cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
3724
Visitas
40
ÚTIL
21
Respuestas
Cisco Moderador
Community Manager

Pregunte al Experto- ¿Cómo migrar Cisco ASA a FTD?

sp-ask-migracion-asa-jul2019_900x150.png

ATE-Participa

Aclare todas sus dudas de las mejores prácticas y de los elementos necesarios para migrar su Cisco Adaptive Security Appliance (ASA) a Cisco Firepower Threat Defense (FTD). Con la evolución de las amenazas en Internet es importante mantenerse actualizado y protegido en todo momento. Firepower Threat Defense (FTD) es un firewall de siguiente generación capaz de responder ante amenazas existentes o desconocidas, así como brindar características de Firewall como lo es control de acceso por medio de condiciones de red, nombres de usuarios, puertos, protocolos o inclusive aplicaciones, puede establecer VPNs de acceso remoto o comunicación entre sitios, etc.

Haga sus preguntas del 15 de Julio al 2 de Agosto del 2019.

Detalles del especialista

osvaldo.jpgOsvaldo Garcia es un ingeniero de preventa con atención a clientes globales, pertenece al grupo de GVE de Cisco desde el 2019. Trabaja todo el portafolio de seguridad de Cisco, desde FTD, AMP, Cloudlock, Cisco Umbrella, ESA, WSA, ISE, hasta Meraki entre otros. Osvaldo es egresado de la carrera de Ingeniera en Tecnologías Computacionales del Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Santa Fe. Cuenta en las certificaciones de CCNP en Seguridad y en Routing & Switching. Actualmente se prepara el CCIE de Seguridad.

Osvaldo puede no poder responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra categoría de Seguridad

 

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

21 RESPUESTAS 21
Borismendoza90
Beginner

Buenas tardes, disculpa me encuentro realizando una migración de asa a ftd y en mis configuraciones del ASA tengo muchas VPN que utilizamos con el client cisco, ahora en esta migración tengo que actualizarla a ANYConnect cual es el proceso que tengo que realizar ya que mis usuarios de las VPN en el ASA eran locales y el password lo utilizamos con RSAToken ,  al mismo tiempo que parámetros adicionales de seguridad pudo añadir a estas conexiones VPN, agradezco tu ayuda,

Buenas tardes. 

1. Como se puede modificar la configuracion migrada de ASA hacia FTD para habilitar la opcion log at the end de cada regla de acceso? Si son muchas reglas modificar la opcion de log puede ser muy laboriosa.

2. Como se puede hacer merge entre dos migraciones de ASA a un ACP para aplicar en un FTD??

 

Gracias

 

 

 

 

 

 

 

 

 

Buenas tardes, Jaime:

 

Espero que todo vaya excelente. Aquí encontrarás mis comentarios:

 

1. ¿Cómo se puede modificar la configuración migrada de ASA hacia FTD para habilitar la opción log at the end de cada regla de acceso? Si son muchas reglas modificar la opción de log puede ser muy laboriosa.

R= Esto se puede lograr agregando la opción de logging antes de migrar la configuración de ASA hacia FTD ya que al utilizar la herramienta de migración de Cisco (https://www.cisco.com/c/en/us/products/security/firewalls/firepower-migration-tool.html), la herramienta agregará la opción de logging en cada una de las reglas como se describe en la siguiente liga:

 

ASA Migration Guidelines

The Migration Tool uses best practices for Firepower Threat Defense configurations, including the following:

  • The migration of the ACL log option follows the best practices for Firepower Threat Defense. The log option for a rule is enabled or disabled based on the source ASA configuration. For rules with an action of deny, the Migration Tool configures logging at the beginning of the connection. If the action is permit, the Migration Tool configures logging at the end of the connection.

https://www.cisco.com/c/en/us/td/docs/security/firepower/migration-tool/migration-guide/ASA2FTD-with-FP-Migration-Tool/b_Migration_Guide_ASA2FTD_chapter_0111.html

 

2. ¿Cómo se puede hacer merge entre dos migraciones de ASA a un ACP para aplicar en un FTD?

 

Desafortunadamente, actualmente no existe una herramienta para juntar dos configuraciones distintas. Se tendría que hacer de forma manual.

 

Espero que esta información sea de tu ayuda,

Saludos cordiales,

 

Osvaldo G.

 

Que tal @Borismendoza90 , 

 

A partir de la versión 6.3, nos permite crear usuarios locales para acceso de VPN como se describe en el siguiente enlace:

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html

 

Otros parámetros de seguridad pueden ser políticas por grupo, perfiles de conexión, split-tunneling, entre otros. Todos estos parámetros puedes encontrarlos en la siguiente liga:

 

https://www.cisco.com/c/en/us/td/docs/security/firepower/621/configuration/guide/fpmc-config-guide-v621/firepower_threat_defense_remote_access_vpns.pdf

 

Espero que esta información sea de tu ayuda,

Saludos cordiales,

 

Osvaldo G.

Alvaro Rugama
Beginner

Estimado

 

Entendiendo que tanto los ASA como los FTD físicos, soportan ambos firmwares.

 

Que ventaja se tendría al tener un ASA5525X con firmware de ASA y servicios de Firepower y querer cambiar únicamente el software a FTD?

 

Desde mi punto de vista entendería que el desempeño del equipo variaria muy poco por la dependencia de los recursos de hatdware, Mas bien, entraríamos a la complejidad de la migración de las políticas y de la curva de aprendizaje al nuevo fiemware.

 

Esperamos tus valiosos comentarios.

 

Saludos

Que tal Alvaro,

 

Espero que todo vaya excelente. Sí, efectivamente los números en cuanto a desempeño no son muy diferentes. Lo que buscamos con esta migración es la unificación de las plataformas, es decir, si tu utilizas el ASA con servicios de Firepower, tendrías que administrar tanto el ASA como el Firepower por separado y en cada una de sus consolas (ASA -> ASDM/CLI y Firepower -> FMC) y con esto poder proveer a nuestros clientes y brindarles una solución de NGFW.

 

Al migrar tu ASA a FTD todo podríamos realizarlo a través del FMC. Nuestro equipo de desarrollo ha estado trabajado arduamente para seguir añadiendo nuevas funcionalidades y características al FTD con el fin de satisfacer las necesidades de nuestros clientes. Por ejemplo, en la última versión disponible para FTD se agregó la capacidad de tener doble autenticación para los usuarios de VPN, se soportan nuevos escenarios para instalaciones virtuales, creación de VPN L2L con direcciones IP's dinámicas, entre otras.

 

En cuanto a la migración, existe una herramienta que te ayudará con esta tarea:

https://www.cisco.com/c/en/us/products/security/firewalls/firepower-migration-tool.html

 

Espero que esta información sea de tu ayuda,

Saludos cordiales,

 

Osvaldo G.

Francisco Macias
Beginner

Hola Osvaldo
¿En tu experiencia cuáles serían las principales diferencias entre multicontexto de ASA y multinstancia de FTD? Sobre todo, hablando de ventajas y desventajas
Gracias

Hola, Francisco:

 

Espero que todo vaya excelente. Una de las diferencia y a mi parecer la más importante es que los contextos dentro de un ASA comparten los recursos, es decir, digamos que tú tienes un contexto para el tráfico productivo y otro para el tráfico de tu Datacenter. Si por algún motivo, el contexto que maneja el tráfico de DC elevara la cantidad de tráfico, esto podría afectar el tráfico productivo, ya que el CPU y la memoria aumentarían por el consumo que está sucediendo en el contexto de DC y los recursos se minimizarían en el contexto productivo.

Esto no sucedería con las multi-instancias de FTD ya que cuando tu divides el NGFW, se alojan recursos dedicados para cada uno de los segmentos o particiones. Por lo tanto si alguna de las instancias eleva su consumo de recursos, solo afectaría a dicha partición y no a las demás particiones. 

Una de las desventajas es que aún existen algunas limitantes con las multi-instancias, por ejemplo, el número de instancias permitidas en cada de los equipos. Estas limitantes podrás encontrarlas aquí:

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos241/cli-guide/b_CLI_ConfigGuide_FXOS_241/logical_devices.html#id_77542

 

Más información al respecto de otras limitantes:

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/multi-instance/multi-instance_solution.html#reference_zzv_3kh_3hb

 

En el siguiente enlace encontrarás información más detalla de esta migración:

https://community.cisco.com/t5/security-blogs/migrating-asa-multi-context-to-ftd-multi-instance/ba-p/3893465

 

 

Espero que esta información sea de tu ayuda,

Saludos cordiales,

 

Osvaldo G.

Tengo un cliente que actualmente tiene toda su protección con Cisco ASA 5500-X. En unas cuantas semanas iniciaremos la migración hacia plataformas FPR4110, FPR2130 y FPR2120 con FTD.

¿Qué necesito para poder iniciar la planeación y de qué herramientas se disponen para pasar la configuración de ASA a FTD? Respecto a los servicios Firepower, estariamos implementando IPS (actualmente no tienen IPS, pero si se planea implementar con FTD),

 

Hola, Luis:

 

Espero que todo vaya excelente. Te comparto información muy útil que podrás utilizar durante la migración de ASA a FTD:

Cisco Firepower Migration Tool

https://www.cisco.com/c/en/us/products/security/firewalls/firepower-migration-tool.html

Migrating ASA Multi-Context to FTD Multi-Instance

https://community.cisco.com/t5/security-blogs/migrating-asa-multi-context-to-ftd-multi-instance/ba-p/3893465

Migrating ASA to Firepower Threat Defense with the Firepower Migration Tool

https://www.cisco.com/c/en/us/td/docs/security/firepower/migration-tool/migration-guide/ASA2FTD-with-FP-Migration-Tool.html

 

Espero que toda esta información sea de tu ayuda.

Saludos cordiales,

 

Osvaldo G.

dulfranc1
Beginner

Saludos

¿Qué ventajas para filtreo se podrían destacar en FTD? Por ejemplo, el WSA permite bloquear varios proxy incluyendo Ultra surf y es más eficaz cuando se hace la configuración entre el ASA o FTD y el WSA mediante WCCP­ ¿podrías compartir tu opinión?


Por otra parte ¿es posible integrar Cisco Umbrella con FTD?

 

Gracias!

Hola,

 

Espero que todo vaya excelente. Más allá de ventajas yo lo veo como otra línea de defensa o un punto ciego menos en la red, es decir, Cisco actualmente cuenta con una arquitectura de seguridad en donde existen equipos dedicados a distintos puntos de protección de la red. Por ejemplo, para servicios de identidad, tenemos al ISE; para protección contra malware/ransomware tenemos AMP; WSA y ESA para protegernos contra los principales vectores de ataques que son Web y Correo Electrónico, etc.

 

Una de las funcionalidades que tiene FTD para complementar dicha seguridad al WSA son las reglas de IPS que pueden ser habilitadas. Algo muy útil es que dentro de FTD tendremos lo que se le conoce como "IPS Firepower recommendations" en donde el equipo evaluará los equipos descubiertos dentro de la red y emitirá una recomendación para que solo las reglas de relevancia para ti sean habilitadas y no todas las reglas que existen dentro del equipo.

 

Hablando de Cisco Umbrella, pueden trabajar en conjunto FTD y Cisco Umbrella ya que al final casi todo, sino es que todo el tráfico que viaja hacia internet debe de ser traducido de un nombre a una IP y esto con la ayuda de un servidor de DNS. Pues Cisco Umbrella trabaja a ese nivel para que la protección ocurra desde que un usuario, ya sea por accidente o de manera intencional, entre a un sitio malicioso.

 

Existen distintos tutoriales en internet que pueden ayudarte, con la ayuda de NAT, a redirigir todo el tráfico de DNS hacia Cisco Umbrella.

 

Espero que esta información sea de tu ayuda,

Saludos cordiales,

 

Osvaldo G.

Gracias por la respuesta Jorge, has clarificado varios temas que tenía en mente.

Agradezco a Cisco por estas oportunidades

Borismendoza90
Beginner

Hola buenas tardes,

¿Cómo migro el SSL REMOTE VPN de ASA a FirePower?, actualmente en mi ASA tengo habilitado este tipo de VPN donde publico url internas de mi empresa.

Agradezco su ayuda.

Saludos.

Atte. Boris

Crear
Reconozca a un colega
Content for Community-Ad