Buenas tardes. 

1. Como se puede modificar la configuracion migrada de ASA hacia FTD para habilitar la opcion log at the end de cada regla de acceso? Si son muchas reglas modificar la opcion de log puede ser muy laboriosa.

2. Como se puede hacer merge entre dos migraciones de ASA a un ACP para aplicar en un FTD??

Gracias

Buenas tardes, Jaime:

Espero que todo vaya excelente. Aquí encontrarás mis comentarios:

1. ¿Cómo se puede modificar la configuración migrada de ASA hacia FTD para habilitar la opción log at the end de cada regla de acceso? Si son muchas reglas modificar la opción de log puede ser muy laboriosa.

R= Esto se puede lograr agregando la opción de logging antes de migrar la configuración de ASA hacia FTD ya que al utilizar la herramienta de migración de Cisco (https://www.cisco.com/c/en/us/products/security/firewalls/firepower-migration-tool.html), la herramienta agregará la opción de logging en cada una de las reglas como se describe en la siguiente liga:

ASA Migration Guidelines

The Migration Tool uses best practices for Firepower Threat Defense configurations, including the following:

• The migration of the ACL log option follows the best practices for Firepower Threat Defense. The log option for a rule is enabled or disabled based on the source ASA configuration. For rules with an action of deny, the Migration Tool configures logging at the beginning of the connection. If the action is permit, the Migration Tool configures logging at the end of the connection.

https://www.cisco.com/c/en/us/td/docs/security/firepower/migration-tool/migration-guide/ASA2FTD-with-FP-Migration-Tool/b_Migration_Guide_ASA2FTD_chapter_0111.html

2. ¿Cómo se puede hacer merge entre dos migraciones de ASA a un ACP para aplicar en un FTD?

Desafortunadamente, actualmente no existe una herramienta para juntar dos configuraciones distintas. Se tendría que hacer de forma manual.

Espero que esta información sea de tu ayuda,

Saludos cordiales,

Osvaldo G.

Que tal @Borismendoza90 , 

A partir de la versión 6.3, nos permite crear usuarios locales para acceso de VPN como se describe en el siguiente enlace:

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html

Otros parámetros de seguridad pueden ser políticas por grupo, perfiles de conexión, split-tunneling, entre otros. Todos estos parámetros puedes encontrarlos en la siguiente liga:

https://www.cisco.com/c/en/us/td/docs/security/firepower/621/configuration/guide/fpmc-config-guide-v621/firepower_threat_defense_remote_access_vpns.pdf

Espero que esta información sea de tu ayuda,

Saludos cordiales,

Osvaldo G.

Que tal Alvaro,

Espero que todo vaya excelente. Sí, efectivamente los números en cuanto a desempeño no son muy diferentes. Lo que buscamos con esta migración es la unificación de las plataformas, es decir, si tu utilizas el ASA con servicios de Firepower, tendrías que administrar tanto el ASA como el Firepower por separado y en cada una de sus consolas (ASA -> ASDM/CLI y Firepower -> FMC) y con esto poder proveer a nuestros clientes y brindarles una solución de NGFW.

Al migrar tu ASA a FTD todo podríamos realizarlo a través del FMC. Nuestro equipo de desarrollo ha estado trabajado arduamente para seguir añadiendo nuevas funcionalidades y características al FTD con el fin de satisfacer las necesidades de nuestros clientes. Por ejemplo, en la última versión disponible para FTD se agregó la capacidad de tener doble autenticación para los usuarios de VPN, se soportan nuevos escenarios para instalaciones virtuales, creación de VPN L2L con direcciones IP's dinámicas, entre otras.

En cuanto a la migración, existe una herramienta que te ayudará con esta tarea:

https://www.cisco.com/c/en/us/products/security/firewalls/firepower-migration-tool.html

Espero que esta información sea de tu ayuda,

Saludos cordiales,

Osvaldo G.

Hola, Francisco:

Espero que todo vaya excelente. Una de las diferencia y a mi parecer la más importante es que los contextos dentro de un ASA comparten los recursos, es decir, digamos que tú tienes un contexto para el tráfico productivo y otro para el tráfico de tu Datacenter. Si por algún motivo, el contexto que maneja el tráfico de DC elevara la cantidad de tráfico, esto podría afectar el tráfico productivo, ya que el CPU y la memoria aumentarían por el consumo que está sucediendo en el contexto de DC y los recursos se minimizarían en el contexto productivo.

Esto no sucedería con las multi-instancias de FTD ya que cuando tu divides el NGFW, se alojan recursos dedicados para cada uno de los segmentos o particiones. Por lo tanto si alguna de las instancias eleva su consumo de recursos, solo afectaría a dicha partición y no a las demás particiones. 

Una de las desventajas es que aún existen algunas limitantes con las multi-instancias, por ejemplo, el número de instancias permitidas en cada de los equipos. Estas limitantes podrás encontrarlas aquí:

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos241/cli-guide/b_CLI_ConfigGuide_FXOS_241/logical_devices.html#id_77542

Más información al respecto de otras limitantes:

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/multi-instance/multi-instance_solution.html#reference_zzv_3kh_3hb

En el siguiente enlace encontrarás información más detalla de esta migración:

https://community.cisco.com/t5/security-blogs/migrating-asa-multi-context-to-ftd-multi-instance/ba-p/3893465

Espero que esta información sea de tu ayuda,

Saludos cordiales,

Osvaldo G.

Hola, Luis:

Espero que todo vaya excelente. Te comparto información muy útil que podrás utilizar durante la migración de ASA a FTD:

Cisco Firepower Migration Tool

https://www.cisco.com/c/en/us/products/security/firewalls/firepower-migration-tool.html

Migrating ASA Multi-Context to FTD Multi-Instance

https://community.cisco.com/t5/security-blogs/migrating-asa-multi-context-to-ftd-multi-instance/ba-p/3893465

Migrating ASA to Firepower Threat Defense with the Firepower Migration Tool

https://www.cisco.com/c/en/us/td/docs/security/firepower/migration-tool/migration-guide/ASA2FTD-with-FP-Migration-Tool.html

Espero que toda esta información sea de tu ayuda.

Saludos cordiales,

Osvaldo G.

Hola,

Espero que todo vaya excelente. Más allá de ventajas yo lo veo como otra línea de defensa o un punto ciego menos en la red, es decir, Cisco actualmente cuenta con una arquitectura de seguridad en donde existen equipos dedicados a distintos puntos de protección de la red. Por ejemplo, para servicios de identidad, tenemos al ISE; para protección contra malware/ransomware tenemos AMP; WSA y ESA para protegernos contra los principales vectores de ataques que son Web y Correo Electrónico, etc.

Una de las funcionalidades que tiene FTD para complementar dicha seguridad al WSA son las reglas de IPS que pueden ser habilitadas. Algo muy útil es que dentro de FTD tendremos lo que se le conoce como "IPS Firepower recommendations" en donde el equipo evaluará los equipos descubiertos dentro de la red y emitirá una recomendación para que solo las reglas de relevancia para ti sean habilitadas y no todas las reglas que existen dentro del equipo.

Hablando de Cisco Umbrella, pueden trabajar en conjunto FTD y Cisco Umbrella ya que al final casi todo, sino es que todo el tráfico que viaja hacia internet debe de ser traducido de un nombre a una IP y esto con la ayuda de un servidor de DNS. Pues Cisco Umbrella trabaja a ese nivel para que la protección ocurra desde que un usuario, ya sea por accidente o de manera intencional, entre a un sitio malicioso.

Existen distintos tutoriales en internet que pueden ayudarte, con la ayuda de NAT, a redirigir todo el tráfico de DNS hacia Cisco Umbrella.

Espero que esta información sea de tu ayuda,

Saludos cordiales,

Osvaldo G.

Gracias por la respuesta Jorge, has clarificado varios temas que tenía en mente.

Agradezco a Cisco por estas oportunidades