Todos que trabalham com segurança sabem (ou deveriam saber) que em 2013 a Cisco comprou a SourceFire, o mais conceituado fabricante de IPS do mercado. Rapidamente a Cisco integrou a solução SourceFire ao ASA, sob o nome de FirePower.
Realmente esta aquisição/integração fez com que a solução de firewall da Cisco subisse de patamar, tornando o ASA um verdadeiro NGFW/NGIPS.
O ASA com FirePower é um next generation firewall e IPS, que possui Application and Visibility Control, Web Security e proteção contra Malware.
Para usar o módulo FirePower você precisa de um ASA da nova geração (tem o “X” no nome) com software 9.2.2 ou acima, e um módulo SSD, onde o FirePower é instalado. As funcionalidades são disponibilizadas através de licenças (L-ASA551X-TA para IPS e APP, L-ASA5512-TAC para IPS, APP e Filtro de URL, L-ASA551X-TAM, licença completa, com IPS, APP, URL e AMP – anti Malware).
Instalando o módulo FirePower
1) O primeiro passo é garantir que não há outro módulo de serviço habilitado no ASA.
asa#sw-module module ips shutdown
asa#sw-module module ips uninstall
asa#sw-module module cxsc shutdown
asa#sw-module module cxsc uninstall
asa#reload
2) Faça o download da imagem de boot do FirePower e envie para o ASA (extenção img, ex: asasfr-5500x-boot-5.3.1-152.img).
asa# copy tftp://<tftp-server>/asasfr-5500x-boot-5.3.1-152.img disk0:/ asasfr-5500x-boot-5.3.1-152.img
3) Aponte a imagem para o boot.
asa# sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-5.3.1-152.img
4) Inicie o módulo FirePower.
asa# sw-module module sfr recover boot
OBS: Você pode usar o comando debug module-boot para acompanhar a inicialização do módulo FirePower.
Após uns 15 minutos você deve ver uma mensagem “Cisco ASA SFR Boot Image 5.3.1”, indicando que o software está pronto.
5) Acesse o módulo FirePower (usuário e senha padrão abaixo).
asa# session sfr console
Opening console session with module sfr.Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
6) Agora começa a configuração do módulo FirePower. Digite “setup” e forneça as informações solicitadas (hostname, IP, DNS e NTP Server)
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
7) Faça o download e instale o FirePower (arquivo .pkg).
asasfr-boot> system install tftp://<tftp-server>/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
ExtractingPackage Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: YesDo you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.Upgrading
Starting upgrade process …
Populating new system imageReboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.
(press Enter)
Pode demorar uns 10 minutos o reload do módulo.
8) Acesse o módulo FirePower novamente. Observe que agora o módulo está completamente funcional, e a senha é outra.
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:admin
Password: Sourcefire
9) Complete o setup inicial.
System initialization in progress. Please stand by. You must change the password
for ‘admin’ to continue. Enter new password: novasenha
Confirm new password: novasenha
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.123.45.16
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 10.123.45.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.brainwork.com.br
Enter a comma-separated list of DNS servers or ‘none’ []: 10.123.45.20, 8.8.8.8
Enter a comma-separated list of search domains or ‘none’ [example.net]: brainwork.com.br
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run ‘configure network http-proxy’
10) Aponte a gerência (FireSight).
configure manager add 10.123.45.17 brainworkblog
Registrando o Módulo na Gerência e Direcionando o tráfego
1) Considerando que você já tem o FireSight instalado, configurado e com licenças disponíveis, vá em Devices > Device Management e clique Add > Add Device. Forneça as informações e então clique Register.
2) Temos o módulo FirePower pronto e gerenciável. Vamos agora direcionar tráfego para inspeção. Acesse o ASA e insira os comandos abaixo.
access-list SFR_REDIRECT extended permit ip any any
class-map SFR
match access-list SFR_REDIRECT
policy-map global_policy
class SFR
sfr fail-open
OBS: Neste exemplo todo o tráfego que passar pelo ASA será inspecionado.
Assim finalizamos a configuração inicial do módulo FirePower. Evidentemente é necessário configurar a Access Policy, onde habilitamos o IPS, Network Discovery, Filtro de URL, Anti Malware e demais funcionalidades.
Links de referência:
Até a próxima.
About The Author
Ótiimo post Andre, mas tenho 2 dúvidas:
A nova verão do CCNP Security vai abordar sobre FirePower?
É possível emular um FirePower no GNS3, assim como é possível emular um ASA no mesmo?
Abraços
A certificação atual não aborda o FirePower, que deve ser incluído na próxima mudança.
Não acho que seja possível emular o FirePower no GNS3. O FireSight, software que faz a gerência da solução pode ser instalado em uma máquina virtual, mas o FirePower não (por enquanto…).
Ola André,
Obrigado pelo post!! Tenho as duvidas abaixo, se puder responder agradeço.
Para gerenciar o Firepower via GUI é obrigatório o software FireSight?? Não é possivel acessar via IP do Firepower, igual ao modulo CX ?
Existe custo para usar o FireSight?
Sabe dizer se o recente ASA5506, também será obrigatorio usar o FireSight?
Crusier, toda a configuração do FirePower é via FireSight, que tem sim custo (não é caro).
O 5506 (ainda não vi…) permitirá a gerencia integrada, via ASDM.
Amigo, a configuração dele pode ser realizada pelo ASDM também!
Sim.
Note no entanto que na época ainda não havia sido lançado…
Entendi, porém não mudou nada! A gerencia pelo ASDM é bem ruim! Apresenta alguns erros ainda! Acredito que pelo FireSight deva ser bem superior!
O Firesight é melhor mesmo.
Excelente post!!! Parabéns! Sobre a virtualizar, sim, dá pra virtualizar o IPS e o FireSight. Tem as imagens OVA na Cisco. Roda tudo virtual.
É muito legal o post. Eu uso o CX e é muito complexo.
Vou instalar o Firepower e tirar o maior proveito.
Obrigado André.
Olá André.
Estou tentando seguir o procedimento que está no seu post. Estou fazendo tudo remotamente via SSH. Mas surgiu um dúvida se no momento que eu dou o comando setup, tem problema se eu colocar um IP dentro da range da minha INSIDE? Por exemplo a minha range é 172.18.200.0/24 e daí eu configuro como gateway o IP 172.18.200.1, que é o IP da interface INSIDE que está configurado no ASA que eu tenho no meu ambiente e o ip do firepower ficou como 172.18.200.10, mas eu não consigo pingar o 172.18.200.1. Sabe me dizer o que há de errado?
Não tem problema Daniel. Este cenário que você descreveu está correto.
Lembre-se que é necessário ter um cabo de rede conectado na porta management do ASA (o módulo utiliza esta porta), e ambos (inside e mgmt) estarem na mesma VLAN.
E para responder ao ping o ASA tem que estar configurado para permitir icmp na interface.