Instalar e atualizar o FTD em dispositivos Firepower
Contents
Introdução
Este documento descreve a instalação, a atualização e o registro do software Firepower Threat Defense (FTD) em dispositivos Firepower.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Dispositivo de segurança Cisco Firepower 4140, que executa o FXOS 2.0(1.37)
- Firepower Management Center, que executa a versão 6.1.0.330
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
O FTD é uma imagem de software unificada que pode ser instalada nestas plataformas:
- ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
- ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
- Dispositivos Firepower (FPR2100, FPR4100, FPR9300)
- VMware (ESXi)
- Amazon Web Services (AWS)
- Máquina virtual baseada em kernel (KVM)
- Módulo Integrated Service Router (ISR)
Configurar
Diagrama de Rede
Tarefa 1. Download do software FTD
Navegue até Firewalls de próxima geração (NGFW) > FirePOWER 4100 Series > FirePOWER 4140 Security Appliance e escolha Firepower Threat Defense Software como mostrado na imagem.
Tarefa 2. Verificar a compatibilidade do FXOS-FTD
Requisito da tarefa
Verifique se a versão do FXOS que é executada no chassi é compatível com a versão do FTD que você deseja instalar no módulo de segurança.
Solução
Etapa 1. Verifique a compatibilidade FXOS-FTD.
Antes de instalar uma imagem FTD no módulo/blade, verifique se o chassi do Firepower executa um software FXOS compatível. No Guia de compatibilidade FXOS, verifique a tabela Compatibilidade do dispositivo lógico. A versão mínima necessária do FXOS para executar o FTD 6.1.x é a 1.1(4.95), conforme mostrado na Tabela 2:
Se a imagem FXOS não for compatível com a imagem FTD de destino, atualize primeiro o software FXOS.
Verificar a imagem FXOS
Método 1. Na página Visão geral da interface do usuário do Firepower Chassis Manager (FCM), conforme mostrado na imagem:
Método 2. Navegue até a página Sistema FCM > Atualizar, como mostrado na imagem:
Método 3. Da CLI FXOS:
FPR4100# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.01.35)
Running-Sys-Vers: 5.0(3)N2(4.01.35)
Package-Vers: 2.0(1.37)
Startup-Kern-Vers: 5.0(3)N2(4.01.35)
Startup-Sys-Vers: 5.0(3)N2(4.01.35)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
Tarefa 3. Carregar imagem de FTD no dispositivo Firepower
Requisito da tarefa
Carregue a imagem do FTD no chassi do FPR4100.
Solução
Método 1 - Carregar a imagem FTD da interface do usuário do FCM.
Efetue login no FPR4100 Chassis Manager e navegue até a guia System > Updates. Escolha Carregar imagem para carregar o arquivo, como mostrado na imagem.
Navegue para escolher o arquivo de imagem FTD e clique em Upload, conforme mostrado na imagem:
Aceite o Contrato de Licença de Usuário Final (EULA).
A verificação é como mostra a imagem.
Método 2 - Carregar a imagem FTD a partir da CLI FXOS
Você pode carregar a imagem FTD de um servidor FTP, Secure Copy (SCP), Secure FTP (SFTP) ou TFTP.
Antes de iniciar a transferência da imagem, verifique a conectividade entre a interface de gerenciamento do chassi e o servidor remoto:
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
Para baixar a imagem FTD, navegue até este escopo e use o comando download image:
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.6.1.0.330.SPA.csp
Password:
Para monitorar o progresso do upload da imagem:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.6.1.0.330.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.6.1.0.330.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
Use este comando para verificar o download bem-sucedido:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.6.1.0.330.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
Para obter mais detalhes:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.6.1.0.330.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.6.1.0.330.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-6.1.0-330.sh
A imagem é mostrada no repositório de chassis:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 6.1.0.330 N/A cisco Native Application No
Tarefa 4. Configurar Gerenciamento de FTD e Interfaces de Dados
Requisito da tarefa
Configure e habilite as interfaces de Gerenciamento e Dados para FTD no dispositivo Firepower.
Solução
Para criar uma nova interface, faça login no FCM e navegue até a guia Interfaces. As interfaces atuais são vistas. Para criar uma nova interface Port Channel, escolha o botão Add Port Channel, conforme mostrado na imagem:
Etapa 1. Crie uma Interface de Dados do Canal de Porta.
Crie uma nova interface Port Channel, conforme mostrado na imagem:
| ID do canal de porta |
10 |
| Tipo |
Dados |
| Enable |
Yes |
| ID do membro |
Ethernet1/1, Ethernet 1/2 |
Para o ID do canal de porta, um valor de 1 a 47.
A verificação é como mostra a imagem.
Etapa 2. Crie uma interface de gerenciamento.
Na guia Interfaces, escolha a interface, selecione Edit e configure a interface de gerenciamento, como mostrado na imagem:
Tarefa 5. Criar e Configurar Novo Dispositivo Lógico
Requisito da tarefa
Crie um FTD como um dispositivo lógico autônomo e implante-o.
Solução
Etapa 1. Adicione um dispositivo lógico.
Navegue até a guia Dispositivos lógicos e escolha o botão Adicionar dispositivo para criar um novo dispositivo lógico, como mostrado na imagem:
Configure um dispositivo FTD com as configurações mostradas na imagem:
| Nome de dispositivo |
FTD |
| Modelo |
Defesa contra ameaças do Cisco Firepower |
| Versão da imagem |
6.1.0.330 |
Etapa 2. Inicialize o dispositivo lógico.
Após a criação do dispositivo lógico, a janela Provisionamento - nome_do_dispositivo é exibida. Escolha o ícone do dispositivo para iniciar a configuração, como mostrado na imagem:
Configure a guia Informações gerais do FTD, conforme mostrado na imagem:
| Interface de gerenciamento |
Ethernet1/3 |
| Tipo de endereço |
Somente IPv4 |
| IP de gerenciamento |
10.62.148.84 |
| Máscara de rede |
255.255.255.128 |
| Gateway de rede |
10.62.148.1 |
Configure a guia Configurações de FTD, como mostrado na imagem:
| Chave de registro |
cisco |
| Senha |
Pa$$w0rd |
| IP do Firepower Management Center |
10.62.148.50 |
| Domínios de pesquisa |
cisco.com |
| Modo de firewall |
Roteado |
| Servidores DNS |
192.168.0.1 |
| Nome de host totalmente qualificado |
FTD4100.cisco.com |
| Interface de Evento |
- |
Verifique se o Contrato é aceito e selecione OK.
Etapa 3. Atribua as interfaces de dados.
Expanda a área Portas de dados e escolha cada interface a ser atribuída ao FTD. Neste cenário, uma interface (Port-channel10) foi atribuída conforme mostrado na imagem:
Escolha Save para concluir a configuração.
Etapa 4. Monitore o processo de instalação.
É assim que a instalação do FTD progride quando monitorada pela interface do usuário do FCM, como mostrado nas imagens:
Monitore o processo de instalação a partir da CLI do Firepower:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Cisco FTD: CMD=-start, CSP-ID=cisco-ftd.6.1.0.330__ftd_001_JAD19500F7YHCNL7715, FLAG='' Cisco FTD starting ... Registering to process manager ... VNICs requested: 9,22 Cisco FTD started successfully. Cisco FTD initializing ... Firepower-module1>Setting up VNICs ... Found Firepower management vnic 18. No Firepower eventing vnic configured. Updating /ngfw/etc/sf/arc.conf ... Deleting previous CGroup Configuration ... Initializing Threat Defense ... [ OK ] Starting system log daemon... [ OK ] Stopping mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14629]: [14629] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Starting mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14641]: [14641] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Flushing all current IPv4 rules and user defined chains: ...success Clearing all current IPv4 rules and user defined chains: ...success Applying iptables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Flushing all current IPv6 rules and user defined chains: ...success Clearing all current IPv6 rules and user defined chains: ...success Applying ip6tables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] Executing S12install_infodb [ OK ] Executing S15set-locale.sh [ OK ] Executing S16update-sensor.pl [ OK ] Executing S19cert-tun-init [ OK ] Executing S20cert-init [ OK ] Executing S21disable_estreamer [ OK ] Executing S25create_default_des.pl [ OK ] Executing S30init_lights_out_mgmt.pl [ OK ] Executing S40install_default_filters.pl [ OK ] Executing S42install_default_dashboards.pl [ OK ] Executing S43install_default_report_templates.pl [ OK ] Executing S44install_default_app_filters.pl [ OK ] Executing S45install_default_realms.pl [ OK ] Executing S47install_default_sandbox_EO.pl [ OK ] Executing S50install-remediation-modules [ OK ] Executing S51install_health_policy.pl [ OK ] Executing S52install_system_policy.pl [ OK ] Executing S53change_reconciliation_baseline.pl [ OK ] Executing S70remove_casuser.pl [ OK ] Executing S70update_sensor_objects.sh [ OK ] Executing S85patch_history-init [ OK ] Executing S90banner-init [ OK ] Executing S96grow_var.sh [ OK ] Executing S96install_vmware_tools.pl [ OK ] ********** Attention ********** Initializing the system's localization settings. Depending on available system resources (CPU, memory, and disk), this may take 10 minutes or more to complete. ********** Attention ********** Executing S96localize-templates [ OK ] Executing S96ovf-data.pl [ OK ] Executing S97compress-client-resources [ OK ] Executing S97create_platinum_forms.pl [ OK ] Executing S97install_cas [ OK ] Executing S97install_cloud_support.pl [ OK ] Executing S97install_geolocation.pl [ OK ] Executing S97install_ssl_inspection.pl [ OK ] Executing S97update_modprobe.pl [ OK ] Executing S98check-db-integrity.sh [ OK ] Executing S98htaccess-init [ OK ] Executing S98is-sru-finished.sh [ OK ] Executing S99correct_ipmi.pl [ OK ] Executing S99start-system [ OK ] Executing S99z_db_restore [ OK ] Executing S99_z_cc-integrity.sh [ OK ] Firstboot scripts finished. Configuring NTP... [ OK ] insmod: ERROR: could not insert module /lib/modules/kernel/drivers/uio/igb_uio.ko: File exists rw console=ttyS0,38400 loglevel=2 auto kstack=128 reboot=force panic=1 ide_generic.probe_mask=0x1 ide1=noprobe pci=nocrs processor.max_cstate=1 iommu=pt platform=sspxru boot_img=disk0:/fxos-lfbff-k8.9.6.1.150.SPA ciscodmasz=786432 cisconrsvsz=2359296 hugepagesz=1g hugepages=24 ssp_mode=0 Fru Size : 512 bytes Done VNIC command successful VNIC command successful fatattr: FAT_IOCTL_GET_ATTRIBUTES: Inappropriate ioctl for device fatattr: can't open '/mnt/disk0/.private2': No such file or directory fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory Model reconfigure detected, executing scripts Pinging mysql Found mysql is running Executing 45update-sensor.pl [ OK ] Executing 55recalculate_arc.pl [ OK ] Mon Dec 12 17:16:15 UTC 2016 Starting MySQL... Pinging mysql Pinging mysql, try 1 Found mysql is running Detecting expanded storage... Running initializeObjects... Stopping MySQL... Killing mysqld with pid 32651 Wait for mysqld to exit\c done Mon Dec 12 17:16:21 UTC 2016 Starting sfifd... [ OK ] Starting Cisco Firepower 4140 Threat Defense, please wait...No PM running! ...started. Cisco FTD initialization finished successfully. ... output omitted ... Reading from flash... ! Cryptochecksum (changed): b1abfa7e 63faee14 affdddb0 9bc9d8cd INFO: Power-On Self-Test in process. ....................................................................... INFO: Power-On Self-Test complete. INFO: Starting HW-DRBG health test (DRBG 0)... INFO: HW-DRBG health test (DRBG 0) passed. INFO: Starting HW-DRBG health test (DRBG 1)... INFO: HW-DRBG health test (DRBG 1) passed. INFO: Starting SW-DRBG health test... INFO: SW-DRBG health test passed. Firepower-module1>
Firepower-module1>show services status
Services currently running:
Feature | Instance ID | State | Up Since
-----------------------------------------------------------
ftd | 001_JAD19500F7YHCNL7715 | RUNNING | :00:08:07
Tarefa 6. Registrar o FTD no Firepower Management Center (FMC)
Requisito da tarefa
Registrar o DTF no CVP.
Solução
Etapa 1. Verificar a conectividade básica entre o FTD e o FMC.
Antes de registrar o FTD no FMC, verifique a conectividade básica entre o FTD e o FMC:
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> ping system 10.62.148.50
PING 10.62.148.50 (10.62.148.50) 56(84) bytes of data.
64 bytes from 10.62.148.50: icmp_seq=1 ttl=64 time=0.133 ms
64 bytes from 10.62.148.50: icmp_seq=2 ttl=64 time=0.132 ms
64 bytes from 10.62.148.50: icmp_seq=3 ttl=64 time=0.123 ms
Devido à configuração de bootstrap, o FTD tem o FMC do gerente já configurado:
> show managers Host : 10.62.148.50 Registration Key : **** Registration : pending RPC Status :
Etapa 2. Adicionar o FTD ao FMC.
No FMC, navegue até a guia Devices> Device Management e navegue até Add... > Add Device, conforme mostrado na imagem:
Defina as configurações do dispositivo FTD, conforme mostrado na imagem:
Escolha o botão Registrar.
No FMC, verifique as Tarefas para ver como o registro progride. Para além do registro, o CVP também:
- Descobre o dispositivo FTD (recupera a configuração de interface presente).
- Implanta a política inicial.
O registro bem-sucedido é como mostrado na imagem:
Tarefa 7. Atualizar FTD
Requisito da tarefa
Atualize o FTD de 6.1.0.330 para 6.1.0.1.
Solução
Etapa 1. Verifique a compatibilidade.
Verifique as Notas de Versão do FXOS para garantir que a versão do FTD de destino seja compatível com o software FXOS. Se necessário, primeiro atualize o software FXOS.
Etapa 2. Atualize o FTD.
O software do FTD é gerenciado pelo FMC, não pelo FCM. Para atualizar o módulo FTD, conecte-se ao FMC, navegue até a página System > Updatage e escolha Upload Update, conforme mostrado na imagem.
Instale a atualização no módulo FTD, conforme mostrado nas imagens:
Opcionalmente, você pode ativar uma Verificação de Preparação:
Uma verificação de preparação bem-sucedida é mostrada na imagem:
Para iniciar o processo de atualização, clique em Instalar, como mostrado na imagem:
A atualização requer uma reinicialização FTD, como mostrado na imagem:
Da mesma forma que a instalação do FTD, o processo de atualização do FTD pode ser monitorado na interface do usuário (tarefas) do FMC. O progresso da atualização pode ser rastreado a partir da CLI do FTD (modo CLISH).
Após a conclusão da atualização, implante uma política no FTD, como mostrado na imagem:
Verificação
Na interface do usuário do FMC, conforme mostrado na imagem:
Na interface do usuário do FCM, como mostrado na imagem:
Da CLI do chassi:
FPR4100# scope ssa FPR4100 /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.1.0.1.53 6.1.0.330 Not Applicable
Na CLI do FTD:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit > show version ---------------[ FTD4100.cisco.com ]---------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.1.0.1 (Build 53) UUID : 22c66994-c08e-11e6-a210-931f3c6bbbea Rules update version : 2016-03-28-001-vrt VDB version : 275 ---------------------------------------------------- >
Firepower 2100
O FTD no Firepower 2100 usa um único pacote que contém imagens FXOS e FTD. Portanto, os procedimentos de instalação e atualização são diferentes dos utilizados no FP4100/FP9300.
Instalação do FTD no FP2100
Existem 4 procedimentos diferentes, que dependem de maiúsculas e minúsculas:
Caso 1: Apague a configuração e reinicie o sistema com a mesma imagem de FTD.
Caso 2: Recriar a imagem do sistema com uma nova versão do software aplicativo.
Caso 3: Recrie o sistema com suas configurações padrão de fábrica.
Caso 4: Recrie o sistema com as configurações padrão de fábrica (recuperação de senha de administrador).
Para obter detalhes relevantes para cada caso e seu procedimento, verifique:
Procedimentos de Recriação de Imagens
O caso 2 atende à maioria dos casos de instalação do FTD, enquanto o caso 3 (formato e inicialização do ROMMON) pode ser usado em casos específicos (por exemplo, o sistema é instável ou está em um loop de inicialização, e assim por diante).
Atualização de FTD no FP2100
Como não há nenhum pacote FXOS separado, para atualizar um FTD no FP2100, siga as etapas listadas:
Etapa 1. Verifique a compatibilidade.
Se o FTD for gerenciado pelo FMC (gerenciamento fora da caixa), verifique a seção Compatibility (Compatibilidade) nas Release Notes do FTD do destino do software.
Etapa 2. Se houver necessidade, atualize primeiro o FMC. Sempre execute a versão do software FMC igual ou superior à versão do software de destino do FTD.
Etapa 3. Atualize o FTD.
Use o mesmo procedimento que o documentado para FP4100/9300. Documentos importantes para ler antes de uma atualização do FTD:
- Notas de versão do FTD (Por exemplo, se você quiser atualizar para a versão 6.3.0.2, verifique as Notas de versão 6.3.0.2 para verificar os caminhos de atualização e todos os detalhes relevantes.) Notas de versão
- Guia de atualização do FMC (Capítulo: Upgrade Firepower Threat Defense: Other Devices) Guia de atualização do Cisco Firepower Management Center, Versão 6.0-7.0
Verificar
No momento, não há procedimento de verificação disponível para esta configuração.
Troubleshooting
No momento, não há informações específicas disponíveis para solucionar esse problema de configuração.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
4.0 |
06-Sep-2024 |
Formatação, espaçamento e estilo atualizados. |
3.0 |
16-Aug-2023 |
PII atualizado, tradução automática, requisitos de estilo, marcas de MDF e formatação. |
2.0 |
20-Jul-2022 |
Recertificação |
1.0 |
01-Nov-2017 |
Versão inicial |
Feedback