- P: ¿Lo presentado se puede integrar con ISE y qué valor agregado otorga?
Si se puede integrar con ISE. En ISE tenemos diferentes funciones, El firepower no puede bajar la identidad del ISE. El ISE y FirePower se integran en una solución llamada RTC (Rapid Threat Containment) Y a través de PXgrid para tener el contexto de los usuarios cuando se detecte una maquina con IoC - indicators of Compromise.
- P: ¿Passive interface es cuando se hace un Switched Port Analyzer (SPAN)? ¿Dónde puedo encontrar la diferencia entre passive y routed mode interface?
En las siguientes ligas podrás encontrar mas información de los diferentes modos que lo podemos implementar y estaré poniendo información en http://blog.voseda.com
https://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/firewall/asa-firewall-cli/modules-sfr.pdf
http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html#pgfId-144515
P: El FirePOWER si bloquea el Ultrasurf ¿Puede encontrarse como app o como categoría Proxy?
Lo encontramos en en la parte de aplicaciones en la categoría de túneles. también lo puedes hallar usando la opción de búsqueda.
Si lo bloquea es recomendable siempre estar al día en las actualizaciones.
- P: ¿Esta solución tiene el feature para controlar ancho de banda? Como lo tenía CX
No se puede controlar el ancho de banda directamente con el firepower.
Usando el asa podrías crear algunas políticas de QOS, Traffic Shapping Y Traffic policing y esto sería por flujos de tráfico.
- P: ¿Lo demostrado se puede probar con YouTube https?
Si, todo el tráfico lo bloquea sin problemas.
La única limitante con https es que si no tienes certificados para desencriptar el tráfico no te muestra la página de bloqueo. Para que la despliegue necesitas instalarle certificados válidos al FMC.
- P: ¿Qué tipo de certificado se requiere para des encriptar el tráfico -en https- y que permita mostrar el mensaje de bloqueo?
Ocupas un certificado SSL que sea valido y emitido por alguna entidad certificadora. Hay diferentes tipos de certificados y validaciones para los mismos.
Para pruebas de laboratorio puedes usar uno firmado por el mismo FMC pero te va salir una advertencia antes del mensaje.
- P: ¿Qué ventaja tiene manejar identities con Cisco ISE en lugar de FirePOWER User Agent?
En ISE tenemos diferentes funciones, El firepower no puede bajar la identidad del ISE
El ISE y FirePower se integran en una solución llamada RTC (Rapid Threat Containment) Y a través de PXgrid para tener el contexto de los usuarios cuando se detecte una maquina con IoC - indicators of Compromise.
- P: ¿Es posible balancear la carga?
Directamente desde el Firepower Management Center no lo podemos hacer.
Podríamos aplicar en el ASA Policy Based Routing (PBR) para lograr que flujos definidos de trafico salgan por un ISP y otro por un segundo ISP.
P: ¿Cómo se bloquea la búsqueda de pornografía, es decir me he topado con que puedo bloquear las URL pero al poner porno en Google me siguen apareciendo imágenes?
Abajo en el foro podemos encontrar a detalle a esta respuesta.
- P:¿Existe una licencia para todas categorías expuestas?
La licencia mas completa es la licencia "TAMC" Control + Protection + URL Filtering + Malware
- P: ¿Se tiene la opción de realizar políticas por tiempo?
Directamente en el FMC hasta la versión 6.2 no esta soportada esta función, se espera que en nuevas versiones se añada esta funcionalidad.
Un workaround es realizar políticas en el ASA de PBRs y SLAs, para redes internas y establecer tiempos en los que estarán activas.
- P: ¿Es factible aplicar trafic shaper?
No se puede controlar el ancho de banda directamente con el FMC.
Usando el asa podrías crear algunas políticas de QOS, Traffic Shapping Y Traffic policing y esto seria por flujos.
- P: ¿Han detectado algún Bug al integrear un ASA 5516-X con el FMC?
Hasta el momento no.
- P: ¿Cómo se puede hacer el traffic shaping?
No se puede controlar el ancho de banda directamente con el FMC.
Usando el asa podrías crear algunas políticas de QOS, Traffic Shapping Y Traffic policing y esto seria por flujos.
- P: ¿Existe un track de certificaciones para especializarse en Cisco FirePOWER?
No hay certificaciones para como tal para Cisco Firepower, Solamente Cursos.
Si estas interesado en algún curso de Firepower con gusto te podemos ayudar. contacto@voseda.com
- P: ¿El FirePOWER se puede integrar con el AD en español?
Si. Sin problemas.
- P: En cuestiones de administración ¿se soporta la integración con TACACS?
ASA lo podemos integrar con TACACS.
Firepower Management Center lo puedes integrar con Radius o LDAP.
Te dejo mas información:
http://www.cisco.com/c/en/us/td/docs/security/firepower/620/configuration/guide/fpmc-config-guide-v62/firepower_system_user_management.html?bookSearch=true#ID-2263-00000006
http://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/aaa-tacacs.html
- P: ¿Es posible cargar el módulo de FirePOWER en el ASA ASA5512, es básicamente compatibilidad?
Si hay un numero de parte ASA5512-FP-UPG que te sirve para hacer ese upgrade.
Para el 5512-X ya salió el fin de vida.
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-c51-738644.html
- P: ¿Qué hay del bloqueo a sitios con https?
Si, todo el trafico lo bloquea sin problemas.
La única limitante con https es que si no tienes certificados para desencriptar el trafico no te muestra la pagina de bloqueo.
Para que la despliegue necesitas instalarle certificados validos al FMC.
- P: En las categorías vienen los proxys pero aunque se lo apliquen no bloquea el Ultrasurf ¿por qué?
Existe un Bug abierto para el FMC. La recomendación es actualizar la parte de Vulnerability And Fingerprint Database a la versión 281 o superior.
Te recomiendo seguir la parte del Bug o abrir un caso con Cisco TAC.
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvd39383/?referring_site=bugquickviewredir
• P: ¿Para aplicar el amp cuál sería la mejor práctica (para no superar el tráfico)?
Habilitar AMP puede impactar en el desempeño de FP por lo que hay que hacerlo lo mas especifico posible.
i.e. habilitar AMP solo a archivos ejecutables que tengan como destino el segmento de red A
Ernesto Esquer se desarrolla como ingeniero consultor Senior de Voseda Networks. Se encunetra enfocado en el desarrollo e implementación de proyectos de redes de datos para el sector privado. Ernesto cuenta con varias certificaciones de nivel CCNP RS y Colaboración, así como otras especialidades en Seguridad.
las respuestas a sus preguntas.
