Re: Fórum Global de Segurança para Tópicos ASA e FTD- AMA

Cisco Moderador · ‎01-11-2021

Aqui é possível publicar novas perguntas sobre o tema em questão até sexta-feira, 22 de Janeiro de 2021
Seja bem-vindo ao fórum de “Perguntas e Respostas”!

Este evento é uma oportunidade para discutir o Cisco Adaptive Security Appliance (ASA) e o Firepower Threat Defense (FTD) sobre produtos, gerenciamento, instalação, configuração, implementação, uso e integração com outros dispositivos em sua rede. Aprenda as práticas recomendadas para aproveitar ao máximo as configurações avançadas de firewall, bem como as práticas recomendadas para solucionar seus problemas comuns.

Este evento do fórum funciona bem como uma introdução para aqueles que não estão familiarizados com as ferramentas de segurança e começaram a usá-las recentemente.

Especialistas Convidados

Berenice Guerra Martinez is a Technical Consulting Engineer na Cisco Global Technical Assistance Center (TAC) para segurança - Firewall de última geração (NGFW). Ela é especializada em detecção de ameaças, configuração e práticas recomendadas de ASA e poder de fogo e integrações de poder de fogo. Berenice é bacharel em engenharia eletrônica com especialização em segurança cibernética e técnica em telecomunicações. Ela possui três certificações Cisco diferentes: CCNA R&S, CyberOps Associate e DevNet Associate.

Namit Agarwal is a Technical Marketing Engineer no Grupo de Negócios de Segurança. Ele mora em Toronto, Canadá. Ele tem uma parceria próxima com nossa equipe de gerenciamento de produtos de plataforma e lidera compromissos de capacitação técnica crítica. Ele ingressou na Cisco em 2009 e ocupou vários cargos, mais recentemente trabalhando como Líder Técnico com a equipe Security CX em Bangalore, Índia. Nessa função, ele trabalhou em escalonamentos, liderou iniciativas de capacidade de manutenção para melhoria de produtos e gerou compromissos com as equipes de vendas da NGFW. Ele é um CCIE n ° 33795 Security e tem experiência com várias soluções Cisco Security, como Cisco Firewalls, IPS, VPN e Cloud Security.

Ilkin Gasimov is a Technical Consulting Engineer no Cisco Global TAC for Security - NGFW. Ele se juntou à equipe TAC em 2017 e, desde então, tem se concentrado principalmente no suporte às plataformas Cisco NGFW e na colaboração com a Unidade de Negócios Cisco para contribuir para a melhoria da qualidade do produto NGFW. Ele também ministrou sessões de solução de problemas para parceiros e clientes. Antes de ingressar na Cisco, ele teve experiência prática com firewalls Cisco ASA em ambientes de rede móvel e empresarial. Ele possui a certificação CCIE n ° 54979 Security desde 2016.

Ricardo Diez Gutierrez Gonzalez is a Technical Consulting Engineer no Cisco HTTS TAC para Segurança - NGFW - ASA - VPN. Ele ingressou na Cisco há seis anos. Pertenceu ao programa de incubadora por seis meses, alcançando o CCNA e depois se tornou engenheiro em tempo integral. Mais tarde, ele obteve as certificações de segurança NGFW e CCNP de especialista. Ele atualmente está estudando para o exame CCIE.

Berenice, Namit, Ilkin e Ricardo podem não conseguir responder a cada pergunta devido ao volume esperado durante este evento. Lembre-se de que você pode continuar a conversa nos fóruns de discussão de segurança.

Encontre mais eventos na lista de Eventos de Segurança.

**Incentivamos a participação com votos úteis**
**Certifique-se de avaliar as respostas às perguntas!**

Didier M · ‎01-12-2021

Obrigada pelo evento!

No ASA, se uma lista de acesso permite conexões entre 2 interfaces com o mesmo nível de segurança, essas conexões ainda estão sujeitas à verificação do comando "same-security-traffic permit inter-interface"?

Abs

Ilkin · ‎01-12-2021

Sim. Mesmo se uma lista de acesso permitir conexões entre 2 interfaces com o mesmo nível de segurança, o comando "same-security-traffic permit inter-interface" ainda é necessário para permitir conexões.

Att,

Cisco Moderador · ‎01-12-2021

Olá time,

Ao usar um dispositivo FTD 6.7 gerenciado por FDM, somos orientados a usar a API para adicionar hosts de servidor snmp. Referência:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216551-configure-and-troubleshoot-snmp-on-firep.html#anc7

No entanto, ao consultar as interfaces usando o API Explorer, não podemos obter os detalhes da interface de diagnóstico. A consulta API GET / devices / default / interfaces retorna apenas informações para interfaces de dados. GET / devices / default / operating / interfaces nos mostra as informações da interface de diagnóstico, mas não os campos de"version", "name", "id", and "type" fields needed for the POST /object/snmphosts/ API.

Então, como adicionamos um servidor snmp para a interface de diagnóstico? O aparelho em questão é um Firepower 2140 se isso faz alguma diferença.

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

bguerram · ‎01-13-2021

Oi Marvin,

Para obter os detalhes da interface de diagnóstico, primeiro, obtenha o id da interface de gerenciamento com a consulta API InterfaceInfo> GET / operacional / interfaceinfo / {objId}. Você pode deixar o valor padrão para o parâmetro objid.

{
  "interfaceInfoList": [
    {
      "interfaceId": "string",
      "hardwareName": "string",
      "speedCapability": [
        "AUTO"
      ],
      "duplexCapability": [
        "AUTO"
      ],
      "interfacePresent": true,
      "id": "string",
      "type": "InterfaceInfoEntry"
    }
  ],
  "id": "string",
  "type": "InterfaceInfo",
  "links": {
    "self": "string"
  }
}

Este é um exemplo de resposta da API para a interface de gerenciamento.

{
  "interfaceInfoList": [
     {
      "interfaceId": "b727b013-c677-11e9-adec-5d5808710d61",
      "hardwareName": "Management1/1",
      "speedCapability": [
        "IGNORE"
      ],
      "duplexCapability": [
        "IGNORE"
      ],
      "interfacePresent": true,
      "id": "default",
      "type": "interfaceinfoentry"
    }
  ],
  "id": "default",
  "type": "interfaceinfo",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/operational/interfaceinfo/default"
  }
}

Recolher o valorinterfaceId , este será o valor do objid da próxima consulta.

Agora vá para Interface> GET / devices / default / operating / interfaces / {objId}. Adicione o interfaceId

valor da interface de gerenciamento da consulta acima e execute a chamada API.Na resposta da API, você obterá os detalhes da interface de diagnóstico.

{
  "name": "diagnostic",
  "hardwareName": "Management1/1",
  "ipv4Address": {
    "ipAddress": null,
    "netmask": null,
    "type": "ipv4address"
  },
  "ipv6Address": {
    "ipAddress": null,
    "type": "ipv6address"
  },
  "macAddress": "string",
  "speedType": null,
  "enabled": true,
  "linkState": "UP",
  "id": "b727b013-c677-11e9-adec-5d5808710d61",
  "type": "interfacedata",
  "links": {
    "self": "https://x.x.x.x/api/fdm/v5/devices/default/operational/interfaces/b727b013-c677-11e9-adec-5d5808710d61"
  }
}

Cisco Moderador · ‎01-13-2021

Isso é útil, mas ainda não consigo criar um PUT bem formado usando as informações derivadas das instruções que você deu. Talvez fosse melhor se eu abrisse um caso TAC para esse problema.

É MUITO frustrante que, para um engenheiro sênior com mais de 10 anos de experiência com firewalls Cisco, eu não possa mais fazer o que exigiu UMA LINHA de configuração em um ASA agora que estamos em FTD.

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por Marvin Rhoads. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎01-13-2021

Oi,

É possível integrar o ASA com os serviços do Firepower no novo painel SecureX?

Cdlt. JMD

* Esta é uma pergunta postada em francês por Jean MD. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

bguerram · ‎01-13-2021

Olá JMD,

Sim, de fato, você pode integrar seus dispositivos ASA com serviços de Firepower com SecureX.

Para isso, você precisará configurar um proxy, Cisco Security Services Proxy (CSSP), que funcionará como um Syslog para o FTD para encaminhar os eventos. O arquivo CSSP para configuração pode ser baixado do portal SSE.

Para obter mais detalhes, consulte o conteúdo a seguir:

Portal de vídeo da Cisco - https://video.cisco.com/video/6161531920001

Cisco Tech Notes - https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/CTR/Firepower_and_Cisco_Threat_Response_Integration_Guide/send_events_to_the_cloud_using_syslog.html

Obrigado por perguntar

Bere

Cisco Moderador · ‎01-13-2021

Existe algum caminho e procedimento de atualização para dispositivos de firepower?

Nota: Esta pergunta é a tradução de uma postagem originalmente criada em japonês por S.Takenaka. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ricardo1 · ‎01-13-2021

Oi, sim, há um caminho especialmente para a versão mais antiga do firepower (6.1.0,6.2.0 e 6.2.3).
Nas notas de lançamento de cada versão, você pode encontrar o caminho de atualização. Para as versões 6.2.3+, você pode atualizar diretamente para qualquer versão base (6.3.0, 6.4.0, 6.5.0, 6.6.0
O procedimento é o mesmo para dispositivos de poder de fogo e defesa contra ameaças de firepower. Você pode ver o seguinte link para o procedimento.
https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/213269-upgrade-procedure-through-fmc-for-firepo.html
A atualização deve ser feita primeiro no FMC e, em seguida, nos sensores. O FMC deve estar em uma versão superior ou igual dos sensores.

Cisco Moderador · ‎01-13-2021

Por favor, me ensine como operar (converter) o firepower rodando ASA-OS com FTD (FX-OS).

Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade

Ilkin · ‎01-13-2021

Você poderia esclarecer os detalhes desta questão?

Você quer converter ou migrar ASA para FTD?

Cisco Moderador · ‎01-13-2021

Você pode nos dar um exemplo de configuração para dispositivos de criação de perfil com o Cisco ASA em conjunto com o Cisco ISE para qualquer conexão Connect no Cisco ASA?

Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por cja56910tf. A postagem foi traduzida para todos os idiomas que temos na comunidade

Ilkin · ‎01-13-2021

Os dispositivos da série Firepower 4100/9300 suportam a implantação de Radware vDP em uma cadeia de serviços para proteção contra ataques DDoS.

Veja os seguintes links:

1. Radware DefensePro Service Chain for Firepower Threat Defense Quick Start Guide

2. Firepower 4100/9300 Configuration guide - Chapter: Logical Devices

3. Links in the Radware DefensePro section of the Firepower 9300 Configuration Guides

bguerram · ‎01-15-2021

Oi,

Os atributos ACIDex são principalmente para perfis onde não é necessária uma configuração especial dentro do ASA.

AnyConnect Identity Extensions (ACIDex)
Os clientes da rede privada virtual (VPN) de acesso remoto representam um caso de uso especial para o ISE Profiler.

AnyConnect Identity Extensions (ACIDex) é um recurso do Cisco AnyConnect Secure Mobility Client que ajuda a resolver esse problema. O ACIDex, também conhecido como Postura Móvel, permite que o cliente AnyConnect VPN comunique os atributos do terminal ao Cisco Adaptive Security Appliance (ASA) por meio de uma conexão VPN de acesso remoto. O ASA pode consumir esses atributos localmente para tomar decisões de política, mas também pode retransmitir os atributos em RADIUS para PSNs ISE como pares de atributo-valor (AV) Cisco. Quando o ISE recebe atributos ACIDex que incluem o (s) endereço (s) MAC do cliente, o PSN pode atualizar o valor-limite correspondente no banco de dados do Profiler.

Exemplo de ACIDex.

Mais detalhes em: ISE Profiling Design Guide