em 01-11-2021 10:30 AM - última edição em 01-12-2021 08:10 AM por Jimena Saez
Aqui é possível publicar novas perguntas sobre o tema em questão até sexta-feira, 22 de Janeiro de 2021
Seja bem-vindo ao fórum de “Perguntas e Respostas”!
Este evento é uma oportunidade para discutir o Cisco Adaptive Security Appliance (ASA) e o Firepower Threat Defense (FTD) sobre produtos, gerenciamento, instalação, configuração, implementação, uso e integração com outros dispositivos em sua rede. Aprenda as práticas recomendadas para aproveitar ao máximo as configurações avançadas de firewall, bem como as práticas recomendadas para solucionar seus problemas comuns.
Este evento do fórum funciona bem como uma introdução para aqueles que não estão familiarizados com as ferramentas de segurança e começaram a usá-las recentemente.
**Incentivamos a participação com votos úteis**
**Certifique-se de avaliar as respostas às perguntas!**
em 01-12-2021 06:00 AM
Obrigada pelo evento!
No ASA, se uma lista de acesso permite conexões entre 2 interfaces com o mesmo nível de segurança, essas conexões ainda estão sujeitas à verificação do comando "same-security-traffic permit inter-interface"?
Abs
em 01-12-2021 10:09 AM
Sim. Mesmo se uma lista de acesso permitir conexões entre 2 interfaces com o mesmo nível de segurança, o comando "same-security-traffic permit inter-interface" ainda é necessário para permitir conexões.
Att,
em 01-12-2021 12:31 PM
Olá time,
Ao usar um dispositivo FTD 6.7 gerenciado por FDM, somos orientados a usar a API para adicionar hosts de servidor snmp. Referência:
No entanto, ao consultar as interfaces usando o API Explorer, não podemos obter os detalhes da interface de diagnóstico. A consulta API GET / devices / default / interfaces retorna apenas informações para interfaces de dados. GET / devices / default / operating / interfaces nos mostra as informações da interface de diagnóstico, mas não os campos de"version", "name", "id", and "type" fields needed for the POST /object/snmphosts/ API.
Então, como adicionamos um servidor snmp para a interface de diagnóstico? O aparelho em questão é um Firepower 2140 se isso faz alguma diferença.
Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.
em 01-13-2021 05:31 AM
Oi Marvin,
Para obter os detalhes da interface de diagnóstico, primeiro, obtenha o id da interface de gerenciamento com a consulta API InterfaceInfo> GET / operacional / interfaceinfo / {objId}. Você pode deixar o valor padrão para o parâmetro objid.
{
"interfaceInfoList": [
{
"interfaceId": "string",
"hardwareName": "string",
"speedCapability": [
"AUTO"
],
"duplexCapability": [
"AUTO"
],
"interfacePresent": true,
"id": "string",
"type": "InterfaceInfoEntry"
}
],
"id": "string",
"type": "InterfaceInfo",
"links": {
"self": "string"
}
}
Este é um exemplo de resposta da API para a interface de gerenciamento.
{
"interfaceInfoList": [
{
"interfaceId": "b727b013-c677-11e9-adec-5d5808710d61",
"hardwareName": "Management1/1",
"speedCapability": [
"IGNORE"
],
"duplexCapability": [
"IGNORE"
],
"interfacePresent": true,
"id": "default",
"type": "interfaceinfoentry"
}
],
"id": "default",
"type": "interfaceinfo",
"links": {
"self": "https://x.x.x.x/api/fdm/v5/operational/interfaceinfo/default"
}
}
Recolher o valorinterfaceId
, este será o valor do objid da próxima consulta.
Agora vá para Interface> GET / devices / default / operating / interfaces / {objId}. Adicione o interfaceId
valor da interface de gerenciamento da consulta acima e execute a chamada API.Na resposta da API, você obterá os detalhes da interface de diagnóstico.
{
"name": "diagnostic",
"hardwareName": "Management1/1",
"ipv4Address": {
"ipAddress": null,
"netmask": null,
"type": "ipv4address"
},
"ipv6Address": {
"ipAddress": null,
"type": "ipv6address"
},
"macAddress": "string",
"speedType": null,
"enabled": true,
"linkState": "UP",
"id": "b727b013-c677-11e9-adec-5d5808710d61",
"type": "interfacedata",
"links": {
"self": "https://x.x.x.x/api/fdm/v5/devices/default/operational/interfaces/b727b013-c677-11e9-adec-5d5808710d61"
}
}
01-13-2021 05:33 AM - editado 01-13-2021 05:34 AM
Isso é útil, mas ainda não consigo criar um PUT bem formado usando as informações derivadas das instruções que você deu. Talvez fosse melhor se eu abrisse um caso TAC para esse problema.
É MUITO frustrante que, para um engenheiro sênior com mais de 10 anos de experiência com firewalls Cisco, eu não possa mais fazer o que exigiu UMA LINHA de configuração em um ASA agora que estamos em FTD.
Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.
em 01-22-2021 05:42 AM
Oi Marvin,
Você está certo, parece que esta configuração não é compatível com a interface de diagnóstico. Mas com certeza você pode abrir um caso TAC, eles serão capazes de ajudá-lo e fornecer mais detalhes sobre essas alterações na versão mais recente.
Att,
em 01-13-2021 05:34 AM
Oi,
É possível integrar o ASA com os serviços do Firepower no novo painel SecureX?
Cdlt. JMD
* Esta é uma pergunta postada em francês por Jean MD. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.
em 01-13-2021 12:43 PM
Olá JMD,
Sim, de fato, você pode integrar seus dispositivos ASA com serviços de Firepower com SecureX.
Para isso, você precisará configurar um proxy, Cisco Security Services Proxy (CSSP), que funcionará como um Syslog para o FTD para encaminhar os eventos. O arquivo CSSP para configuração pode ser baixado do portal SSE.
Para obter mais detalhes, consulte o conteúdo a seguir:
Portal de vídeo da Cisco - https://video.cisco.com/video/6161531920001
Cisco Tech Notes - https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/CTR/Firepower_and_Cisco_Threat_Response_Integration_Guide/send_events_to_the_cloud_using_syslog.html
Obrigado por perguntar
Bere
01-13-2021 05:36 AM - editado 01-13-2021 05:36 AM
Existe algum caminho e procedimento de atualização para dispositivos de firepower?
Nota: Esta pergunta é a tradução de uma postagem originalmente criada em japonês por S.Takenaka. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.
em 01-13-2021 07:12 AM
Oi, sim, há um caminho especialmente para a versão mais antiga do firepower (6.1.0,6.2.0 e 6.2.3).
Nas notas de lançamento de cada versão, você pode encontrar o caminho de atualização. Para as versões 6.2.3+, você pode atualizar diretamente para qualquer versão base (6.3.0, 6.4.0, 6.5.0, 6.6.0
O procedimento é o mesmo para dispositivos de poder de fogo e defesa contra ameaças de firepower. Você pode ver o seguinte link para o procedimento.
https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/213269-upgrade-procedure-through-fmc-for-firepo.html
A atualização deve ser feita primeiro no FMC e, em seguida, nos sensores. O FMC deve estar em uma versão superior ou igual dos sensores.
01-13-2021 05:37 AM - editado 01-13-2021 05:38 AM
Por favor, me ensine como operar (converter) o firepower rodando ASA-OS com FTD (FX-OS).
Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade
em 01-13-2021 07:17 AM
Você poderia esclarecer os detalhes desta questão?
Você quer converter ou migrar ASA para FTD?
em 01-22-2021 05:49 AM
Estou rodando o ASA-OS no gabinete Firepower 1010.
Eu gostaria de operar o FX-OS usando este chassi continuamente.
Isso significa que eu não gostaria de mover o ASA 5500X para Firepower, mas quero converter um ASA rodando em Firepower para FTD.
Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade
em 01-13-2021 05:39 AM
Você pode nos dar um exemplo de configuração para dispositivos de criação de perfil com o Cisco ASA em conjunto com o Cisco ISE para qualquer conexão Connect no Cisco ASA?
Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade
Descubra e salve suas ideias favoritas. Volte para ver respostas de especialistas, passo a passo, tópicos recentes e muito mais.
Novo por aqui? Comece com estas dicas. Como usar a Comunidade Guia do novo membro
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: