09.08.2016 @ 12:06 Модуль Cisco ASA Firepower. Введение. Установка. cisco, Cisco ASA, Cisco ASA Firepower, Defence Center, Firepower, FireSIGHT, network security, web security, безопасность сетевого периметра, Установка Cisco ASA FirePower Модуль Cisco ASA Firepower. Введение. Установка. Введение Это программный модуль, который запускается и работает на SSD диске установленном в устройствах ASA 55хх-Х серии (исключение составляет модуль для ASA 5585-Х, он является аппаратным). Этот модуль вышел на замену старым IPS модулям для Сisco ASA – SSM-10, SSM-20 и SSM-40. Обозначение X в конце говорит, что ASA нового поколения. Данный модуль может работать только на устройствах нового поколения. Для успешной установки и запуска модуля, кроме ASA нового поколения, так же необходима версия IOS установленная на Cisco ASA не ниже 9.2(2.4). В случае нового устройства в этом семействе как ASA 5506-Х, версия должна быть 9.3(2) или старше. Сервер управления FireSIGHT или еще именуемый как Defence Center должен быть той же версии что и модуль SFR(другое название данного модуля, так же часто встречается в официальной документации от Cisco) или старше. В зависимости от лицензии, модуль SFR может блокировать и\или регистровать трафик на по URL условиям, осуществлять проверку загружаемых или скачиваемых файлов, попытки взлома или на на уровне примитива, к примеру на основе TCP или IP параметров. Варианты лицензий: URL – дает возможность только фильтрации по URL TA – классический IPS TAC – IPS+URL TAM – IPS+AMP (Advanced Malware Protection), т.е. защита от различного рода вредоносных программ TAMC – URL+IPS+AMP Перенаправление трафика на модуль реализуется, так же как и в предыдущем поколении, с помощью MFP (Modular Policy Framework): Определяются классы трафика при помощи команды class-map или же указывается, что надо учитывать весь трафик, как в примере(используется на кастомный, дефолтный класс): class-map global-class match any Создаем политику (policy-map) , где для различных классов можно назначить определенные действия, в том числе и отправку на модуль: policy-map global_policy class global-class sfr fail-open Причем режим fail-open говорит, что трафик будет продолжать проходить, даже если модуль не отвечает (перезагружается, вышел из строя и т.п.). В случаях, когда недопустимо пропускать трафик без проверки используется команда fail-close. В этом случае, при недоступности модуля, весь трафик, попавший под условия class-map, будет заблокирован. Применяем созданную политику к интерфейсу или глобально для всех интерфейсов. Команда service-policy: service-policy global_policy global Приведенными выше настройками мы включаем проверку всего трафика с блокировкой трафика не прошедшего проверку, данные настройки соответствуют следующей схеме: Если у нас стоит задача только отслеживать трафик, не влияя на него, необходимо изменить в policy-map. В место команды: sfr fail-open отдать команду: sfr fail-open monitor-only В этом случае, если пакет должен был быть заблокирован, то модуль только пометит его как “заблокирован”. Система работает по схеме: Примечание: Сам модуль не блокирует трафик, он только проверяет на различные политики, активированные в соответствии с лицензией, и отдает команду ASA – пропустить или заблокировать. Установка сервера управления FireSIGHT(Defence Center) Сервера управления бывают двух видов: Аппаратный Виртуальный Далее мы будем рассматривать установку и запуск виртуального, который работает на VMware ESXi . Для начала смотрим необходимые требования под виртуальную машину: 4 vCPU 4 GB RAM 250Gb HDD 1 vNIC Создавать виртуальную машину, с указанными выше требованиями, не надо. Необходимо только убедиться что в гипервизоре есть для этого все необходимое. Сама виртуальная машина «расклеивается» с соответствующего OVF шаблона, скаченного с сайта Cisco. Именуются они на сайте следующим образом: Sourcefire_Defense_Center_Virtual64_VMware-текущая_версия. После завершения работы «Мастера развертывания шаблона OVF» в гипервизоре, переходим в нашем VMware vSphere Client в вкладку «Консоль». Производим первичный вход в систему, используя логин и пароль admin и Sourcefire соответственно. Теперь необходимо произвести первичную настройку, для этого исполняем команду: sudo /usr/local/sf/bin/configure-network В ответ нас просят ввести пароль супер пользователя, еще раз — Sourcefire. Отвечаем на вопросы: Do you wish to configure IPv4?(y or n) y Management IP address? [192.168.45.45] 192.168.100.20 Management netmask? [255.255.255.0] Management default gateway? 192.168.100.1 Management IP address? 192.168.100.20 Management netmask? 255.255.255.0 Management default gateway? 192.168.100.20 Are these settings correct? (y or n) y Do you wish to configure IPv6?(y or n) n На этом работа с консолью завершена. Открываем браузер и идем по адресу https://192.168.100.20 Логинимся в систему (admin/Sourcefire). После логина в систему будет предложено сменить пароль, опционально можно сменить IP настройки. Устанавливаем настройки времени. И самое основное — формируем запрос на лицензию. Система подсказывает, как сформировать запрос, далее, этот запрос размещаем на специальной страницы у Cisco и получаем ключ активации с учетом приобретенной лицензии. На этом установка и первичная настройка Defence Center завершена. Установка программного модуля Cisco ASA FirePower Перед тем как приступить к установке нового модуля IPS (далее по тексту sfr). Необходимо убедиться, что у нас отсутствуют\удалены старые модули, для этого подключаемся к ASA и выполняем команду: sh module Если в ответе наблюдаем что модули есть (к примеру, как на картинке): Необходимо выполнить следующие команды: а) для модуля cxsc sw-module module cxsc shutdown sw-module module cxsc uninstall б) для модуля ips sw-module module ips shutdown sw-module module ips uninstall После этого перезагрузить Cisco ASA командой reload. Теперь мы полностью готовы к установке SFR модуля. Установка и первичное конфигурирование проходит в два этапа. На первом этапе загружается и настраивается так называемый загрузочный образ. На втором этапе устанавливается программное обеспечение. Для загрузки использовал образы, скаченные с сайта Cisco и размещенные на ftp сервере, так же возможны загрузки с USB носителя, TFTP, HTTP или HTTPS серверов. И так приступим к загрузке и установке загрузочного образа. Для начала, что бы иметь возможность отслеживать процесс загрузки и установки образа отдаем команду: debug module-boot Копируем образ: copy ftp://anonymous:anonymous@192.168.100.25/asasfr-5500x-boot-текущаяверсия.img disk0:/asasfr-5500x-boot-текущаяверсия.img По завершению копирования выполняем следующие команды: sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-текущаяверсия.img sw-module module sfr recover boot И, если включили debug, наблюдаем процесс установки (5-10 минут). По завершению установки подключаемся и работаем уже с модулем, для этого отдаем команду: session sfr console Логин и пароль по умолчанию — admin/Admin123. Теперь необходимо произвести настройку boot образа модуля, он должен «уметь ходить в сеть». Исполняем команду setup: asasfr-boot>setup Welcome to SFR Setup [hit Ctrl-C to abort] Default values are inside [] Enter a hostname [asasfr]: SFR Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]: N Enter an IPv4 address [192.168.8.8]: 192.168.50.20 Enter the netmask [255.255.255.0]: 255.255.255.0 Enter the gateway [192.168.8.1]: 192.168.50.1 Do you want to configure static IPv6 address on management interface?(y/n) [N]: N Stateless autoconfiguration will be enabled for IPv6 addresses. Enter the primary DNS server IP address: 192.168.1.1 Do you want to configure Secondary DNS Server? (y/n) [n]: Y Enter the secondary DNS server IP address: 192.168.1.2 Do you want to configure Local Domain Name? (y/n) [n]: Y Enter the local domain name: example.com Do you want to configure Search domains? (y/n) [n]: n Do you want to enable the NTP service? [Y]: Y Enter the NTP servers separated by commas: 192.168.1.1,192.168.1.2 Do you want to enable the NTP symmetric key authentication? [N]: N Please review the final configuration: Hostname: SFR Management Interface Configuration IPv4 Configuration: static IP Address: 192.168.50.20 Netmask: 255.255.255.0 Gateway: 192.168.50.1 IPv6 Configuration: Stateless autoconfiguration DNS Configuration: Domain:example.com DNS Server: 192.168.1.1 192.168.1.2 NTP configuration: 192.168.1.1 192.168.1.2 CAUTION: You have selected IPv6 stateless autoconfiguration, which assigns a global address based on network prefix and a device identifier. Although this address is unlikely to change, if it does change, the system will stop functioning correctly. We suggest you use static addressing instead. Apply the changes?(y,n) [Y]: Y Configuration saved successfully! Applying… Restarting network services… Restarting NTP service… Done. Press ENTER to continue… Первый этап завершен, переходим к этапу установки и конфигурирования самого программного обеспечения SFR модуля. asasfr-boot> system install ftp://anonymous:anonymous@192.168.100.25/asasfr-sys-текущаяверсия.pkg Verifying Downloading Extracting Package Detail Description: Cisco ASA-SFR текущаяверсия System Install Requires reboot: Yes Do you want to continue with upgrade? [y]: Y Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. Upgrading Starting upgrade process … Populating new system image… Reboot is required to complete the upgrade. Press ‘Enter’ to reboot the system. После нажатия Enter модуль уйдет в перезагрузку (в этот раз только модуль, а не вся ASA). Процесс занимает некоторое время. Проверить готов модуль или нет можно командой: sh module sfr Как только видим как на картинке ниже: Переходим к завершению процесса установки. session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is ‘CTRL-^X’. Sourcefire3D login: Логин по умолчанию – admin, пароль – Sourcefire. После входа, читаем EULA и настраиваем менеджмент интерфейс: You must accept the EULA to continue. Press <ENTER> to display the EULA: END USER LICENSE AGREEMENT < Lines omitted. We can walk through the EULA by pressing ENTER or SPACE > Please enter ‘YES’ or press <ENTER> to AGREE to the EULA: YES System initialization in progress. Please stand by. You must change the password for ‘admin’ to continue. Enter new password: Confirm new password: You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: 192.168.50.21 Enter an IPv4 netmask for the management interface [255.255.255.0]: Enter the IPv4 default gateway for the management interface []: 192.168.50.1 Enter a fully qualified hostname for this system [Sourcefire3D]: SFR Enter a comma-separated list of DNS servers or ‘none’ []: 192.168.1.1,192.168.1.2 Enter a comma-separated list of search domains or ‘none’ [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run ‘configure network http-proxy’ This sensor must be managed by a Defense Center. A unique alphanumeric registration key is always required. In most cases, to register a sensor to a Defense Center, you must provide the hostname or the IP address along with the registration key. ‘configure manager add [hostname | ip address ] [registration key ]’ However, if the sensor and the Defense Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. ‘configure manager add DONTRESOLVE [registration key ] [ NAT ID ]’ Later, using the web interface on the Defense Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Defense Center. Остался последний штрих, необходимо «связать» SFR модуль с центром управления(Defence Center). > configure manager add 192.168.100.20 examplestring Manager successfully configured. Проверяем: > show managers Host : 192.168.100.20 Registration Key : examplestring Registration : pending RPC Status : > Теперь подключаемся к центру управления (в браузере набираем https://192.168.100.20) Переходим во вкладку Devices, затем Device Management. Нажимаем кнопку Add Device. Заполняем поля, проставляем галочки, какие из доступных лицензий необходимо активировать (в моем случае уже все доступные лицензии выбраны, по этому и поля не активны). Нажимаем Register. После этого наш модуль появится в списке управляемых устройств в центре мониторинга и управления. А на самом модуле, при выполнении команды show managers, будет отображена следующая информация: > show managers Type : Manager Host : 192.168.100.20 Registration : Completed Используемые материалы: Виртуальная машина под управлением гипервизора VMware ESXi Cisco ASA 5545x и программный модуль SFR http://www.cisco.com/c/dam/en/us/td/docs/security/sourcefire/3d-system/53/Sourcefire_3D_System_Installation_Guide_v53.pdf http://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/118644-configure-firepower-00.html FessDom 25553 Malware analysis Читать дальше >>