Re: Foro Global de Seguridad para ASA y FTD - AMA - Página 3

Cisco Moderador · ‎01-13-2021

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento podrá preguntar y clarificar sus dudas acerca de Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD), desde sus productos, administración, instalación, configuración y uso, hasta su integración con otros dispositivos en sus red. Conozca más de las mejores prácticas para sacar el mayor provecho de los settings del firewall avanzado, así como las mejores prácticas para solucionar problemas comunes.

El foro también funciona como una introducción para aquellos que no han utilizado las soluciones anteriormente o que cuentan con poco tiempo de utilizarle.

Expertos en Destaque

Berenice Guerra Martinez es una Technical Consulting Engineer en el equipo Global de Asistencia Técnica de Cisco (TAC) para el equipo de Security - Next Generation Firewall (NGFW). Se especializa en la configuración y mejores prácticas de Threat Detection, ASA y Firepower, y en las integraciones de Firepower. Berenice es egresada de la licenciatura de ingeniería electrónica con una especialización en cybersecurity y es una técnica en telecomunicaciones. Cuenta con distintas certificaciones de Cisco, CCNA, CyberOps Associate y DevNet Associate.

Namit Agarwal es un Technical Marketing Engineer en el grupo de seguridad de Cisco. Se encuentra basado en Toronto, Canadá. Trabaja de cerca con el equipo de gestión de las plataformas de productos y liderea compromisos de habilitación técnica. Se unió a Cisco en el 2009 y desde entonces ha estado en distintas posiciones, trabajando más recientemente como un Technical Leader en el equipo de seguridad de Cisco CX en Bangalore, India. En ese rol, trabajo en escalaciones, en el liderazgo de iniciativas de capacidad de servicio para mejorar el producto, y en impulso de compromisos con los equipos de ventas de NGFW. Namit cuenta con un CCIE #54979 en Seguridad y tiene experiencia con múltiples soluciones de seguridad de Cisco como, Firewalls de Cisco, IPS, VPN, y Cloud Security.

Ilkin Gasimov es un Technical Consulting Engineer en el TAC Global de cisco para el equipo de Security - NGFW. Se unió al equipo del Tac en 2017 y desde entonces se ha enfocado en el soporte de las plataformas Cisco NGFW y en la colaboración con las unidades de negocio de Cisco para las mejoras en la calidad de los productos NGFW. También ha impartido sesiones de troubleshooting a clientes y partners. Anterior a Cisco, ha trabajado con equipos y firewalls ASA de Cisco en entornos de redes y empresariales.

Ricardo Diez Gutierrez Gonzalez es un Technical Consulting Engineer en el equipo de HTTS TAC para Security – NGFW – ASA – VPN. Se unió a Cisco hace seis años. Inicio su carrera en el programa de incubators de Cisco, a los seis meses obtuvo su CCNA y se convirtió en un ingeniero de tiempo completo. Ricardo cuneta con las certificaciones de CCNP Security y Specialist NGFW. Actualmente se prepara para el CCIE.

Para mayor información, viste la categoría de Seguridad.

Encuentre más eventos en la lista de Eventos de Seguridad.

¿Sabía que puede obtener respuestas en la comunidad antes de abrir un caso con el TAC?

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar uno a las respuestas a sus preguntas.

Cisco Moderador · ‎01-17-2021

¿Es posible desplegar un ASA en entornos virtuales?

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por Jessica Deaken. Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Berenice Guerra · ‎01-18-2021

Hola Jessica,

Sí, la implementación de ASA es compatible con diferentes plataformas virtuales como VMWare, KVM o Azure.

Para más información sobre cómo implementar un ASAv en Microsoft Azure, por favor revisa el siguiente video en el portal de videos de Cisco: https://video.cisco.com/video/6175870414001

Ricardo1 · ‎01-25-2021

Hola, Jessica,

Sí, el ASA es compatible con algunos eventos virtuales. Se llama ASAv y apoyamos:

Amazon Web Services
Kernel-baased Virtual Machine (KVM)
Microsoft Azure
Oracle Cloud Infrastructure (OCI)
VMware vSphere
Microsoft Hyper-V

Para obtener más información, consulte https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65990

Cisco Moderador · ‎01-17-2021

Hola a todos,

Tenemos un par de FP4115 y un par de cajas de FMC2600 con 3 instancias FTD HA ejecutándose dentro de las 4115. De los cuales 6.5.0.3 para FMC / FTD y 2.8 (1.125) para FXOS.

Nuestro MSP sugiere migrar a 6.6.1-91 para FMC / FTD, lo que tiene mucho sentido desde una perspectiva de seguridad y estabilidad. Sin embargo, desde la perspectiva de la funcionalidad, la versión 6.7 parece que solucionará las razones por las que aún no hemos migrado a AnyConnect desde MS DirectAccess. Hemos comprado todas las licencias adecuadas y hay otras características que facilitarán la vida de nuestros MSP.

¿Alguna idea de cuándo la versión 6.7 pasará a la versión sugerida? ¿Existe algún riesgo que podríamos enfrentar al ignorar los consejos sugeridos y guiar a nuestro MSP para que vaya a esa versión?

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por StevieC666. Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Berenice Guerra · ‎02-04-2021

No hay una fecha definida para hacer 6.7 la próxima versión recomendada. De hecho, la versión 6.7 se lanzó para agregar nuevas funciones a los dispositivos Firepower.
Yo diría que si ha realizado un análisis adecuado de los requisitos de su red y ve la versión más adecuada que la otra, entonces dependerá de su entorno de red el que funcione mejor para ustedes.
Pueden revisar los problemas resueltos (https://www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670/resolved_issues.html) y los problemas conocidos (https://www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670/known_issues.html) de las Notas de la versión (https: // www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670.html) para cubrir todas las posibles preocupaciones para la evaluación de la versión.

Cisco Moderador · ‎01-18-2021

Hola,

Obtengo "acceso denegado" en la herramienta de estimación de FP a pesar de que tengo un inicio de sesión de CCO válido.

¿Es la herramienta/portal accesible al público?

¿Existe una herramienta de dimensionamiento alternativa como CCW?

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por johnlloyd_13 . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Berenice Guerra · ‎01-22-2021

Hola John Lloyd,

La herramienta FP Estimator es accesible al público. Puede que necesite comunicarse con su equipo de cuentas para obtener la solicitud de acceso. No existe otra herramienta como la de dimensionamiento para los dispositivos equivalentes que está buscando.

Cisco Moderador · ‎01-22-2021

Hola,

¿Es compatible con múltiples instancias / contextos múltiples en la serie FTD 2100? En el enlace a continuación, solo menciona 4100/9300

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html#concept_D3A005FB2B0E45BBBDF5392C4D1DD138

pero según la hoja de datos FPR-2100 menciona que es admitido en el contexto de seguridad. ¿Funciona esto con el sistema operativo FTD o ASA?

https://www.cisco.com/c/en/us/products/collateral/security/firepower-2100-series/datasheet-c78-742473.html

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por johnlloyd_13 . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Ilkin · ‎02-04-2021

La implementación de FTD de instancias múltiples solo se admite en la serie Firepower 4100/9300. El modo multicontexto solo se admite en aplicaciones ASA, no FTD.

Fernando Mondragon · ‎01-22-2021

Saludos!

Tengo una pregunta en FTD, el 'show capture cap_inside packet-number 1 trace' para el paquete # 1 contiene el siguiente resultado parcial:

Phase: 1
Type: NGIPS-MODE
Subtype: ngips-mode
Result: ALLOW
Config:
Additional Information:
The flow ingressed an interface configured for NGIPS mode and NGIPS services will be applied


Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced trust ip object 192.0.2.0 object 198.51.100.0 rule-id 268438531 event-log flow-end
...

Result:
input-interface: inside
input-status: up
input-line-status: up
Action: allow

Que resultado nos dara el motor Snort para este paquete?

Ilkin · ‎01-22-2021

> Que resultado nos dara el motor Snort para este paquete?

Ninguno, ya que la regla de control de acceso tiene la palabra clave 'trust' que indica una configuración de política prefiltrada. Este paquete NO se enviará al motor Snort.

Como referencia: https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212321-clarify-the-firepower-threat-defense-acc.html#anc23

Ilkin

Cisco Moderador · ‎01-22-2021

Si la política de seguridad permite una conexión, ¿qué operaciones y / o características afectan la determinación de la interfaz de salida para una conexión en el modo de interfaz enrutada? Es posible desplegarlos según la preferencia?

Jackson

Nota: Esta pregunta es una traducción de una publicación creada originalmente en inglés por Jackson Braddock . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Ilkin · ‎01-25-2021

>Si la política de seguridad permite una conexión, ¿qué operaciones y / o características afectan la determinación de la interfaz de salida para una conexión en el modo de interfaz enrutada? Es posible desplegarlos según la preferencia?

Basado en las siguientes operaciones y/o características, el ASA/FTD identifica la interfaz de salida de una conexión en el modo de interfaz enrutada: Búsqueda de conexión existente, búsqueda de NAT (NAT de destino o UN-NAT), enrutamiento basado en políticas o Policy-based routing (PBR), búsqueda de tabla de enrutamiento global.
El orden correcto también es el que se muestra aquí arriba.

Ilkin

Cisco Moderador · ‎01-22-2021

En FTD el 'show capture cap_inside packet-number 4 trace' para el paquete # 4 contiene la siguiente salida:

Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 1254, using existing flow

Phase: 4
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (fast-forward) fast forward this flow

Result:
input-interface: inside(vrfid:0)
input-status: up
input-line-status: up
Action: allow

¿Qué significa el veredicto de 'fast-forward' y cómo se maneja este paquete en FTD?

Nota: Esta pregunta es una traducción de una publicación creada originalmente en ruso por alsokolov . Ha sido traducido por Cisco Community para compartir la consulta y su solución en diferentes idiomas.

Ilkin · ‎01-25-2021

>¿Qué significa el veredicto de 'fast-forward' y cómo se maneja este paquete en FTD?

El veredicto de 'fast-forward' significa que los paquetes NO se envían al motor Snort y son inspeccionados únicamente por el motor LINA. Referencia: https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212321-clarify-the-firepower-threat-defense-acc.html#anc19

Ilkin