cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
17276
Apresentações
0
Útil
55
Respostas

Fórum Global de Segurança para Tópicos ASA e FTD- AMA

Cisco Moderador
Community Manager
Community Manager

Aqui é possível publicar novas perguntas sobre o tema em questão até sexta-feira, 22 de Janeiro de 2021
Seja bem-vindo ao fórum de “Perguntas e Respostas”!

Este evento é uma oportunidade para discutir o Cisco Adaptive Security Appliance (ASA) e o Firepower Threat Defense (FTD) sobre produtos, gerenciamento, instalação, configuração, implementação, uso e integração com outros dispositivos em sua rede. Aprenda as práticas recomendadas para aproveitar ao máximo as configurações avançadas de firewall, bem como as práticas recomendadas para solucionar seus problemas comuns.

Este evento do fórum funciona bem como uma introdução para aqueles que não estão familiarizados com as ferramentas de segurança e começaram a usá-las recentemente.

Especialistas Convidados
Photo_bguerram_100x140.pngBerenice Guerra Martinez is a Technical Consulting Engineer na Cisco Global Technical Assistance Center (TAC) para segurança - Firewall de última geração (NGFW). Ela é especializada em detecção de ameaças, configuração e práticas recomendadas de ASA e poder de fogo e integrações de poder de fogo. Berenice é bacharel em engenharia eletrônica com especialização em segurança cibernética e técnica em telecomunicações. Ela possui três certificações Cisco diferentes: CCNA R&S, CyberOps Associate e DevNet Associate.

Photo_namiagar_100x140.pngNamit Agarwal is a Technical Marketing Engineer no Grupo de Negócios de Segurança. Ele mora em Toronto, Canadá. Ele tem uma parceria próxima com nossa equipe de gerenciamento de produtos de plataforma e lidera compromissos de capacitação técnica crítica. Ele ingressou na Cisco em 2009 e ocupou vários cargos, mais recentemente trabalhando como Líder Técnico com a equipe Security CX em Bangalore, Índia. Nessa função, ele trabalhou em escalonamentos, liderou iniciativas de capacidade de manutenção para melhoria de produtos e gerou compromissos com as equipes de vendas da NGFW. Ele é um CCIE n ° 33795 Security e tem experiência com várias soluções Cisco Security, como Cisco Firewalls, IPS, VPN e Cloud Security.
Photo_igasimov_100x140.pngIlkin Gasimov is a Technical Consulting Engineer no Cisco Global TAC for Security - NGFW. Ele se juntou à equipe TAC em 2017 e, desde então, tem se concentrado principalmente no suporte às plataformas Cisco NGFW e na colaboração com a Unidade de Negócios Cisco para contribuir para a melhoria da qualidade do produto NGFW. Ele também ministrou sessões de solução de problemas para parceiros e clientes. Antes de ingressar na Cisco, ele teve experiência prática com firewalls Cisco ASA em ambientes de rede móvel e empresarial. Ele possui a certificação CCIE n ° 54979 Security desde 2016.
Photo_ricargut_100x140.png
Ricardo Diez Gutierrez Gonzalez is a Technical Consulting Engineer no Cisco HTTS TAC para Segurança - NGFW - ASA - VPN. Ele ingressou na Cisco há seis anos. Pertenceu ao programa de incubadora por seis meses, alcançando o CCNA e depois se tornou engenheiro em tempo integral. Mais tarde, ele obteve as certificações de segurança NGFW e CCNP de especialista. Ele atualmente está estudando para o exame CCIE.
 
Berenice, Namit, Ilkin e Ricardo podem não conseguir responder a cada pergunta devido ao volume esperado durante este evento. Lembre-se de que você pode continuar a conversa nos fóruns de discussão de segurança.
Encontre mais eventos na lista de Eventos de Segurança.

**Incentivamos a participação com votos úteis**
**Certifique-se de avaliar as respostas às perguntas!**


55 RESPOSTAS 55

Didier M
Level 1
Level 1

Obrigada pelo evento!

No ASA, se uma lista de acesso permite conexões entre 2 interfaces com o mesmo nível de segurança, essas conexões ainda estão sujeitas à verificação do comando "same-security-traffic permit inter-interface"?

Abs

Ilkin
Cisco Employee
Cisco Employee

Sim. Mesmo se uma lista de acesso permitir conexões entre 2 interfaces com o mesmo nível de segurança, o comando "same-security-traffic permit inter-interface" ainda é necessário para permitir conexões.

Att,

Cisco Moderador
Community Manager
Community Manager

Olá time,

Ao usar um dispositivo FTD 6.7 gerenciado por FDM, somos orientados a usar a API para adicionar hosts de servidor snmp. Referência:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216551-configure-and-troubleshoot-snmp-on-firep.html#anc7

No entanto, ao consultar as interfaces usando o API Explorer, não podemos obter os detalhes da interface de diagnóstico. A consulta API GET / devices / default / interfaces retorna apenas informações para interfaces de dados. GET / devices / default / operating / interfaces nos mostra as informações da interface de diagnóstico, mas não os campos de"version", "name", "id", and "type" fields needed for the POST /object/snmphosts/ API.

Então, como adicionamos um servidor snmp para a interface de diagnóstico? O aparelho em questão é um Firepower 2140 se isso faz alguma diferença.

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Oi Marvin,

 

Para obter os detalhes da interface de diagnóstico, primeiro, obtenha o id da interface de gerenciamento com a consulta API InterfaceInfo> GET / operacional / interfaceinfo / {objId}. Você pode deixar o valor padrão para o parâmetro objid.

{
  "interfaceInfoList": [
    {
      "interfaceId": "string",
      "hardwareName": "string",
      "speedCapability": [
        "AUTO"
      ],
      "duplexCapability": [
        "AUTO"
      ],
      "interfacePresent": true,
      "id": "string",
      "type": "InterfaceInfoEntry"
    }
  ],
  "id": "string",
  "type": "InterfaceInfo",
  "links": {
    "self": "string"
  }
}

Este é um exemplo de resposta da API para a interface de gerenciamento.

{
  "interfaceInfoList": [
     {
      "interfaceId": "b727b013-c677-11e9-adec-5d5808710d61",
      "hardwareName": "Management1/1",
      "speedCapability": [
        "IGNORE"
      ],
      "duplexCapability": [
        "IGNORE"
      ],
      "interfacePresent": true,
      "id": "default",
      "type": "interfaceinfoentry"
    }
  ],
  "id": "default",
  "type": "interfaceinfo",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/operational/interfaceinfo/default"
  }
}

Recolher o valorinterfaceId , este será o valor do objid da próxima consulta.

Agora vá para Interface> GET / devices / default / operating / interfaces / {objId}. Adicione o interfaceId

valor da interface de gerenciamento da consulta acima e execute a chamada API.Na resposta da API, você obterá os detalhes da interface de diagnóstico.

{
  "name": "diagnostic",
  "hardwareName": "Management1/1",
  "ipv4Address": {
    "ipAddress": null,
    "netmask": null,
    "type": "ipv4address"
  },
  "ipv6Address": {
    "ipAddress": null,
    "type": "ipv6address"
  },
  "macAddress": "string",
  "speedType": null,
  "enabled": true,
  "linkState": "UP",
  "id": "b727b013-c677-11e9-adec-5d5808710d61",
  "type": "interfacedata",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/devices/default/operational/interfaces/b727b013-c677-11e9-adec-5d5808710d61"
  }
}

 

Isso é útil, mas ainda não consigo criar um PUT bem formado usando as informações derivadas das instruções que você deu. Talvez fosse melhor se eu abrisse um caso TAC para esse problema.

É MUITO frustrante que, para um engenheiro sênior com mais de 10 anos de experiência com firewalls Cisco, eu não possa mais fazer o que exigiu UMA LINHA de configuração em um ASA agora que estamos em FTD.

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Oi Marvin,

Você está certo, parece que esta configuração não é compatível com a interface de diagnóstico. Mas com certeza você pode abrir um caso TAC, eles serão capazes de ajudá-lo e fornecer mais detalhes sobre essas alterações na versão mais recente.

Att,

Cisco Moderador
Community Manager
Community Manager

Oi,

É possível integrar o ASA com os serviços do Firepower no novo painel SecureX?

Cdlt. JMD

* Esta é uma pergunta postada em francês por Jean MD. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Olá JMD,

Sim, de fato, você pode integrar seus dispositivos ASA com serviços de Firepower com SecureX.

Para isso, você precisará configurar um proxy, Cisco Security Services Proxy (CSSP), que funcionará como um Syslog para o FTD para encaminhar os eventos. O arquivo CSSP para configuração pode ser baixado do portal SSE.

Para obter mais detalhes, consulte o conteúdo a seguir:

Portal de vídeo da Cisco - https://video.cisco.com/video/6161531920001

Cisco Tech Notes - https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/CTR/Firepower_and_Cisco_Threat_Response_Integration_Guide/send_events_to_the_cloud_using_syslog.html

 

Obrigado por perguntar

Bere

Cisco Moderador
Community Manager
Community Manager

Existe algum caminho e procedimento de atualização para dispositivos de firepower?

Nota: Esta pergunta é a tradução de uma postagem originalmente criada em japonês por S.Takenaka. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Oi, sim, há um caminho especialmente para a versão mais antiga do firepower (6.1.0,6.2.0 e 6.2.3).
Nas notas de lançamento de cada versão, você pode encontrar o caminho de atualização. Para as versões 6.2.3+, você pode atualizar diretamente para qualquer versão base (6.3.0, 6.4.0, 6.5.0, 6.6.0
O procedimento é o mesmo para dispositivos de poder de fogo e defesa contra ameaças de firepower. Você pode ver o seguinte link para o procedimento.
https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/213269-upgrade-procedure-through-fmc-for-firepo.html
A atualização deve ser feita primeiro no FMC e, em seguida, nos sensores. O FMC deve estar em uma versão superior ou igual dos sensores.

Cisco Moderador
Community Manager
Community Manager

Por favor, me ensine como operar (converter) o firepower rodando ASA-OS com FTD (FX-OS).

Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade

Você poderia esclarecer os detalhes desta questão?

Você quer converter ou migrar ASA para FTD?

Estou rodando o ASA-OS no gabinete Firepower 1010.
Eu gostaria de operar o FX-OS usando este chassi continuamente.
Isso significa que eu não gostaria de mover o ASA 5500X para Firepower, mas quero converter um ASA rodando em Firepower para FTD.

Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade

Cisco Moderador
Community Manager
Community Manager

Você pode nos dar um exemplo de configuração para dispositivos de criação de perfil com o Cisco ASA em conjunto com o Cisco ISE para qualquer conexão Connect no Cisco ASA?

Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.