Fórum Global de Segurança para Tópicos ASA e FTD- AMA

Cisco Moderador · ‎01-11-2021

Aqui é possível publicar novas perguntas sobre o tema em questão até sexta-feira, 22 de Janeiro de 2021
Seja bem-vindo ao fórum de “Perguntas e Respostas”!

Este evento é uma oportunidade para discutir o Cisco Adaptive Security Appliance (ASA) e o Firepower Threat Defense (FTD) sobre produtos, gerenciamento, instalação, configuração, implementação, uso e integração com outros dispositivos em sua rede. Aprenda as práticas recomendadas para aproveitar ao máximo as configurações avançadas de firewall, bem como as práticas recomendadas para solucionar seus problemas comuns.

Este evento do fórum funciona bem como uma introdução para aqueles que não estão familiarizados com as ferramentas de segurança e começaram a usá-las recentemente.

Especialistas Convidados

Berenice Guerra Martinez is a Technical Consulting Engineer na Cisco Global Technical Assistance Center (TAC) para segurança - Firewall de última geração (NGFW). Ela é especializada em detecção de ameaças, configuração e práticas recomendadas de ASA e poder de fogo e integrações de poder de fogo. Berenice é bacharel em engenharia eletrônica com especialização em segurança cibernética e técnica em telecomunicações. Ela possui três certificações Cisco diferentes: CCNA R&S, CyberOps Associate e DevNet Associate.

Namit Agarwal is a Technical Marketing Engineer no Grupo de Negócios de Segurança. Ele mora em Toronto, Canadá. Ele tem uma parceria próxima com nossa equipe de gerenciamento de produtos de plataforma e lidera compromissos de capacitação técnica crítica. Ele ingressou na Cisco em 2009 e ocupou vários cargos, mais recentemente trabalhando como Líder Técnico com a equipe Security CX em Bangalore, Índia. Nessa função, ele trabalhou em escalonamentos, liderou iniciativas de capacidade de manutenção para melhoria de produtos e gerou compromissos com as equipes de vendas da NGFW. Ele é um CCIE n ° 33795 Security e tem experiência com várias soluções Cisco Security, como Cisco Firewalls, IPS, VPN e Cloud Security.

Ilkin Gasimov is a Technical Consulting Engineer no Cisco Global TAC for Security - NGFW. Ele se juntou à equipe TAC em 2017 e, desde então, tem se concentrado principalmente no suporte às plataformas Cisco NGFW e na colaboração com a Unidade de Negócios Cisco para contribuir para a melhoria da qualidade do produto NGFW. Ele também ministrou sessões de solução de problemas para parceiros e clientes. Antes de ingressar na Cisco, ele teve experiência prática com firewalls Cisco ASA em ambientes de rede móvel e empresarial. Ele possui a certificação CCIE n ° 54979 Security desde 2016.

Ricardo Diez Gutierrez Gonzalez is a Technical Consulting Engineer no Cisco HTTS TAC para Segurança - NGFW - ASA - VPN. Ele ingressou na Cisco há seis anos. Pertenceu ao programa de incubadora por seis meses, alcançando o CCNA e depois se tornou engenheiro em tempo integral. Mais tarde, ele obteve as certificações de segurança NGFW e CCNP de especialista. Ele atualmente está estudando para o exame CCIE.

Berenice, Namit, Ilkin e Ricardo podem não conseguir responder a cada pergunta devido ao volume esperado durante este evento. Lembre-se de que você pode continuar a conversa nos fóruns de discussão de segurança.

Encontre mais eventos na lista de Eventos de Segurança.

**Incentivamos a participação com votos úteis**
**Certifique-se de avaliar as respostas às perguntas!**

Ricardo1 · ‎01-14-2021

Oi Adolfo,

Você pode criar capturas de duas maneiras diferentes no FTD.

Usando a GUI:

Vá para sistema> saúde> monitor.

Pesquise e selecione o dispositivo onde você pode ativar as capturas

Clique em Solução de problemas avançada

Navegue até Capture w / Trace e clique em Adicionar capturas

Usando CLI:

SSH no FTD.

Você chegará ao clish (ícone clish>)

>

Precisamos pular para o lado LINA (código ASA) usando o seguinte comando

> sistema de suporte diagnóstico-CLI

firepower> habilitar

Senha: <------ basta apertar enter, não há senha habilitada
firepower#

Aqui você pode habilitar as capturas usando os mesmos comandos que você usa no ASA

firepower # captura na interface dentro da correspondência de ip qualquer qualquer

obrigado

Berenice Guerra · ‎01-26-2021

Oi Adolfo,

Além da solução do Ricardo, posso dizer que os dispositivos FTD contêm uma parte LINA que podemos executar alguns dos comandos que você costumava usar nos dispositivos ASA. Para navegar a partir do prompt clish, a parte FTD, para o lado LINA (ASA). Digite o comando 'system support diagnostic-cli', isso deve levá-lo para a parte LINA onde você seria capaz de executar a maioria dos comandos ASA.

Para mais detalhes sobre como configurar uma captura de pacote na Família de Produtos NGFW, você pode consultar o próximo conteúdo.

Portal de Vídeo Cisco - https://video.cisco.com/video/6176793105001
Cisco Tech Notes - https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Cisco Moderador · ‎01-18-2021

A implantação ASA é compatível com ambientes virtuais?

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por Jessica Deaken . Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ricardo1 · ‎01-18-2021

Oi Jessica,

Sim, o ASA é compatível com alguns ambientes virtuais. Chama-se ASAv e apoiamos:

Amazon Web Services

Máquina Virtual baseada em kernel (KVM

Microsoft Azure

Oracle Cloud Infrastructure (OCI)

VMware vSphere

Microsoft Hyper-V

Para mais informações, verifique

https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65990

Obrigado.

Berenice Guerra · ‎01-26-2021

Oi Jessica,

Sim, a implantação do ASA é suportada em diferentes plataformas virtuais como VMWare, KVM ou Azure.
Para obter mais detalhes sobre como implantar um ASAv no Microsoft Azure, consulte o próximo vídeo do site Cisco Video Portal. https://video.cisco.com/video/6175870414001

Cisco Moderador · ‎01-18-2021

Olá a todos,

Como posso substituir um par de HA ASAs se uma unidade estiver com defeito?

Muito obrigado,

Adolfo.

Nota: Esta pergunta é a tradução de um post originalmente criado em espanhol por Adolfo Suarez. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ricardo1 · ‎01-18-2021

Oi Adolfo,

Aqui está o procedimento:

1 .- Depois de substituir a unidade (RMA) deve-se conectar as interfaces ASA e ligá-lo ao dispositivo.

2 .- Re-hospedar a licença (abra um caso TAC com a equipe de licenciamento).

3 .- Se o ASA estiver em multicontexto, mude para o contexto múltiplo usando o comando "modo múltiplo". Isso irá reiniciar o firewall.

3 .- Da unidade que está funcionando, pegue a saída do comando "show run failover", mude a função (se a unidade de trabalho for a primária, então mude para secundária) e cole no dispositivo defeituoso.

4 .- Habilite o failover usando o comando "failover"

5.- Verifique os serviços e teste um failover usando o comando "no failover ativo" na unidade ativa

Obrigado.

Cisco Moderador · ‎01-18-2021

Olá a todos,

Temos um par de FP4115s e um par de caixas FMC2600 com 3 instâncias FTD HA em execução no 4115s. Foram 6.5.0.3 para FMC / FTD e 2.8 (1.125) para FXOS.

Está sendo sugerido por nosso MSP ir para 6.6.1-91 para FMC / FTD, o que faz todo o sentido de uma perspectiva de segurança e estabilidade. De uma perspectiva de funcionalidade 6.7, entretanto, parece que ele resolverá os motivos pelos quais ainda não migramos para AnyConnect do MS DirectAccess, compramos todas as licenças apropriadas e há outros recursos que tornarão a vida de nossos MSPs mais fácil.

Alguma ideia de quando o 6.7 será movido para o lançamento sugerido? Existem riscos que podemos enfrentar ao ignorar o conselho sugerido e orientar nosso MSP para ir para essa versão?

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por StevieC666. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Cisco Moderador · ‎01-19-2021

Olá a todos,

Temos um par de FP4115s e um par de caixas FMC2600 com 3 instâncias FTD HA em execução no 4115s. Foram 6.5.0.3 para FMC / FTD e 2.8 (1.125) para FXOS.

Está sendo sugerido por nosso MSP ir para 6.6.1-91 para FMC / FTD, o que faz todo o sentido de uma perspectiva de segurança e estabilidade. De uma perspectiva de funcionalidade 6.7, entretanto, parece que ele resolverá os motivos pelos quais ainda não migramos para AnyConnect do MS DirectAccess, compramos todas as licenças apropriadas e há outros recursos que tornarão a vida de nossos MSPs mais fácil.

Alguma ideia de quando o 6.7 será movido para o lançamento sugerido? Existem riscos que podemos enfrentar ao ignorar o conselho sugerido e orientar nosso MSP para ir para essa versão?

Nota: esta pergunta é a tradução de uma postagem originalmente postada em japonês por StevieC666. A postagem foi traduzida para todos os idiomas que temos na comunidade

Berenice Guerra · ‎02-04-2021

Não há data definida para tornar 6.7 a próxima versão recomendada. Na verdade, a versão 6.7 foi lançada para adicionar novos recursos aos dispositivos Firepower.
Eu diria que se você fez uma análise adequada dos requisitos de sua rede e viu a versão mais adequada do que a outra, então dependerá do seu ambiente de rede aquela que funcionará melhor para você.
Você pode revisar os problemas resolvidos (https://www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670/resolved_issues.html) e os problemas conhecidos (https://www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670/known_issues.html) a partir das notas de versão (https: // www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670.html) para cobrir todas as preocupações possíveis para a avaliação da versão.

Cisco Moderador · ‎01-19-2021

Boa noite,

O teste de velocidade ou qualquer teste de velocidade de terceiros é uma boa medida para testes de velocidade para dispositivos de firepower?

Obrigado

* Esta é uma pergunta postada em francês pelo ADC. Ele foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ricardo1 · ‎01-26-2021

Oi ADC

Quando você testa com qualquer site de teste de velocidade ou qualquer ferramenta de medição de largura de banda, como iperf, um grande fluxo de TCP único é gerado. Esse tipo de grande fluxo de TCP é chamado de Elephant Flow. Um Fluxo de elefante é uma sessão única, conexão de rede de execução relativamente longa que consome uma quantidade grande ou desproporcional de largura de banda. Este tipo de fluxo é atribuído a uma instância do Snort, portanto, o resultado do teste exibe a taxa de transferência de uma única instância do snort, não a taxa de taxa de transferência agregada do dispositivo.

Uma boa opção será uma transferência de FTP através do firewall
Além disso, você pode usar esta ferramenta para estimar o desempenho do seu dispositivo de firepower
https://ngfwpe.cisco.com/

Cisco Moderador · ‎01-21-2021

A política de maleware da Firepower pode entrar em vigor em arquivos enviados por software de IM (etc.Telegram, Whatsapp)?

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por wangyonggang2015. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Ilkin · ‎01-26-2021

A política de arquivos pode detectar e inspecionar arquivos transmitidos por FTP, HTTP, SMTP, IMAP, POP3 e NetBIOS-ssn (SMB). Qualquer, o padrão, detecta arquivos no tráfego HTTP, SMTP, IMAP, POP3, FTP e NetBIOS-ssn (SMB).

Para que a política de arquivos entre em vigor para os protocolos acima em conexões criptografadas, como HTTPS, essas conexões devem ser descriptografadas primeiro. O software de IM geralmente usa conexões criptografadas, portanto, estão sujeitas à descriptografia antes que a política de arquivos entre em vigor na carga útil. Se uma determinada conexão pode ser descriptografada ou não, depende de alguns fatores. A seção Encrypted Traffic Handling do guia de configuração mostra as diretrizes e limitações do tratamento do tráfego criptografado no software Firepower.

Cisco Moderador · ‎01-22-2021

Olá equipe Cisco,

Em primeiro lugar, obrigado pela iniciativa neste tipo de eventos, eles são realmente muito úteis para a comunidade.

Tenho uma pequena dúvida a respeito dos filtros VPN em uma VPN cliente para site (Anyconnect) em FTD gerenciado por FDM.

No ASA eu uso para criar um filtro VPN para usuários locais como este:

Eu crio a ACL
access-list VPN-FILTER-NAME permit <ip/tcp/udp> object-group IPPOOL <LOCAL-NETWORK/PORT>

E então eu aplico a ACL nos atributos de nome de usuário:

username <user> attributes
vpn-filter value VPN-FILTER-NAME

por exemplo

access-list AQUAMAN-FILTER extended permit tcp object-group CLIENT-VPN-IPPOOL host 172.24.16.10 eq 3389

username aquaman password 12345
username aquaman attributes
vpn-filter value AQUAMAN-FILTER

e funciona.

Mas no FDM, não encontrei um recurso onde possa criar esse tipo de filtro.

No FDM, os usuários são criados por Objects > Users > Add Local User (Service Types: RA-VPN)
Nome e senha são os únicos atributos que posso preencher.

Já tentei habilitar a Política de Identidade na aba Políticas, e então criei uma ACL adicionando a origem (IPPOOL) e destinos (<LOCAL-NETWORK/PORT>) e os usuários locais que foram criados. A política de controle de acesso de desvio para tráfego descriptografado (sysopt permit-VPN) foi desabilitada nos perfis de conexão VPN de acesso remoto para que a ACL criada pudesse ter efeito. Mas não funcionou.

Talvez eu esteja faltando alguma coisa, você poderia me ajudar com as melhores práticas para criar filtros VPN para usuários locais em uma VPN cliente para site (Anyconnect) por FDM?

Atenciosamente,

Nota: Esta pergunta é a tradução de uma postagem criada originalmente em inglês por armnandoh. Ela foi traduzido pela Cisco Community para compartilhar a consulta e sua solução em diferentes idiomas.

Quick links