Re: Fórum Global de Segurança para Tópicos ASA e FTD- AMA - Página 4

Cisco Moderador · ‎01-11-2021

Aqui é possível publicar novas perguntas sobre o tema em questão até sexta-feira, 22 de Janeiro de 2021
Seja bem-vindo ao fórum de “Perguntas e Respostas”!

Este evento é uma oportunidade para discutir o Cisco Adaptive Security Appliance (ASA) e o Firepower Threat Defense (FTD) sobre produtos, gerenciamento, instalação, configuração, implementação, uso e integração com outros dispositivos em sua rede. Aprenda as práticas recomendadas para aproveitar ao máximo as configurações avançadas de firewall, bem como as práticas recomendadas para solucionar seus problemas comuns.

Este evento do fórum funciona bem como uma introdução para aqueles que não estão familiarizados com as ferramentas de segurança e começaram a usá-las recentemente.

Especialistas Convidados

Berenice Guerra Martinez is a Technical Consulting Engineer na Cisco Global Technical Assistance Center (TAC) para segurança - Firewall de última geração (NGFW). Ela é especializada em detecção de ameaças, configuração e práticas recomendadas de ASA e poder de fogo e integrações de poder de fogo. Berenice é bacharel em engenharia eletrônica com especialização em segurança cibernética e técnica em telecomunicações. Ela possui três certificações Cisco diferentes: CCNA R&S, CyberOps Associate e DevNet Associate.

Namit Agarwal is a Technical Marketing Engineer no Grupo de Negócios de Segurança. Ele mora em Toronto, Canadá. Ele tem uma parceria próxima com nossa equipe de gerenciamento de produtos de plataforma e lidera compromissos de capacitação técnica crítica. Ele ingressou na Cisco em 2009 e ocupou vários cargos, mais recentemente trabalhando como Líder Técnico com a equipe Security CX em Bangalore, Índia. Nessa função, ele trabalhou em escalonamentos, liderou iniciativas de capacidade de manutenção para melhoria de produtos e gerou compromissos com as equipes de vendas da NGFW. Ele é um CCIE n ° 33795 Security e tem experiência com várias soluções Cisco Security, como Cisco Firewalls, IPS, VPN e Cloud Security.

Ilkin Gasimov is a Technical Consulting Engineer no Cisco Global TAC for Security - NGFW. Ele se juntou à equipe TAC em 2017 e, desde então, tem se concentrado principalmente no suporte às plataformas Cisco NGFW e na colaboração com a Unidade de Negócios Cisco para contribuir para a melhoria da qualidade do produto NGFW. Ele também ministrou sessões de solução de problemas para parceiros e clientes. Antes de ingressar na Cisco, ele teve experiência prática com firewalls Cisco ASA em ambientes de rede móvel e empresarial. Ele possui a certificação CCIE n ° 54979 Security desde 2016.

Ricardo Diez Gutierrez Gonzalez is a Technical Consulting Engineer no Cisco HTTS TAC para Segurança - NGFW - ASA - VPN. Ele ingressou na Cisco há seis anos. Pertenceu ao programa de incubadora por seis meses, alcançando o CCNA e depois se tornou engenheiro em tempo integral. Mais tarde, ele obteve as certificações de segurança NGFW e CCNP de especialista. Ele atualmente está estudando para o exame CCIE.

Berenice, Namit, Ilkin e Ricardo podem não conseguir responder a cada pergunta devido ao volume esperado durante este evento. Lembre-se de que você pode continuar a conversa nos fóruns de discussão de segurança.

Encontre mais eventos na lista de Eventos de Segurança.

**Incentivamos a participação com votos úteis**
**Certifique-se de avaliar as respostas às perguntas!**

Namit Agarwal · ‎01-26-2021

Olá, atualmente o FDM não oferece suporte à especificação de atributos de usuário, como filtro vpn para usuários locais. Os usuários locais usados na VPN de acesso remoto são detectados como parte da identidade passiva e podem ser usados na política de controle de acesso para controlar o acesso do usuário VPN.

Na verdade, é melhor do que a opção ASA, pois podemos especificar aplicativos também na regra da Política de Controle de Acesso. Para que isso funcione, precisamos habilitar a Política de Identidade no FDM e não há necessidade de criar uma regra de Identidade.

Acabei de testar isso no FDM e funciona. Você pode verificar novamente as configurações e me informar (você pode confirmar o que está vendo os eventos de conexão na guia de monitoramento FDM).

Obrigado,

Namit

Namit Agarwal · ‎02-04-2021

Oi. Você está certo quanto a uma configuração global aplicável a todos os tipos de conexões VPN (Site a Site e VPN de acesso remoto). É o mesmo comportamento do ASA onde habilitar / desabilitar esse comando teve impacto no acesso remoto e nas conexões VPN local a local. Eu entendo que isso pode ser confuso, pois está disponível como uma configuração no Assistente de VPN de acesso remoto. Eu anotei isso e irei trabalhar internamente para obter algumas mensagens aprimoradas sobre isso.
Obrigado,
Namit

Cisco Moderador · ‎01-26-2021

No FTD, o 'show capture cap_inside packet-number 4 trace' para o pacote # 4 contém a seguinte saída:

Fase 1
Tipo: CAPTURE
Subtipo:
Resultado: ALLOW
Config:
Informação adicional:
Lista de acesso MAC

Fase 2
Tipo: ACCESS-LIST
Subtipo:
Resultado: ALLOW
Config:
Regra implícita
Informação adicional:
Lista de acesso MAC

Fase: 3
Tipo: FLOW-LOOKUP
Subtipo:
Resultado: ALLOW
Config:
Informação adicional:
Fluxo encontrado com id 1254, usando fluxo existente

Fase: 4
Tipo: SNORT
Subtipo:
Resultado: ALLOW
Config:
Informação adicional:
Veredicto do Snort: (fast-forward) fast forward este fluxo

Resultado:
interface de entrada: dentro (vrfid: 0)
input-status: up
status da linha de entrada: up
Ação: permitir

O que significa o veredicto 'fast-forward' e como esse pacote é tratado no FTD?

Nota: Esta pergunta é a tradução de uma postagem originalmente criada em russo por alsokolov. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ilkin · ‎01-26-2021

O veredito 'fast-forward' significa que os pacotes NÃO são enviados para o mecanismo Snort e são inspecionados apenas pelo mecanismo LINA.

Referência:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212321-clarify-the-firepower-threat-defense-acc.html#anc19

Cisco Moderador · ‎01-26-2021

Se uma conexão for permitida pela política de segurança, quais operações e / ou recursos afetam a determinação da interface de saída para uma conexão no modo de interface roteada? Se possível, classifique-os na ordem de preferência.

Jackson

Nota: Esta pergunta é a tradução de uma postagem originalmente criada em ingles por Jackson Braddock. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ilkin · ‎01-26-2021

Com base nas seguintes operações e / ou recursos, o ASA / FTD identifica a interface de saída de uma conexão no modo de interface roteada:
Pesquisa de conexão existente, pesquisa de NAT (destino NAT ou UN-NAT), roteamento baseado em política (PBR), pesquisa de tabela de roteamento global.
A ordem correta também é a mostrada acima.

Cisco Moderador · ‎01-26-2021

Oi,

Eu tenho uma pergunta: no FTD, o 'show capture cap_inside packet-number 1 trace' para o pacote # 1 contém a seguinte saída parcial:

Fase 1
Tipo: NGIPS-MODE
Subtipo: modo ngips
Resultado: ALLOW
Config:
Informação adicional:
O fluxo ingressou em uma interface configurada para o modo NGIPS e os serviços NGIPS serão aplicados

Fase 2
Tipo: ACCESS-LIST
Subtipo: log
Resultado: ALLOW
Config:
grupo de acesso CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced trust ip object 192.0.2.0 object 198.51.100.0 rule-id 268438531 event-log flow-end
...

Resultado:
interface de entrada: dentro
input-status: up
status da linha de entrada: up
Ação: permitir

Que veredicto o motor Snort dará para este pacote?

Nota: Esta pergunta é a tradução de uma postagem originalmente criada em espanhol por Fernando Mondragón. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ilkin · ‎01-26-2021

Nenhum, pois a regra de controle de acesso tem a palavra-chave 'trust' que indica uma configuração de política pré-filtrada. Este pacote NÃO será enviado para o motor Snort.
Referência:
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212321-clarify-the-firepower-threat-defense-acc.html#anc23

Cisco Moderador · ‎01-26-2021

Olá equipe Cisco

Tenho uma situação que precisa de sua ajuda.

Ao criar um usuário para RAVPN no ASA e bloquear a um determinado perfil de conexão, você precisa inserir os comandos como este:

nome de usuário senha BATMAN R0b! N
Atributos BATMAN de nome de usuário
valor de bloqueio de grupo BATCAVE

No entanto, no FDM, não conseguimos encontrar um lugar onde possamos manipular os atributos do usuário da mesma maneira ou uma forma de limitar os aliases que aparecem por usuário.

Você tem alguma ideia ou solução para isso?

obrigado

Nota: Esta pergunta é a tradução de uma postagem originalmente criada em ingles por rrodriguezr. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎01-26-2021

Oi,

No FTD, a tabela de conexão tem a seguinte entrada de conexão estabelecida:

poder de fogo # show conn
TCP dentro de 192.0.2.1:50088 fora de 198.51.100.1:443, ocioso 0:00:00, bytes 5274, sinalizadores UIOoN1

Se a captura de pacotes para esta conexão específica estiver configurada nos motores Lina e Snort e a conexão não estiver inativa, qual dessas capturas terá bytes diferentes de zero?

Obrigado

Noemi

Nota: Esta pergunta é a tradução de uma postagem originalmente criada em ingles por Nono82. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ilkin · ‎01-26-2021

Oi Noemi,

A resposta é nenhuma, porque a conexão foi descarregada para o hardware, o que significa que os pacotes não chegarão aos motores Lina / Snort.
O status de descarregamento é indicado pelo sinalizador "o" na saída acima.

Ilkin

Fórum Global de Segurança para Tópicos ASA e FTD- AMA

Quick links