Cisco ASA with |
Что такое Cisco ASA with SourceFire?
На сколько известно, компания Cisco приобрела компанию SourceFire, расширив тем самым функционал своих сетевых устройств в области безопасности. В частности, продукты разработанные компанией SourceFire теперь интегрированы в самый популярный межсетевой экран Adaptive Security Appliance (Cisco ASA). С 16 сентября 2014 года лицензии официально доступны для заказа. В данной статье будет показано, каким образом можно запустить SourceFire внутри Cisco ASAX.
К сожалению новые функции поддерживают только межсетевые экраны начиная со второго поколения. Технологии SourceFire доступны в трех вариантах: виртуальная машина, физические устройства SourceFire и встроенный в межсетевой экран ASAX функционал. В данной статье мы рассмотрим последний вариант из представленных.
Итак, Вам потребуется: межсетевой экран Cisco ASA второго поколения c SSD диском на 120 GB, версией системы не ниже чем 9.2, а также виртуальная среда (например ESXi) для запуска FireSIGHT Appliance для управления функционалом SourceFire в Cisco ASA.
Руководство по настройке
Стоит отметить, что в отличии от ASA первого поколения, в котором для запуска функций IPS требовалось установить дополнительный физический модуль, в межсетевых экранах второго поколения этого не требуется. На данный момент вы можете запустить только один дополнительный набор функций внутри ASA. Либо вы используете выделенный IPS либо функции ASA CX, либо собственно SourceFire. Если какая-либо функция уже запущена на вашем устройстве, необходимо ее отключить следующим образом:
hostname# sw-module module ips shutdown
hostname# sw-module module ips uninstall
hostname# reload
Итак, для начала установки функций SourceFire нам потребуется загрузочный образ модуля (например asasfr-5500x-boot-5.3.1-58.img).
Его необходимо переписать на SSD и установить в качестве загрузочного модуля следующей командой:
hostname# sw-module module sfr recover configure image disk0:asasfr-5500x-boot-5.3.1-58.img
Загружаем образ:
hostname# sw-module module sfr recover boot
Подключаемся к консоли SourceFire:
hostname# session sfr console
Имя пользователя – admin
Пароль – Admin123
Следующим шагом должна быть установка заранее подготовленного образа системы (в нашем случае записанного на http сервер):
system install http://asasfr-sys-5.3.1-44.pkg
Подключаемся к SourceFire командой
session sfr
Имя пользователя – admin
Пароль – Sourcefire
Теперь необходимо настроить IP адрес для управления функционалом Sourcefire с помощью консоли FireSIGHT (виртуальная машина на ESXi):
configure manager add 10.89.133.202 learnin
(learnin – ключ, который будет использован для подключения FireSIGHT)
Дальнейшие шаги направлены на установку FireSIGHT консоли и подключения ее к Cisco ASA для управления функциями SourceFIRE.
В ближайшем будущем компания Cisco планирует интегрировать средства управления SourceFIRE и классический функционал Cisco ASA в единый продукт, единую консоль.
На данный момент, это не так.
Надеемся у Вас имеется рабочий ESXi для установки Virtual FireSIGHT / Defense center.
Скачайте образ с сайта Cisco, при установке OVF файла настройте базовые параметры сети.
Если все сделано правильно, Вы можете получить доступ к консоли FireSIGHT через браузер по указанному в настройках сети IP адресу. Имя пользователя admin, пароль Sourcefire.
Когда вы попадете в GUI система запросит изменение пароля.
Теперь вы можете подключить ASA к FireSIGHT, для управления.
Пройдите в меню Dvices->Device Management, нажмите Add Device.
Устройство запросит IP адрес SourceFire внутри Cisco ASA а также ключ – в нашем случае это learnin.
Теперь необходимо настроить Cisco ASA таким образом, чтобы трафик проходил через модуль SourceFire.
Делается это через стандартную консоль ASDM, выберите в меню Configuration->Firewall->Service Policy Rules, далее нажмите Add->Service Policy Rule и Next.
В мастере настройки выберите вкладку ASA FirePOWER Inspection и установите флаг Enable ASA FirePOWER.
Теперь, подключившись к FireSIGHT GUI, Вы можете управлять всеми функциями FirePOWER.
Leave a Reply