отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

2417
Просмотры
0
Полезный материал
31
Ответы
Community Moderator
Community Manager

Спроси всё о безопасности в продуктах ASA и FTD

 

Master_event_2021_AMA_jan_12-22.png

Данное мероприятие – это возможность подробно обсудить Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Задавайте свои вопросы на тему продуктов, настройки, конфигурации, управления, внедрения, использования и интегрирования с другими устройствами в Вашей сети. Узнайте, как выполнить самые продвинутые настройки и получить максимум от Вашего устройства, а также советы по устранению неисправностей самых часто встречающихся проблем. .

Эксперты мероприятия

Photo_igasimov_100x140.png

Илькин Гасимов - инженер технической поддержки в команде Cisco Global TAC for Security - Next Generation Firewall (NGFW). Присоединился к Cisco TAC в 2017 и с тех пор занимается поддержкой платформ Cisco NGFW и сотрудничеству с бизнес-подразделением Cisco, чтобы внести свой вклад в улучшение качества продукции NGFW. Проводит сессии по устранению неисправностей для партнеров и клиентов. До прихода в Cisco имел практический опыт работы с межсетевыми экранами Cisco ASA в корпоративных и мобильных сетевых средах. Обладает сертификатом CCIE Security 54979.

Photo_namiagar_100x140.png

Namit Agarwal - Technical Marketing Engineer в Security Business Group. Он находится в Торонто, Канада. Он тесно сотрудничает с нашей командой по управлению продуктами платформы и руководит важными техническими мероприятиями. Он присоединился к Cisco в 2009 году и занимал несколько должностей, последняя из которых технический руководитель в группе Security CX в Бангалоре, Индия. В этой роли он работал над эскалацией, руководил инициативами по обслуживанию для улучшения продукта и руководил взаимодействием с отделами продаж NGFW. Имеет опыт работы с несколькими решениями Cisco Security, такими как межсетевые экраны Cisco, IPS, VPN и Cloud Security. Обладает сертификатом CCIE Security 33795.

Photo_bguerram_100x140.pngBerenice Guerra Martinez - Technical Consulting Engineer в команде Cisco Global Technical Assistance Center (TAC) по безопасности - NGFW. Она специализируется на конфигурации и лучших практиках Threat Detection, ASA и Firepower, а также интеграциях с Firepower. Berenice получила степень бакалавра в электронной инженерии со специализацией по безопасности. Обладает тремя сертификатами Cisco: CCNA R&S, CyberOps Associate и DevNet Associate.

Photo_ricargut_100x140.png

Ricardo Diez Gutierrez Gonzalez - Technical Consulting Engineer вкоманде Cisco HTTS TAC for Security – NGFW – ASA – VPN. Он пришел в Cisco шесть лет назад через программу для студентов CiscoИнкубатор. Обладает сертификатами CCNPSecurity и SpecialistNGFW.

 


Задавайте свои вопросы экспертам с 12 по 22 января 2021

(Кликните "Ответить")
** Благодарность поощряет участие всех наших экспертов **
Ставьте Баллы, чтобы поблагодарить участника!

31 ОТВЕТ 31
alsokolov
Beginner

В FTD 'show capture cap_inside packet-number 4 trace' пакет № 4 содержит следующий вывод:

Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

 

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

 

Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 1254, using existing flow

 

Phase: 4
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (fast-forward) fast forward this flow

 

Result:
input-interface: inside(vrfid:0)
input-status: up
input-line-status: up
Action: allow

 

Что означает вердикт 'fast-forward' и как этот пакет обрабатывается в FTD?

Никак, потому что соединение было разгружено на оборудование, что означает, что пакеты не будут доходить до Lina/Snort.
Разгруженный статус (Offload status) указывается флагом «o» в выходных данных выше.

Community Moderator
Community Manager

Добрый день, коллеги,

При использовании устройства FTD 6.7 под управлением FDM рекомендуется использовать API для добавления хостов snmp-server. Справка:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216551-configure-and-troubleshoot-snmp-on-firep.html#anc7

Однако при запросе интерфейсов с помощью API explorer мы не можем получить подробности диагностического интерфейса. Запрос API  GET/devices/default/interfaces возвращает информацию только для интерфейсов данных. GET / devices / default / operating / interfaces показывает нам диагностическую информацию об интерфейсе, но не поля «версия», «имя», «id» и «тип» интерфейса, необходимые для POST / object / snmphosts / API.

Так как же добавить snmp-server для диагностического интерфейса? Речь идет о Firepower 2140, если это имеет значение.

Добрый день,

 

Чтобы получить подробную информацию о диагностическом интерфейсе, сначала получите идентификатор интерфейса управления с помощью запроса API InterfaceInfo> GET / operating / interfaceinfo / {objId}. Вы можете оставить значение по умолчанию для параметра objid

{
  "interfaceInfoList": [
    {
      "interfaceId": "string",
      "hardwareName": "string",
      "speedCapability": [
        "AUTO"
      ],
      "duplexCapability": [
        "AUTO"
      ],
      "interfacePresent": true,
      "id": "string",
      "type": "InterfaceInfoEntry"
    }
  ],
  "id": "string",
  "type": "InterfaceInfo",
  "links": {
    "self": "string"
  }
}

Это пример ответа API для интерфейса управления.

{
  "interfaceInfoList": [
     {
      "interfaceId": "b727b013-c677-11e9-adec-5d5808710d61",
      "hardwareName": "Management1/1",
      "speedCapability": [
        "IGNORE"
      ],
      "duplexCapability": [
        "IGNORE"
      ],
      "interfacePresent": true,
      "id": "default",
      "type": "interfaceinfoentry"
    }
  ],
  "id": "default",
  "type": "interfaceinfo",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/operational/interfaceinfo/default"
  }
}

Соберите значениеinterfaceId, это будет значение objid следующего запроса.

Теперь перейдите в Interface> GET / devices / default / operating / interfaces / {objId}. ДобавьтеinterfaceId интерфейса управления из приведенного выше запроса и выполните вызов API.

 

Из ответа API вы получите сведения о диагностическом интерфейсе.

{
  "name": "diagnostic",
  "hardwareName": "Management1/1",
  "ipv4Address": {
    "ipAddress": null,
    "netmask": null,
    "type": "ipv4address"
  },
  "ipv6Address": {
    "ipAddress": null,
    "type": "ipv6address"
  },
  "macAddress": "string",
  "speedType": null,
  "enabled": true,
  "linkState": "UP",
  "id": "b727b013-c677-11e9-adec-5d5808710d61",
  "type": "interfacedata",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/devices/default/operational/interfaces/b727b013-c677-11e9-adec-5d5808710d61"
  }
}

 

Спасибо за ответ. Однако я всё еще не могу создать правильно сформированный PUT, используя информацию, полученную из предоставленных Вами инструкций. Возможно, было бы лучше, если бы я открыл дело TAC по этой проблеме?
ОЧЕНЬ разочаровывает то, являясь старшим инженером с более чем 10-летним опытом работы с межсетевыми экранами Cisco, я больше не могу с помощью ОДНОЙ СТРОКИ сконфигурировать это на FTD, как на ASA.

Добрый день.

Похоже Вы правы. Данная конфигурация не поддерживается для диагностического интерфейса. Да, вы наверняка можете открыть заявку в TAC, чтобы они смогли помочь вам и предоставить дополнительную информацию об этих изменениях в последней версии.

Community Moderator
Community Manager

Существует ли возможность интегрировать ASA c Firepower services в новую панель SecureX?

Да, вы можете интегрировать свои устройства ASA и сервисами Firepower с SecureX.
Для этого вам необходимо настроить прокси Cisco Security Services Proxy (CSSP), который будет работать как Syslog для FTD, чтобы пересылать события. Файл CSSP для установки можно загрузить с портала SSE.
Дополнительные сведения смотрите в материалах Cisco:
Видео портал Cisco - https://video.cisco.com/video/6161531920001 
Технические заметки Cisco - https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/CTR/Firepower_and_Cisco_Threat_Response_Integration_Guide/send_events_to_the_cloud_using_syslog.html 

Community Moderator
Community Manager

Привет,

Мы скоро проведем техническое обновление нашей серии ASA 5500-X. Проверил ссылки EOL, продукта замены еще нет, я также пытался искать по ссылкам cisco и пытался гуглить, но безрезультативно.
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-743545.html 
Наши ASA выполняют ACL, NAT, security/customer context, A/S HA, S2S и RA VPN в нашей среде, и нам просто нужно сделать замену 1 к 1.
может кто-нибудь посоветовать серию при выборе эквивалентного ASA ниже:
ASA5525x> FPR21xx?
ASA5545x> FPR41xx?
ASA 5555x> FPR41xx?
ASA5585-X> FPR9300?
Мы также планируем запустить классический образ / устройство ASA. Существует ли для этого отдельная лицензия или же структура лицензии используется совместно с FTD?

Привет,

Я бы порекомендовала Вам попробовать инструмент Firepower Performance Estimator, чтобы уточнить производительность каждого устройства и соответствие Вашим потребностям.

Для ASA5525x, ASA5545x, ASA 5555x было бы хорошо перейти на FPR21xx, а для ASA 5585-X на FPR41xx, которое сможет обрабатывать базовые конфигурации.

Вы можете настроить ASA в качестве экземпляра на любом из этих устройств: FPR21xx, FPR41xx и FPR 9300. Информацию о версии совместимости с ASA можно найти в Руководстве по совместимости с Cisco ASA (Cisco ASA Compatibility Guide).

Для лицензии необходимо преобразовать ваши классические лицензии в смарт-лицензии. Документация Cisco о том, как это сделать:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/smart-licensing/qsg/b_Smart_Licensing_QuickStart/b_Smart_Licensing_QuickStart_chapter_011.pdf 

https://software.cisco.com/web/fw/softwareworkspace/smartlicensing/ssmcompiledhelps/c_Convert_Classic_Licensing.html 

Community Moderator
Community Manager

Привет, 

Я вижу статус "access denied" в инструменте Firepower Performance Estimator, хотя у меня есть действующий CCO ID.

Доступен ли данный инструмент для всех?

Есть ли альтернативный инструмент для определения размера, как CCW?

1) Инструмент оценки FPE    https://ngfwpe.cisco.com/dashboard  доступен для всех. Возможно, Вам потребуется обратиться к специалистам со своей учетной записью, чтобы получить запрос на доступ.
2) Нет, к сожалению, другого подобного инструмента для определения размеров устройств нет.

Community Moderator
Community Manager

Привет,

Поддерживается ли несколько экземпляров / несколько контекстов в серии FTD 2100? по ссылке ниже упоминается только 4100/9300

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html#concept_D3A005FB2B0E45BBBDF5392C4D1DD138 

 

Работает ли это под управлением ОС FTD или ASA?

https://www.cisco.com/c/en/us/products/collateral/security/firepower-2100-series/datasheet-c78-742473.html 

Community Moderator
Community Manager

Не могли бы вы дать нам пример конфигурации профайлинга устройств с Cisco ASA в сочетании с Cisco ISE для соединений anyConnect на Cisco ASA?