FMC

Downloadopties

  • PDF     (829.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (672.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (610.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 juli 2022
Document-id:200701

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de configuratie beschreven van de beheerstoegang tot een Firepower Threat Defence (FTD) (HTTPS en SSH) via een Firesight Management Center (FMC).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Kennis van FirePOWER-technologie
    • Basiskennis van ASA (adaptieve security applicatie)
    • Kennis van beheertoegang op ASA via HTTPS en SSH (Secure Shell)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Adaptieve security applicatie (ASA) Firepower Threat Defence Image voor ASA (5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X ), die werkt op de softwareversie 6.0.1 en hoger.
    • ASA Firepower Threat Defence Image voor ASA (5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X), die werkt op softwareversie 6.0.1 en hoger.
    • Firepower Management Center (FMC) versie 6.0.1 en hoger.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Met het begin van Firepower Threat Defence (FTD) wordt de volledige ASA-gerelateerde configuratie op GUI uitgevoerd.

    Op FTD-apparaten waarop softwareversie 6.0.1 wordt uitgevoerd, is de ASA diagnostische CLI toegankelijk wanneer u de diagnostische client voor systeemondersteuning invoert. Op FTD-apparaten waarop softwareversie 6.1.0 wordt uitgevoerd, wordt de CLI echter geconvergeerd en worden volledige ASA-opdrachten op de CLISH geconfigureerd.

    Screen Shot 2016-08-08 at 11.52.17 AM

    Om beheerstoegang rechtstreeks van een extern netwerk te verkrijgen, moet u beheerstoegang via HTTPS of SSH configureren. Dit document biedt de vereiste configuratie om extern beheertoegang te verkrijgen via SSH of HTTPS.

    Opmerking: op FTD-apparaten waarop softwareversie 6.0.1 wordt uitgevoerd, kan de CLI niet worden benaderd door een lokale gebruiker. Er moet een externe verificatie worden geconfigureerd om de gebruikers te verifiëren. Op FTD-apparaten waarop softwareversie 6.1.0 wordt uitgevoerd, heeft de lokale beheerder echter toegang tot de CLI terwijl voor alle andere gebruikers een externe verificatie is vereist.

    Opmerking: op FTD-apparaten waarop softwareversie 6.0.1 wordt uitgevoerd, is de diagnostische CLI niet rechtstreeks toegankelijk via het IP dat voor br1 van de FTD is geconfigureerd. Op FTD-apparaten waarop softwareversie 6.1.0 wordt uitgevoerd, is de geconvergeerde CLI echter toegankelijk via elke interface die voor beheertoegang is geconfigureerd. De interface moet echter met een IP-adres worden geconfigureerd.

    Configureren

    Alle configuratie die betrekking heeft op Management Access is geconfigureerd zoals u navigeert naar het tabblad Platform Settings in Apparaten, zoals in de afbeelding:

    Screen Shot 2016-04-30 at 1.31.22 PM

    Ofwel bewerk het beleid dat bestaat als je op het potlood-pictogram klikt, ofwel maak je een nieuw FTD-beleid terwijl je op de knop Nieuw beleid klikt en selecteer je type als Threat Defense Settings, zoals in de afbeelding:

    Screen Shot 2016-04-30 at 1.31.47 PM

    Selecteer het FTD-apparaat om dit beleid toe te passen en klik op Opslaan, zoals in de afbeelding:

    Screen Shot 2016-04-11 at 1.25.33 PM

    Beheertoegang configureren

    Dit zijn de vier belangrijkste stappen die zijn genomen om de Management Access te configureren.

    Stap 1. IP op FTD-interface configureren via FMC GUI.

    Configureer een IP op de interface waarover de FTD via SSH of HTTPS toegankelijk is. Bewerk de interfaces die bestaan als u navigeert naar het tabblad Interfaces van de FTD. 

    Opmerking: op FTD-apparaten waarop softwareversie 6.0.1 wordt uitgevoerd, is de standaardbeheerinterface op de FTD de diagnostische 0/0-interface. Op FTD-apparaten waarop softwareversie 6.1.0 wordt uitgevoerd, ondersteunen alle interfaces echter beheertoegang behalve de diagnostische interface.

    Er zijn zes stappen om de diagnostische interface te configureren.

    Stap 1. Naar navigeren Apparaat > Apparaatbeheer. 

    Stap 2. Selecteer het Apparaat of FTD HA Cluster.

    Stap 3. Navigeer naar het tabblad Interfaces.

    Stap 4. Klik op het potloodpictogram om de interface te configureren/bewerken om de beheertoegang te verkrijgen, zoals in de afbeelding:

    Screen Shot 2016-08-19 at 7.27.52 PM


    Stap 5. Selecteer checkbox inschakelen om de interfaces in te schakelen. Navigeer naar het tabblad IPv4 en kies het IP-type als statisch of DHCP. Voer nu een IP-adres voor de interface in en klik op OK, zoals in de afbeelding:

    Screen Shot 2016-08-19 at 7.18.27 PM

    Stap 6. Klik op Opslaan en stel het beleid vervolgens in op de FTD.

    Opmerking: de diagnostische interface kan niet worden gebruikt voor toegang tot de geconvergeerde CLI over SSH op apparaten met softwareversie 6.1.0

    Stap 2. Externe verificatie configureren.

    Externe verificatie vergemakkelijkt de integratie van de FTD in een Active Directory of RADIUS Server voor gebruikersverificatie. Dit is een noodzakelijke stap omdat lokaal geconfigureerde gebruikers geen directe toegang tot de diagnostische CLI hebben. De diagnostische CLI en GUI zijn alleen toegankelijk voor gebruikers die zijn geverifieerd via Lichtgewicht Directory Access Protocol (LDAP) of RADIUS.

    Er zijn 6 stappen om Externe Verificatie te configureren.

    Stap 1. Naar navigeren Apparaten > Platform-instellingen.

    Stap 2. Ofwel bewerk het beleid dat bestaat als u op het potlood-pictogram klikt of maak een nieuw FTD-beleid terwijl u op de knop Nieuw beleid klikt en selecteer type als Instellingen voor bedreigingsverdediging.

    Stap 3. Navigeer naar het tabblad Externe verificatie, zoals in de afbeelding:

    Screen Shot 2016-04-11 at 2.21.53 PM


    Stap 4. Aangezien u op Add klikt, wordt er een dialoogvenster weergegeven zoals in de afbeelding:

    • Schakel HTTP in - Schakel deze optie in om toegang tot het FTD te bieden via HTTPS.

    • inschakelen voor SSH- Schakel deze optie in om toegang tot de FTD via SSH te bieden.

    • Naam- Voer de naam in voor de LDAP-verbinding.

    • Beschrijving - Voer een optionele beschrijving in voor het externe verificatieobject.

    • IP-adres - Voer een netwerkobject in waarmee het IP van de externe verificatieserver wordt opgeslagen. Als er geen netwerkobject geconfigureerd is, maakt u een nieuw object. Klik op het (+) pictogram.

    • Verificatiemethode - Selecteer RADIUS of LDAP-protocol voor verificatie.

    • SSL-inschakelen voor deze optie om het verificatieverkeer te versleutelen.

    • Servertype - Selecteer het servertype. De bekende servertypes zijn MS Active Directory, Sun, OpenLDAP en Novell. De optie is standaard ingesteld op automatische detectie van het servertype.

    • Poort - Voer de poort in waarover de verificatie plaatsvindt.

    • Time-out - Voer een tijdelijke waarde in voor de verificatieaanvragen.

    • Base-DN - Voer een basis-DN in om een bereik te bieden waarbinnen de gebruiker aanwezig kan zijn.

    • LDAP-bereik - Selecteer de LDAP-scope die u wilt bekijken. De scope is binnen hetzelfde niveau of om binnen de onderverdeling te kijken.

    • Gebruikersnaam - Voer een gebruikersnaam in om aan de LDAP-map te binden.

    • Verificatiewachtwoord - Voer het wachtwoord voor deze gebruiker in.

    • Bevestig - Voer het wachtwoord opnieuw in.

    • Beschikbare interfaces - Er wordt een lijst met beschikbare interfaces op de FTD weergegeven.

    • Geselecteerde zones en interfaces - Dit toont een lijst van interfaces waarboven de verificatieserver wordt benaderd.

    Voor RADIUS-verificatie is er geen servertype Base-DN of LDAP-bereik. De poort is de RADIUS-poort 1645.

    Secret - Voer de geheime sleutel voor RADIUS in.

    Screen Shot 2016-04-11 at 2.40.34 PM

    Screen Shot 2016-04-11 at 2.40.34 PM

    Stap 5. Klik op OK als de configuratie is voltooid.

    Stap 6. Sla het beleid op en implementeer het op het FirePOWER Threat Defence-apparaat.

    Opmerking: externe verificatie kan niet worden gebruikt voor toegang tot de geconvergeerde CLI over SSH op apparaten met softwareversie 6.1.0

    Stap 3. Configureer SSH-toegang.

    SSH biedt directe toegang tot de geconvergeerde CLI. Gebruik deze optie om direct toegang te krijgen tot de CLI en debug-opdrachten uit te voeren.In deze sectie wordt beschreven hoe u SSH moet configureren om toegang te krijgen tot de FTD CLI.

    Opmerking: op FTD-apparaten waarop softwareversie 6.0.1 wordt uitgevoerd, biedt de SSH-configuratie op Platform Settings rechtstreeks toegang tot de diagnostische CLI en niet tot de CLISH. U moet verbinding maken met het IP-adres dat op br1 is geconfigureerd om toegang tot de CLISH te krijgen. Op FTD-apparaten waarop softwareversie 6.1.0 wordt uitgevoerd, navigeren alle interfaces echter naar de geconvergeerde CLI wanneer ze via SSH worden benaderd

    Er zijn 6 stappen om SSH op de ASA te configureren

    Alleen op 6.0.1-inrichtingen:

    Deze stappen worden uitgevoerd op FTD-apparaten met een softwareversie van minder dan 6.1.0 en meer dan 6.0.1. Op 6.1.0 apparaten worden deze parameters geërfd van OS.

    Stap 1. Navigeer naar Apparaten>Platform-instellingen.

    Stap 2. Ofwel bewerk het beleid dat bestaat als u op het potlood-pictogram klikt of maak een nieuw Firepower Threat Defence-beleid terwijl u op de knop Nieuw beleid klikt en selecteer type als Threat Defence Settings.

    Stap 3. Navigeer naar de sectie Secure Shell. Er verschijnt een pagina, zoals in de afbeelding:

    SSH-versie: Selecteer de SSH-versie om de ASA in te schakelen. Er zijn drie opties:

    • 1: Alleen SSH versie 1 inschakelen
    • 2: Alleen SSH versie 2 inschakelen
    • 1 en 2: Schakel zowel SSH versie 1 als 2 in

    Time-out: Voer de gewenste SSH-time-out in in minuten.

    Secure Copy inschakelen - Schakel deze optie in om het apparaat te configureren zodat verbindingen met Secure Copy (SCP) mogelijk zijn en u als SCP-server kunt optreden.

    Screen Shot 2016-04-11 at 1.36.04 PM

    Op 6.0.1 en 6.1.0 inrichtingen:

    Deze stappen zijn geconfigureerd om de beheertoegang via SSH tot specifieke interfaces en specifieke IP-adressen te beperken.

    Screen Shot 2016-07-17 at 6.06.27 AM

    Stap 1. Klik op Add en configureer deze opties:

    IP-adres: Selecteer een netwerkobject dat de subnetten bevat die via SSH toegang tot de CLI mogen hebben. Als er geen netwerkobject is, maakt u er een terwijl u op het (+) pictogram klikt.

    Geselecteerde zones/interfaces: Selecteer de zones of interfaces waarover de SSH-server wordt benaderd.

    Stap 2. Klik op OK zoals in de afbeelding wordt weergegeven:

    Screen Shot 2016-04-11 at 1.47.12 PM

    De configuratie voor SSH wordt in de geconvergeerde CLI (ASA Diagnostic CLI in 6.0.1-apparaten) bekeken met gebruik van deze opdracht.

    > show running-config ssh
    ssh 172.16.8.0 255.255.255.0 inside

    Stap 3. Nadat de SSH-configuratie is uitgevoerd, klikt u op Opslaan en vervolgens implementeert u het beleid in het FTD.

    Stap 4. HTTPS-toegang configureren.

    Om HTTPS-toegang tot een of meer interfaces mogelijk te maken, navigeer je naar de HTTP-sectie in platforminstellingen. HTTPS-toegang is specifiek nuttig om het pakket rechtstreeks van de diagnostische beveiligde webinterface voor de analyse te downloaden. 

    Er zijn 6 stappen om HTTPS-toegang te configureren.

    Stap 1. Navigeren naar apparaten > Platform-instellingen

    Stap 2. Of bewerk het beleid van de platforminstellingen dat bestaat aangezien u op het potloodpictogram naast het beleid klikt of maak een nieuw FTD-beleid terwijl u op Nieuw beleid klikt. Selecteer het type als Firepower Threat Defence.

    Stap 3. Aangezien u naar de HTTP-sectie navigeert, wordt er een pagina weergegeven zoals in de afbeelding.

    HTTP-server inschakelen: Schakel deze optie in om HTTP-server op de FTD in te schakelen.

    Port: Selecteer de poort waarop de FTD beheerverbindingen accepteert.

    Screen Shot 2016-04-11 at 1.59.50 PM


    Stap 4. Klik op Add en de pagina verschijnt zoals in de afbeelding:

    IP-adres - Voer de subnetten in die HTTPS-toegang tot de diagnostische interface mogen hebben. Als er geen netwerkobject is, maakt u er een en gebruikt u de optie (+).

    Geselecteerde zones/interfaces - Net als SSH moet er voor de HTTPS-configuratie een interface worden geconfigureerd waarover deze via HTTPS toegankelijk is. Selecteer de zones of de interface waarover de FTD moet worden geopend via HTTPS.

    Screen Shot 2016-04-11 at 2.06.34 PM

    De configuratie voor HTTPS wordt bekeken in de geconvergeerde CLI (ASA Diagnostic CLI in 6.0.1-apparaten) en gebruikt deze opdracht.

    > show running-config http
    http 172.16.8.0 255.255.255.0 inside

    Stap 5. Selecteer OK als de gewenste configuratie is uitgevoerd.

    Stap 6. Nadat alle vereiste informatie is ingevoerd, klikt u op Opslaan en implementeert u het beleid op het apparaat.

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    Dit zijn de basisstappen om problemen op te lossen met de toegang tot het beheer op de FTD.

    Stap 1. Zorg ervoor dat de interface ingeschakeld is en geconfigureerd is met een IP-adres.

    Stap 2. Zorg ervoor dat een Externe Verificatie werkt zoals geconfigureerd en dat de bereikbaarheid via de juiste interface werkt zoals gespecificeerd in de sectie Externe Verificatie van de Platform-instellingen

    Stap 3. Zorg ervoor dat de routing op de FTD nauwkeurig is. In FTD softwareversie 6.0.1, navigeer aan systeem steun diagnostiek-cel. Voer de opdrachten tonen route en toon routebeheer-alleen om de routes voor de FTD en de beheerinterfaces te zien.

    In FTD-softwareversie 6.1.0 voert u de opdrachten rechtstreeks uit in de geconvergeerde CLI.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    19-Jul-2022
    Updates die zijn gemaakt voor opmaak, SEO, gecorrigeerde koppelingen, stijlvereisten, machinevertaling, grammatica, enzovoort, om aan de Cisco-richtlijnen te voldoen.
    1.0
    24-Oct-2016
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Prashant Joshi
      Architect van technische oplossingen
    • Mario Enrique Solorio
      Projectmanager

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten