Foro Global de Seguridad para ASA y FTD - AMA

Cisco Moderador · ‎01-13-2021

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas acerca de Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), desde sus productos, administración, instalación, configuración y uso, hasta su integración con otros dispositivos en sus red. Conozca más de las mejores prácticas para sacar el mayor provecho de los settings del firewall avanzado, así como las mejores prácticas para solucionar problemas comunes.

El foro también funciona como una introducción para aquellos que no han utilizado las soluciones anteriormente o que cuentan con poco tiempo de utilizarle.

Expertos en Destaque

Berenice Guerra Martinez es una Technical Consulting Engineer en el equipo Global de Asistencia Técnica de Cisco (TAC) para el equipo de Security - Next Generation Firewall (NGFW). Se especializa en la configuración y mejores prácticas de Threat Detection, ASA y Firepower, y en las integraciones de Firepower. Berenice es egresada de la licenciatura de ingeniería electrónica con una especialización en cybersecurity y es una técnica en telecomunicaciones. Cuenta con distintas certificaciones de Cisco, CCNA, CyberOps Associate y DevNet Associate.

Namit Agarwal es un Technical Marketing Engineer en el grupo de seguridad de Cisco. Se encuentra basado en Toronto, Canadá. Trabaja de cerca con el equipo de gestión de las plataformas de productos y liderea compromisos de habilitación técnica. Se unió a Cisco en el 2009 y desde entonces ha estado en distintas posiciones, trabajando más recientemente como un Technical Leader en el equipo de seguridad de Cisco CX en Bangalore, India. En ese rol, trabajo en escalaciones, en el liderazgo de iniciativas de capacidad de servicio para mejorar el producto, y en impulso de compromisos con los equipos de ventas de NGFW. Namit cuenta con un CCIE #54979 en Seguridad y tiene experiencia con múltiples soluciones de seguridad de Cisco como, Firewalls de Cisco, IPS, VPN, y Cloud Security.

Ilkin Gasimov es un Technical Consulting Engineer en el TAC Global de cisco para el equipo de Security - NGFW. Se unió al equipo del Tac en 2017 y desde entonces se ha enfocado en el soporte de las plataformas Cisco NGFW y en la colaboración con las unidades de negocio de Cisco para las mejoras en la calidad de los productos NGFW. También ha impartido sesiones de troubleshooting a clientes y partners. Anterior a Cisco, ha trabajado con equipos y firewalls ASA de Cisco en entornos de redes y empresariales.

Ricardo Diez Gutierrez Gonzalez es un Technical Consulting Engineer en el equipo de HTTS TAC para Security – NGFW – ASA – VPN. Se unió a Cisco hace seis años. Inicio su carrera en el programa de incubators de Cisco, a los seis meses obtuvo su CCNA y se convirtió en un ingeniero de tiempo completo. Ricardo cuneta con las certificaciones de CCNP Security y Specialist NGFW. Actualmente se prepara para el CCIE.

Para mayor información, viste la categoría de Seguridad.

Encuentre más eventos en la lista de Eventos de Seguridad.

¿Sabía que puede obtener respuestas en la comunidad antes de abrir un caso con el TAC?

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

Adolfo Suarez · ‎01-15-2021

Hola a todos,

¿Cómo puedo reemplazar un par de HA ASA si una unidad está defectuosa?

Muchas gracias,

Adolfo.

Ricardo1 · ‎01-18-2021

Q: ¿Cómo puedo reemplazar un par de HA ASA si una unidad está defectuosa?

1.- Luego de reemplazar la unidad (RMA) tienen que conectar las interfaces ASA y encender el dispositivo.
2.- Vuelvan a hostear la licencia (pueden abrir un caso de TAC con el equipo de licencias).
3.- Si el ASA está en multicontexto, cámbienlo a multiple usando el comando "mode multiple". Se reiniciará el firewall.
3.- De la unidad que está funcionando, vayan a la salida del comando "show run failover" y cambien el rol (si la unidad de trabajo es la primaria entonces cámbienla a secundaria), y luego péguenla en el dispositivo defectuoso.
4.- Habiliten el failover usando el comando "failover".
5.- Verifiquen los servicios y prueben un failover usando el comando "no failover active" en la unidad activa.

Cisco Moderador · ‎01-15-2021

Hola equipo,

Cuando usamos un dispositivo FTD 6.7 administrado por FDM, se nos indica que usemos la API para agregar hosts de servidor snmp. Referencia:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216551-configure-and-troubleshoot-snmp-on-firep.html#anc7

Sin embargo, al consultar las interfaces mediante el explorador de API, no podemos obtener los detalles de la interfaz de diagnóstico. La consulta de GET /devices/default/interfaces sólo devuelve información para interfaces de datos. GET /devices/default/interfaces nos muestra la información de la interfaz de diagnóstico, pero no los campos "versión", "nombre", "id" y "tipo" de la interfaz necesarios para el POST /object/snmphosts/ API.

Entonces, ¿cómo agregamos un servidor snmp para la interfaz de diagnóstico? El aparato en cuestión es un Firepower 2140 por si les sirve de referencia.

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por Marvin Rhoads . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Berenice Guerra · ‎01-18-2021

Hola Marvin,

Para obtener los detalles de la interfaz de diagnóstico, primero, hay que obtener el Id de la interfaz de administración con la consulta API InterfaceInfo > GET /operational/interfaceinfo/{objId}. Se puede dejar el valor predeterminado para el parámetro objid .

{
  "interfaceInfoList": [
    {
      "interfaceId": "string",
      "hardwareName": "string",
      "speedCapability": [
        "AUTO"
      ],
      "duplexCapability": [
        "AUTO"
      ],
      "interfacePresent": true,
      "id": "string",
      "type": "InterfaceInfoEntry"
    }
  ],
  "id": "string",
  "type": "InterfaceInfo",
  "links": {
    "self": "string"
  }
}

Este es un ejemplo de la respuesta de la API para la interfaz de administración.

{
  "interfaceInfoList": [
     {
      "interfaceId": "b727b013-c677-11e9-adec-5d5808710d61",
      "hardwareName": "Management1/1",
      "speedCapability": [
        "IGNORE"
      ],
      "duplexCapability": [
        "IGNORE"
      ],
      "interfacePresent": true,
      "id": "default",
      "type": "interfaceinfoentry"
    }
  ],
  "id": "default",
  "type": "interfaceinfo",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/operational/interfaceinfo/default"
  }
}

Extraiga el valor del interfaceId, ya que este será el valor del objid de la siguiente consulta o query.

Ahora vaya a Interface > GET/devices/default/operational/interfaces/{objId}. Agregue el valor interfaceId de la interfaz de administración de la consulta o query anterior, y ejecute la llamada API.

De la respuesta de la API, obtendrá los detalles de la interfaz de diagnóstico.

{
  "name": "diagnostic",
  "hardwareName": "Management1/1",
  "ipv4Address": {
    "ipAddress": null,
    "netmask": null,
    "type": "ipv4address"
  },
  "ipv6Address": {
    "ipAddress": null,
    "type": "ipv6address"
  },
  "macAddress": "string",
  "speedType": null,
  "enabled": true,
  "linkState": "UP",
  "id": "b727b013-c677-11e9-adec-5d5808710d61",
  "type": "interfacedata",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/devices/default/operational/interfaces/b727b013-c677-11e9-adec-5d5808710d61"
  }
}

Cisco Moderador · ‎01-18-2021

@ bguerram

Eso es útil, sin embargo todavía no puedo crear un PUT correctamente utilizando la información de sus instrucciones. Quizás lo mejor sería abrir un caso con el TAC para solucionar este problema.

Es MUY frustrante que, para un ingeniero senior con más de 10 años de experiencia en firewalls de Cisco, no pueda yo configurar fácilmente en FTD lo que requiere UNA LÍNEA de código en ASA.

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por Marvin Rhoads . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Berenice Guerra · ‎01-22-2021

Hola Marvin,

Tiene razón, parece que esta configuración no es compatible con la interfaz de diagnóstico. Pero seguro que puede abrir un caso TAC, ellos podrán ayudarlo y brindarle más detalles sobre estos cambios en la última versión actual.

Cisco Moderador · ‎01-15-2021

¿Existe alguna ruta y procedimiento de actualización para los dispositivos de firepower?

Nota: Esta pregunta es una traducción de una publicación creada originalmente en japonés por S.Takenaka (CiscoJapanModerator) . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Ricardo1 · ‎01-18-2021

Q: ¿Existe alguna ruta y procedimiento de actualización para los dispositivos de firepower?

Hola,

sí, hay una ruta especialmente para la versión más antigua de firepower (6.1.0, 6.2.0 y 6.2.3).

En las notas del release de cada versión, puedra encontrar la ruta de actualización. Para las versiones 6.2.3+, puede actualizar directamente a cualquier versión base (6.3.0, 6.4.0, 6.5.0, 6.6.0).

El procedimiento es el mismo para los dispositivos firepower y de firepower threat defense. Pueden consultar el siguiente enlace para revisar el procedimiento: https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/213269-upgrade-procedure-through-fmc-for-firepo.html

Observación: La actualización debe realizarse primero en el FMC y luego en los sensores. El FMC debe estar en una versión superior o en la misma versión de los sensores.

Cisco Moderador · ‎01-15-2021

¿Es posible integrar ASA con los servicios de Firepower en el nuevo panel de SecureX?

Nota: Esta pregunta es una traducción de una publicación creada originalmente en japonés por Jean MD . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Berenice Guerra · ‎01-18-2021

Hola Jean,

Sí se puede integrar los dispositivos ASA a los servicios de Firepower con SecureX.

Para esto, necesitarán configurar un proxy, Cisco Security Services Proxy (CSSP), que funcionará como Syslog para FTD para reenviar los eventos. El archivo CSSP a configurar se puede descargar desde el portal SSE. Para más detalles, por favor consulte los contenidos de Cisco a continuación:

- Portal de video de Cisco: https://video.cisco.com/video/6161531920001

- Notas técnicas de Cisco: https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/CTR/Firepower_and_Cisco_Threat_Response_Integration_Guide/send_events_to_the_cloud_using_syslog.html

Cualquier duda estamos a su disposición

Cisco Moderador · ‎01-15-2021

Hola,

En ASA, si una lista de acceso permite conexiones entre 2 interfaces con el mismo nivel de seguridad, ¿estas conexiones todavía están sujetas a la verificación del comando "same-security-traffic permit inter-interface"?

Gracias

Nota: Esta pregunta es una traducción de una publicación creada originalmente en portugués por Didier M . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Ilkin · ‎01-18-2021

> En ASA, si una lista de acceso permite conexiones entre 2 interfaces con el mismo nivel de seguridad, ¿estas conexiones todavía están sujetas a la verificación del comando "same-security-traffic permit inter-interface"?

Sí. Incluso si una lista de acceso permite conexiones entre 2 interfaces con el mismo nivel de seguridad, el comando "same-security-traffic permit inter-interface" sigue siendo necesario para permitir las conexiones.

Ilkin

Cisco Moderador · ‎01-17-2021

Hola,

Pronto haremos una actualización tecnológica con nuestra "ASA 5500-X series". Al verificar el enlace EOL, todavía no hay reemplazo del producto e intenté buscar en los enlaces de Cisco y Google, pero fue en vano.

https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-743545.html

Nuestro ASA simplemente hace ACL, NAT, security/customer context, A/S HA, S2S y RA VPN en nuestro entorno y sólo necesitamos hacer un reemplazo 1-1.

¿Alguien puede recomendar la "regla de oro" para dimensionar el ASA equivalente a continuación:

ASA5525x> FPR21xx?
ASA5545x> FPR41xx?
ASA 5555x> FPR41xx?
ASA5585-X> FPR9300?

También planeamos ejecutar la clásica image/appliance de ASA.

¿Hay una licencia separada para esto o es compartida con FTD?

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por johnlloyd_13 . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Berenice Guerra · ‎01-18-2021

Hola John Lloyd,

Les recomendaría que prueben la herramienta Firepower Performance Estimator, para conocer mejor el rendimiento de cada aparato y ver si se adapta a sus necesidades.

Desde ASA5525x, ASA5545x, ASA5555x sería bueno pasar a un dispositivo FPR21xx y de ASA5585-X> FPR41xx lo que les permitiría manejar configuraciones básicas.

También pueden configurar ASA como una instancia en cualquiera de estos dispositivos FPR21xx, FPR41xx y FPR 9300. Para obtener la versión de compatibilidad de ASA, puede consultar la Guía de compatibilidad de Cisco ASA.

Para la licencia, será necesario convertir sus licencias clásicas en licencias inteligentes. Aquí hay una documentación de Cisco que los guiará de cómo hacerlo.

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/smart-licensing/qsg/b_Smart_Licensing_QuickStart/b_Smart_Licensing_QuickStart_chapter_011.pdf

https://software.cisco.com/web/fw/softwareworkspace/smartlicensing/ssmcompiledhelps/c_Convert_Classic_Licensing.html

Gracias por su pregunta -