le 11-01-2021 02:15 PM - dernière modification le 11-01-2021 02:28 PM par Jimena Saez
Cet événement est l'occasion de discuter de l'Appliance de Sécurité Adaptative Cisco (ASA, de l'anglais Cisco Adaptive Security Appliance) et de Firepower Threat Defense (FTD) concernant l'installation, la configuration, la mise en œuvre, l'utilisation et l'intégration avec d'autres périphériques au sein de votre réseau. Découvrez les meilleures pratiques pour tirer le meilleur parti des paramètres de fare-feu avancés (firewall), ainsi que les meilleures pratiques pour résoudre ses problèmes courants.
Nos experts
Berenice Guerra Martinez est ingénieur-conseil technique au Centre d'Assistance Technique global (TAC) de Cisco pour la Sécurité - Pare-feu de Nouvelle Génération (NGFW, de l'anglais Next Generation Firewall ). Elle se spécialise dans la détection des menaces, la configuration et les meilleures pratiques ASA et Firepower, ainsi que les intégrations Firepower. Bérénice est titulaire d’un baccalauréat en génie électronique avec une spécialisation en cybersécurité et est Technicienne en Télécommunications. Elle détient trois différentes certifications Cisco : CCNA R&S, CyberOps Associate et DevNet Associate.
Namit Agarwal est Technical Marketing Engineer au sein du Security Business Group. Il est basé à Toronto, au Canada. Il collabore étroitement avec notre équipe de gestion des produits de la plateforme et dirige des engagements techniques critiques. Il a rejoint Cisco en 2009 et a occupé plusieurs postes, le plus récemment en tant que Technical Leader au sein de l'équipe Security CX à Bangalore, en Inde. Dans ce rôle, il a travaillé sur les escalades, a dirigé des initiatives de service pour l'amélioration des produits et a conduit des engagements avec les équipes de vente NGFW. Il est CCIE en Sécurité (n°33795) et a de l'expérience avec plusieurs solutions de Sécurité Cisco telles que les Pare-feu Cisco, IPS, VPN et Cloud Security.
Ilkin Gasimov est un Technical Consulting Engineer au sein du Cisco Global TAC pour Security - NGFW. Il a rejoint l'équipe TAC en 2017 et depuis lors il s'est concentré principalement sur le support des plateformes Cisco NGFW et sur la collaboration avec la Business Unit Cisco pour contribuer à l'amélioration de la qualité des produits NGFW. Il a également livré des sessions de dépannage aux partenaires et clients. Avant de rejoindre Cisco, il avait une expérience pratique des Pare-feu Cisco ASA dans les environnements de réseau d'entreprise et mobiles. Depuis 2016 il est titulaire d'une certification CCIE en Sécurité (n°54979).
Ricardo Diez Gutierrez Gonzalez est Technical Consulting Engineer au Cisco HTTS TAC for Security - NGFW - ASA - VPN. Il a rejoint Cisco il y a six ans. Il a fait partie du programme d'incubateur pendant six mois et a obtenu son CCNA, puis il est devenu ingénieur à plein temps. Plus tard, il a obtenu ses certifications de sécurité de spécialiste NGFW et CCNP. Il se prépare actuellement pour la certification de CCIE.
Posez ICI vos questions à nos experts du 12 au 22 janvier 2021
(Cliquez sur le bouton de "Répondre" pour poser vos questions)
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !
le 12-01-2021 12:09 PM
Bonjour équipe,
Lorsqu'on utilise une appliance FTD 6.7 gérée par FDM, nous sommes invités à utiliser l'API pour ajouter des hôtes de serveur snmp. Référence: https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216551-configure-and-troubleshoot-snmp-on-firep.html#anc7
Cependant, lors de l'interrogation des interfaces à l'aide de l'explorateur d'API, nous ne pouvons pas obtenir les détails de l'interface de diagnostic. La requête API GET /devices/default/interfaces renvoie uniquement des informations pour les interfaces de données. GET /devices/default/operational/interfaces nous montre les informations d'interface de diagnostic mais pas les champs d'interface "version", "name", "id" et "type" nécessaires pour le POST /object/snmphosts/ API.
Comment ajouter un serveur snmp pour l'interface de diagnostic?
L'appareil en question est un Firepower 2140 si cela fait une différence.
* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 12-01-2021 05:52 PM
Bonjour Marvin,
Pour obtenir les détails de l'interface de diagnostic, commencez par obtenir l'ID de l'interface de gestion avec la requête API (API query) InterfaceInfo > GET /operational/interfaceinfo/{objId}. Vous pouvez laisser la valeur par défaut du paramètre objid .
{
"interfaceInfoList": [
{
"interfaceId": "string",
"hardwareName": "string",
"speedCapability": [
"AUTO"
],
"duplexCapability": [
"AUTO"
],
"interfacePresent": true,
"id": "string",
"type": "InterfaceInfoEntry"
}
],
"id": "string",
"type": "InterfaceInfo",
"links": {
"self": "string"
}
}
Ceci est un exemple de réponse API pour l'interface de gestion ou "Management interface".
{
"interfaceInfoList": [
{
"interfaceId": "b727b013-c677-11e9-adec-5d5808710d61",
"hardwareName": "Management1/1",
"speedCapability": [
"IGNORE"
],
"duplexCapability": [
"IGNORE"
],
"interfacePresent": true,
"id": "default",
"type": "interfaceinfoentry"
}
],
"id": "default",
"type": "interfaceinfo",
"links": {
"self": "https://x.x.x.x/api/fdm/v5/operational/interfaceinfo/default"
}
}
Collectez la valeur interfaceId
ce sera la valeur de l'objid de la requête suivante.
Maintenant, allez dans Interface > GET/devices/default/operational/interfaces/{objId}. Ajoutez la valeur interfaceId
de l'interface de gestion ou "Management interface" à partir de la requête ci-dessus et exécutez l'appel d'API.
À partir de la réponse de l'API, vous obtiendrez les détails de l'interface de diagnostic.
{
"name": "diagnostic",
"hardwareName": "Management1/1",
"ipv4Address": {
"ipAddress": null,
"netmask": null,
"type": "ipv4address"
},
"ipv6Address": {
"ipAddress": null,
"type": "ipv6address"
},
"macAddress": "string",
"speedType": null,
"enabled": true,
"linkState": "UP",
"id": "b727b013-c677-11e9-adec-5d5808710d61",
"type": "interfacedata",
"links": {
"self": "https://x.x.x.x/api/fdm/v5/devices/default/operational/interfaces/b727b013-c677-11e9-adec-5d5808710d61"
}
}
le 15-01-2021 04:08 PM
@ bguerram C'est utile, mais je suis toujours incapable de créer un PUT bien formé en utilisant les informations dérivées des instructions que vous m'avez fournit. Il vaudrait peut-être mieux que j'ouvre un dossier TAC pour ce problème.
Il est TRÈS frustrant que, pour un ingénieur senior avec plus de 10 ans d'expérience avec les pare-feu Cisco, que je ne puisse plus faire plus facilement ce qui me prend UNE LIGNE de configuration sur un ASA, maintenant que nous sommes sur FTD.
* Voici la traduction d'un message créé à l'origine par Marvin Rhoads en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 17-01-2021 12:23 PM
Salut Marvin,
Vous avez raison, il semble que cette configuration ne soit pas prise en charge dans l'interface de diagnostic. Mais à coup sûr, vous pouvez ouvrir un dossier TAC, ils pourront vous aider et vous fournir plus de détails sur ces changements dans la dernière version actuelle.
le 12-01-2021 12:29 PM
Salut,
Est-il possible d'intégrer ASA avec les services Firepower dans le nouveau tableau de bord SecureX ?
Cdlt. JMD
le 13-01-2021 07:56 AM
Salut JMD
Oui en effet, vous pouvez intégrer vos appareils ASA aux services Firepower avec SecureX.
Pour cela, vous devrez configurer un proxy, Cisco Security Services Proxy (CSSP), qui fonctionnera comme Syslog pour le FTD afin de transmettre les événements. Le fichier CSSP à configurer peut être téléchargé à partir du portail SSE.
Pour plus de détails, regardez dans le prochain contenu Cisco.
Cisco Video Portal - https://video.cisco.com/video/6161531920001
Cisco Tech Notes - https://www.cisco.com/c/en/us/td/docs/security/firepower/integrations/CTR/Firepower_and_Cisco_Threat_Response_Integration_Guide/send_events_to_the_cloud_using_syslog.html
Merci de votre participation
Bere
le 12-01-2021 01:02 PM
Bonjour,
Sur ASA, si une liste d’accès autorise des connexions entre 2 interfaces avec le même niveau de sécurité, ces connexions sont-elles toujours soumises au contrôle de commande « same-security-traffic permit inter-interface » ?
Merci
* Voici la traduction d'un message créé à l'origine par Didir M. en portugais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 12-01-2021 06:17 PM
Oui. Même si une liste d'accès permet des connexions entre 2 interfaces avec le même niveau de sécurité, la commande "same-security-traffic permit inter-interface" est toujours nécessaire pour autoriser les connexions.
Salutations
Ilkin
le 12-01-2021 06:09 PM
Existe-t-il un upgrade path et une procédure de mise à niveau pour les périphériques Firepower?
* Voici la traduction d'un message créé à l'origine par T.Nagaiwa en japonais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 15-01-2021 04:19 PM
Salut T. Nagaiwa,
Oui, il existe un path spécialement pour les versions antérieures de firepower (6.1.0,6.2.0 et 6.2.3).
Sur les notes de publication de chaque version, vous pouvez trouver le path de mise à niveau. Pour les versions 6.2.3+, vous pouvez passer directement à n'importe quelle version de base (6.3.0, 6.4.0, 6.5.0, 6.6.0).
La procédure est la même pour les dispositifs firepower et le firepower threat defense. Vous pouvez consulter le lien ci-dessous pour la procédure.
La mise à niveau doit être effectuée d'abord sur le FMC, puis sur les capteurs (sensors). Le FMC doit être sur une version supérieure ou identique à celle des capteurs (sensors).
Ricardo
le 15-01-2021 04:42 PM
Pourquoi je ne vois aucun device afin de générer un fichier de dépannage à partir de mes appareils Firepower ?
* Voici la traduction d'un message créé à l'origine par alina_xiao (Yanli Sun) en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 17-01-2021 12:30 PM
Bonjour Alina Xiao,
Afin de générer le fichier de dépannage ou troubleshooting de vos périphériques Firepower, naviguez dans votre FMC vers System> Health> Monitor> Select Appliance dans la liste affichée > Generate Troubleshooting Files.
Si vous ne voyez aucun périphérique (devices) répertorié ci-dessous, vous devez probablement cliquer sur le graphique à secteurs. Cela dépendra de l'état de santé de vos appareils à partir duquel vous pouvez cliquer sur la partie du graphique à secteurs pour les afficher.
Vert - État de santé
Jaune - Appareils avec quelques avertissements
Rouge - Appareils avec des erreurs
Bleu - Appareils désactivés
Pour plus de détails, vous pouvez aller au contenu suivant.
le 17-01-2021 01:08 PM
Merci d'avoir organisé cet événement. Comment puis-je gérer mes appareils firepower ?
* Voici la traduction d'un message créé à l'origine par W2493455280 en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 18-01-2021 08:55 AM
Bonjour W2493455280
Vous avez deux choix pour gérer votre FTD, cela peut être fait localement en utilisant le Firepower Device Manager (FDM) ou via le Firepower Management Center (FMC).
Afin de revoir comment enregistrer le FTD dans le FMC, regardez la vidéo suivante avec tous les détails.
https://video.cisco.com/video/6156204074001
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français