Модуль Cisco ASA Firepower. Введение. Установка.

  1. Введение

Это программный модуль, который запускается и работает на SSD диске установленном в устройствах ASA 55хх-Х серии (исключение составляет модуль для ASA 5585-Х, он является аппаратным). Этот модуль вышел на замену старым IPS модулям для Сisco ASA – SSM-10, SSM-20 и SSM-40.

Обозначение X в конце говорит, что ASA нового поколения. Данный модуль может работать только на устройствах нового поколения.
Для успешной установки и запуска модуля, кроме ASA нового поколения, так же необходима версия IOS установленная на Cisco ASA не ниже 9.2(2.4). В случае нового устройства в этом семействе как ASA 5506-Х, версия должна быть 9.3(2) или старше.

Сервер управления FireSIGHT или еще именуемый как Defence Center должен быть той же версии что и модуль SFR(другое название данного модуля,  так же часто встречается в официальной документации от Cisco) или  старше.

В зависимости от лицензии, модуль SFR может блокировать и\или регистровать трафик на по URL условиям, осуществлять проверку загружаемых или скачиваемых файлов, попытки взлома или на на уровне примитива, к примеру на основе TCP или IP параметров.

Варианты лицензий:
URL – дает возможность только фильтрации по URL
TA – классический IPS
TAC – IPS+URL
TAM – IPS+AMP (Advanced Malware Protection), т.е. защита от различного рода вредоносных программ
TAMC – URL+IPS+AMP

Перенаправление трафика на модуль реализуется, так же как и в предыдущем поколении, с помощью MFP (Modular Policy Framework):

  • Определяются классы трафика при помощи команды class-map или же указывается, что надо учитывать весь трафик, как в примере(используется на кастомный, дефолтный класс):

class-map global-class
match any

  • Создаем политику (policy-map) , где для различных классов можно назначить определенные действия, в том числе и отправку на модуль:

policy-map global_policy
class global-class
sfr fail-open

Причем режим fail-open говорит, что трафик будет продолжать проходить, даже если модуль не отвечает (перезагружается, вышел из строя и т.п.). В случаях, когда недопустимо пропускать трафик без проверки используется команда fail-close. В этом случае, при недоступности модуля, весь трафик, попавший под условия class-map, будет заблокирован.

  • Применяем созданную политику к интерфейсу или глобально для всех интерфейсов. Команда service-policy:

service-policy global_policy global

Приведенными выше настройками мы включаем проверку всего трафика с блокировкой трафика не прошедшего проверку, данные настройки соответствуют следующей схеме:
shema1

Если у нас стоит задача только отслеживать трафик, не влияя на него, необходимо изменить в policy-map. В место команды:
sfr fail-open
отдать команду:
sfr fail-open monitor-only
В этом случае, если пакет должен был быть заблокирован, то модуль только пометит его как “заблокирован”. Система работает по схеме:
shema2
Примечание: Сам модуль не блокирует трафик, он только проверяет на различные политики, активированные в соответствии с лицензией, и отдает команду ASA – пропустить или заблокировать.

  1. Установка сервера управления FireSIGHT(Defence Center)

Сервера управления бывают двух видов:
Аппаратный
Виртуальный

Далее мы будем рассматривать установку и запуск виртуального, который работает на VMware ESXi .
Для начала смотрим необходимые требования под виртуальную машину:
4 vCPU
4 GB RAM
250Gb HDD
1 vNIC

Создавать виртуальную машину, с указанными выше требованиями, не надо.
Необходимо только убедиться что в гипервизоре есть для этого все необходимое. Сама виртуальная машина «расклеивается» с соответствующего OVF шаблона, скаченного с сайта Cisco. Именуются они на сайте следующим образом:
Sourcefire_Defense_Center_Virtual64_VMware-текущая_версия.
После завершения работы «Мастера развертывания шаблона OVF» в гипервизоре, переходим в нашем VMware vSphere Client в вкладку «Консоль».

Производим первичный вход в систему, используя логин и пароль admin и Sourcefire соответственно.
Теперь необходимо произвести первичную настройку, для этого исполняем команду:
sudo /usr/local/sf/bin/configure-network

В ответ нас просят ввести пароль супер пользователя, еще раз — Sourcefire.
Отвечаем на вопросы:

Do you wish to configure IPv4?(y or n) y
Management IP address? [192.168.45.45] 192.168.100.20
Management netmask? [255.255.255.0]
Management default gateway? 192.168.100.1

Management IP address?          192.168.100.20
Management netmask?             255.255.255.0
Management default gateway?     192.168.100.20

Are these settings correct? (y or n) y
Do you wish to configure IPv6?(y or n) n

На этом работа с консолью завершена.
Открываем браузер и идем по адресу https://192.168.100.20
dfc
Логинимся в систему (admin/Sourcefire).

После логина в систему будет предложено сменить пароль, опционально можно сменить IP настройки. Устанавливаем настройки времени. И самое основное — формируем запрос на лицензию. Система подсказывает, как сформировать запрос, далее, этот запрос размещаем на специальной страницы у Cisco и получаем ключ активации с учетом приобретенной лицензии.
На этом установка и первичная настройка Defence Center завершена.

  1. Установка программного модуля Cisco ASA FirePower

Перед тем как приступить к установке нового модуля IPS (далее по тексту sfr).
Необходимо убедиться, что у нас отсутствуют\удалены старые модули, для этого подключаемся к ASA и выполняем команду:
sh module
Если в ответе наблюдаем что модули есть (к примеру, как на картинке):
shmod
Необходимо выполнить следующие команды:
а) для модуля cxsc
sw-module module cxsc shutdown
sw-module module cxsc uninstall

б) для модуля ips
sw-module module ips shutdown
sw-module module ips uninstall

После этого перезагрузить Cisco ASA командой reload.
Теперь мы полностью готовы к установке SFR модуля.

Установка и первичное конфигурирование проходит в два этапа.
На первом этапе загружается и настраивается так называемый загрузочный образ.
На втором этапе устанавливается программное обеспечение.
Для загрузки использовал образы, скаченные с сайта Cisco и размещенные на ftp сервере, так же возможны загрузки с USB носителя, TFTP, HTTP или HTTPS серверов.

И так приступим к загрузке и установке загрузочного образа.
Для начала, что бы иметь возможность отслеживать процесс загрузки и установки образа отдаем команду:
debug module-boot
Копируем образ:
copy ftp://anonymous:anonymous@192.168.100.25/asasfr-5500x-boot-текущаяверсия.img disk0:/asasfr-5500x-boot-текущаяверсия.img
По завершению копирования выполняем следующие команды:
sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-текущаяверсия.img
sw-module module sfr recover boot

И, если включили debug, наблюдаем процесс установки (5-10 минут).

По завершению установки подключаемся и работаем уже с модулем, для этого отдаем команду:
session sfr console
Логин и пароль по умолчанию — admin/Admin123.
Теперь необходимо произвести настройку boot образа модуля, он должен «уметь ходить в сеть».
Исполняем команду setup:
asasfr-boot>setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asasfr]: SFR
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 192.168.50.20
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 192.168.50.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 192.168.1.1
Do you want to configure Secondary DNS Server? (y/n) [n]: Y
Enter the secondary DNS server IP address: 192.168.1.2
Do you want to configure Local Domain Name? (y/n) [n]: Y
Enter the local domain name: example.com
Do you want to configure Search domains? (y/n) [n]: n
Do you want to enable the NTP service? [Y]: Y
Enter the NTP servers separated by commas: 192.168.1.1,192.168.1.2
Do you want to enable the NTP symmetric key authentication? [N]: N

Please review the final configuration:
Hostname:               SFR
Management Interface Configuration
IPv4 Configuration:     static
IP Address:     192.168.50.20
Netmask:        255.255.255.0
Gateway:        192.168.50.1
IPv6 Configuration:     Stateless autoconfiguration
DNS Configuration:
Domain:example.com
DNS Server:
192.168.1.1
192.168.1.2
NTP configuration:
192.168.1.1     192.168.1.2

CAUTION:
You have selected IPv6 stateless autoconfiguration, which assigns a global address
based on network prefix and a device identifier. Although this address is unlikely
to change, if it does change, the system will stop functioning correctly.
We suggest you use static addressing instead.

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying…
Restarting network services…
Restarting NTP service…
Done.
Press ENTER to continue…

Первый этап завершен, переходим к этапу установки и конфигурирования самого программного обеспечения SFR модуля.
asasfr-boot> system install ftp://anonymous:anonymous@192.168.100.25/asasfr-sys-текущаяверсия.pkg
Verifying
Downloading
Extracting
Package Detail
Description:                    Cisco ASA-SFR текущаяверсия System Install
Requires reboot:             Yes

Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process …
Populating new system image…
Reboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.

После нажатия Enter модуль уйдет в перезагрузку (в этот раз только модуль, а не вся ASA). Процесс занимает некоторое время.
Проверить готов модуль или нет можно командой:
sh module sfr
Как только видим как на картинке ниже:
shmod1
Переходим к завершению процесса установки.
session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Sourcefire3D login:

Логин по умолчанию – admin, пароль – Sourcefire.
После входа, читаем EULA и настраиваем менеджмент интерфейс:
You must accept the EULA to continue.
Press <ENTER> to display the EULA:
END USER LICENSE AGREEMENT
< Lines omitted. We can walk through the EULA by pressing ENTER or SPACE >
Please enter ‘YES’ or press <ENTER> to AGREE to the EULA: YES

System initialization in progress.  Please stand by.
You must change the password for ‘admin’ to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 192.168.50.21
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface []: 192.168.50.1
Enter a fully qualified hostname for this system [Sourcefire3D]: SFR
Enter a comma-separated list of DNS servers or ‘none’ []: 192.168.1.1,192.168.1.2
Enter a comma-separated list of search domains or ‘none’ [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run ‘configure network http-proxy’

This sensor must be managed by a Defense Center.  A unique alphanumeric
registration key is always required.  In most cases, to register a sensor
to a Defense Center, you must provide the hostname or the IP address along
with the registration key.
‘configure manager add [hostname | ip address ] [registration key ]’
However, if the sensor and the Defense Center are separated by a NAT device,
you must enter a unique NAT ID, along with the unique registration key.
‘configure manager add DONTRESOLVE [registration key ] [ NAT ID ]’

Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.

Остался последний штрих, необходимо «связать» SFR модуль с центром управления(Defence Center).
> configure manager add 192.168.100.20 examplestring
Manager successfully configured.

Проверяем:
> show managers
Host                     : 192.168.100.20
Registration Key : examplestring
Registration        : pending
RPC Status          :
>

Теперь подключаемся к центру управления (в браузере набираем https://192.168.100.20)
Переходим во вкладку Devices, затем Device Management. Нажимаем кнопку Add Device.
dfc1
Заполняем поля, проставляем галочки, какие из доступных лицензий необходимо активировать (в моем случае уже все доступные лицензии выбраны, по этому и поля не активны). Нажимаем Register.
После этого наш модуль появится в списке управляемых устройств в центре мониторинга и управления. А на самом модуле, при выполнении команды show managers, будет отображена следующая информация:
> show managers
Type           : Manager
Host           : 192.168.100.20
Registration   : Completed

Используемые материалы:

  1. Виртуальная машина под управлением гипервизора VMware ESXi
  2. Cisco ASA 5545x и программный модуль SFR
  3. http://www.cisco.com/c/dam/en/us/td/docs/security/sourcefire/3d-system/53/Sourcefire_3D_System_Installation_Guide_v53.pdf
  4. http://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html