Para operar un módulo FirePOWER en un Cisco ASA hay que seguir unos pasos específicos que permiten la comunicación con el centro de gestión FireSIGHT. Este artículo detalla ese proceso.
El Cisco Adaptive Security Appliance (ASA) puede ejecutar un módulo de software o hardware conocido como FirePOWER o SFR (abreviatura de Sourcefire. El módulo FirePOWER para Cisco ASA proporciona varios servicios de cortafuegos de última generación. De hecho, algunas de sus capacidades se superponen directamente con lo que la ASA puede hacer por sí sola. Sin entrar en detalles, diré esto: Si tiene el módulo FirePOWER, le recomendaría usar sus características en lugar de las de los ASA, ya que el módulo FirePOWER está configurado de forma centralizada y tiende a recibir actualizaciones más frecuentes.
Más información sobre redes
El módulo FirePOWER toma decisiones sobre qué tráfico es bueno y qué tráfico es malo, pero es la ASA la que hace cumplir la decisión. Así que primero necesitamos enviar tráfico a FirePOWER para que pueda tomar esas decisiones, y segundo, necesitamos tener una política sobre el módulo FirePOWER que le permita tomar decisiones. La cuestión es que FirePOWER requiere que utilicemos un centro de gestión conocido como FireSIGHT Management Center (FMC) para configurarlo. En este post te mostraré cómo registrarte en FirePOWER en un centro de gestión. En este caso estamos utilizando el Virtual FireSIGHT Management Center.
Centro de administración de Virtual FireSIGHT
El Virtual FireSIGHT Management Center (FMC) puede descargarse de Cisco e implementarse como una aplicación virtual abierta (OVA) en su entorno VMware. Una vez implementado, hay un poco de configuración que debe realizar en el dispositivo virtual, pero una vez que inicie sesión en la interfaz web, puede establecer la política del sistema, así como las políticas de IPS, las políticas de archivos, etc. En términos del FMC, el FirePOWER es conocido como un dispositivo administrado. Deberá agregar el dispositivo administrado al FMC y asignar una licencia. Sí, todo tiene licencia. En la siguiente imagen se puede ver el ASA que se está añadiendo al FMC. Cuando añada el ASA consumirá las licencias que seleccione.
Nota: El proceso de concesión de licencias para un ASA no es el método más claro. Necesitará generar un archivo PAK y enviarlo a Cisco. Ese PAK, junto con el número de licencia de FMC ,generará la licencia de Protect & Control que es perpetua. A partir de ahí, tendrá que licenciar adicionalmente IPS y el filtrado de URL. Para más detalles sobre cómo licenciar un ASA para servicios FirePOWER, vea la guía de usuario.
Configuración del módulo FirePOWER
Voy a asumir que usted tiene un ASA que ya está configurado y que tiene los fundamentos de la conectividad de red ya establecidos. Esto incluye la traducción y enrutamiento de direcciones de red junto con cualquier otra cosa que haga que su ASA funcione. Además, hay algunas pequeñas diferencias entre el modelo de hardware del ASA y cómo funciona la comunicación para el módulo FirePOWER. La gran ventaja es que la interfaz de gestión del ASA se utiliza para comunicarse con el FMC. Se trata de una interfaz de sólo administración que no enruta el tráfico, por lo que apuntará a una puerta de enlace y el FMC debe ser accesible en esa red.
La interfaz de línea de comandos del módulo FirePOWER es limitada. Se parece a un intérprete de comandos de Linux y realmente no hay mucho que hacer allí. La configuración del módulo FirePOWER requiere el siguiente comando:
> configure manager add <hostname | IPv4_address | IPv6_address | DONTRESOLVE> reg_key <nat_id>
Por ejemplo, mi entorno de demostración se configuraría de la siguiente manera:
> configure manager add 172.16.20.10 cisco123Manager successfully configured.
Este comando define la dirección o el nombre de host del FMC. Puedes ver esto como una regla de acceso que dice: «Este manager tiene permiso para hablar conmigo y yo aplicaré cualquier configuración que diga». Podemos verificar la configuración del gestor emitiendo el siguiente comando:
> show managersHost : 172.16.20.10 Clave de registro : cisco123Registration : pendingRPC Status :
Como se mencionó anteriormente en este artículo, también debe agregar el SFR al FMC y asignar una licencia.
Adición de un dispositivo a FMC y aplicación de la política básica
Primero deberá iniciar sesión en el FMC:
Una vez que haya iniciado sesión, deberá navegar hasta Dispositivos>Gestión de dispositivos.
A continuación, haga clic en Agregar>Agregar dispositivo.
Introduzca la información necesaria y seleccione Política de control de acceso por defecto. Esto aplicará una política de control de acceso predeterminada al módulo para que algo se filtre una vez que el ASA envíe tráfico al módulo.
Ahora seleccione las licencias que desea aplicar. Al seleccionar primero Protección, las casillas de verificación restantes se activan si tiene licencias disponibles para ellas.
Haga clic en Registrar y el dispositivo se agregará al FMC y se aplicará la política básica al módulo. La siguiente parte de la configuración es reenviar el tráfico al módulo para su inspección.
Si no tiene la misma versión de FMC que el módulo, obtendrá un error, así que asegúrese de observar sus versiones:
Tráfico de ida para la inspección
Para redirigir el tráfico al módulo se utiliza un mapa de políticas. Aplique la siguiente configuración al CLI de ASA, no al módulo:
mapa de políticas Clase FP-Policy clase por defecto sfr fail-openservice-policy interfaz FP-Policy interior
Una vez aplicado, el tráfico en la interfaz interior se enviará al módulo para su inspección.
En este punto usted está en el negocio y el centro de gestión FireSIGHT está vigilando el tráfico que pasa a través del módulo. Obtendrá informes decentes, y en lo que respecta a la protección de la red, es bastante extensa. Y aunque aún queda mucho por aprender sobre el módulo FirePOWER y el centro de gestión FireSIGHT, esto le proporciona una configuración básica que proporciona cierta protección general. A medida que pasa el tiempo, es probable que desee personalizar las políticas y todo esto se hace en el FMC.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo
Ver también: