SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Configurando ASA FirePower (Startup)
09/08/2022

Configurando ASA FirePower (Startup)

Configurando ASA FirePower (Startup)

by André Ortega / sexta-feira, 06 março 2015 / Published in Cisco, Configuração, Security

Todos que trabalham com segurança sabem (ou deveriam saber) que em 2013 a Cisco comprou a SourceFire, o mais conceituado fabricante de IPS do mercado. Rapidamente a Cisco integrou a solução SourceFire ao ASA, sob o nome de FirePower.

Realmente esta aquisição/integração fez com que a solução de firewall da Cisco subisse de patamar, tornando o ASA um verdadeiro NGFW/NGIPS.

O ASA com FirePower é um next generation firewall e IPS, que possui Application and Visibility Control, Web Security e proteção contra Malware.

ASA FirePower

Para usar o módulo FirePower você precisa de um ASA da nova geração (tem o “X” no nome) com software 9.2.2 ou acima, e um módulo SSD, onde o FirePower é instalado. As funcionalidades são disponibilizadas através de licenças (L-ASA551X-TA para IPS e APP, L-ASA5512-TAC para IPS, APP e Filtro de URL, L-ASA551X-TAM, licença completa, com IPS, APP, URL e AMP – anti Malware).

Instalando o módulo FirePower

1) O primeiro passo é garantir que não há outro módulo de serviço habilitado no ASA.

asa#sw-module module ips shutdown
asa#sw-module module ips uninstall
asa#sw-module module cxsc shutdown
asa#sw-module module cxsc uninstall
asa#reload

2) Faça o download da imagem de boot do FirePower e envie para o ASA (extenção img, ex: asasfr-5500x-boot-5.3.1-152.img).

asa# copy tftp://<tftp-server>/asasfr-5500x-boot-5.3.1-152.img disk0:/ asasfr-5500x-boot-5.3.1-152.img

3) Aponte a imagem para o boot.

asa# sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-5.3.1-152.img

4) Inicie o módulo FirePower.

asa# sw-module module sfr recover boot

OBS: Você pode usar o comando debug module-boot para acompanhar a inicialização do módulo FirePower.

Após uns 15 minutos você deve ver uma mensagem “Cisco ASA SFR Boot Image 5.3.1”, indicando que o software está pronto.

5) Acesse o módulo FirePower (usuário e senha padrão abaixo).

asa# session sfr console
Opening console session with module sfr.Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123

6) Agora começa a configuração do módulo FirePower. Digite “setup” e forneça as informações solicitadas (hostname, IP, DNS e NTP Server)

asasfr-boot> setup
                         Welcome to SFR Setup
                          [hit Ctrl-C to abort]                        Default values are inside []

7) Faça o download e instale o FirePower (arquivo .pkg).

asasfr-boot> system install tftp://<tftp-server>/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting

Package Detail
        Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
        Requires reboot: Yes

Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process …
Populating new system image

Reboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.
(press Enter)

Pode demorar uns 10 minutos o reload do módulo.

8) Acesse o módulo FirePower novamente. Observe que agora o módulo está completamente funcional, e a senha é outra.

ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:admin
Password: Sourcefire

9) Complete o setup inicial.

System initialization in progress. Please stand by. You must change the password
for ‘admin’ to continue. Enter new password: novasenha
Confirm new password: novasenha
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.123.45.16
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 10.123.45.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.brainwork.com.br
Enter a comma-separated list of DNS servers or ‘none’ []: 10.123.45.20, 8.8.8.8
Enter a comma-separated list of search domains or ‘none’ [example.net]: brainwork.com.br
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run ‘configure network http-proxy’

10) Aponte a gerência (FireSight).

configure manager add 10.123.45.17 brainworkblog

Registrando o Módulo na Gerência e Direcionando o tráfego

1) Considerando que você já tem o FireSight instalado, configurado e com licenças disponíveis, vá em Devices > Device Management e clique Add > Add Device. Forneça as informações e então clique Register.

FireSight

 

2) Temos o módulo FirePower pronto e gerenciável. Vamos agora direcionar tráfego para inspeção. Acesse o ASA e insira os comandos abaixo.

access-list SFR_REDIRECT extended permit ip any any
class-map SFR
match access-list SFR_REDIRECT
policy-map global_policy
class SFR
  sfr fail-open

OBS: Neste exemplo todo o tráfego que passar pelo ASA será inspecionado.

Assim finalizamos a configuração inicial do módulo FirePower. Evidentemente é necessário configurar a Access Policy, onde habilitamos o IPS, Network Discovery, Filtro de URL, Anti Malware e demais funcionalidades.

FireSight

 

Links de referência:

  • Instalando FirePower Service Module (ASA5512 até ASA5555)
  • Configuração Inicial do FireSight
  • Registrando um Device no FireSight

Até a próxima.

Relacionado

Tagged under: FirePower, FireSight, IPS, NGFW, NGIPS, SourceFire

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

Diferença conceitual (Firewall básico e Firewall por zona)
NetAcademy para a comunidade Manguinhos (RJ)
Configurando Inspect no FTD (via FMC)

12 Comments to “ Configurando ASA FirePower (Startup)”

  1. Chupa Cabra says :
    11/03/2015 at 20:32

    Ótiimo post Andre, mas tenho 2 dúvidas:

    A nova verão do CCNP Security vai abordar sobre FirePower?
    É possível emular um FirePower no GNS3, assim como é possível emular um ASA no mesmo?

    Abraços

    1. André Ortega says :
      13/03/2015 at 09:53

      A certificação atual não aborda o FirePower, que deve ser incluído na próxima mudança.
      Não acho que seja possível emular o FirePower no GNS3. O FireSight, software que faz a gerência da solução pode ser instalado em uma máquina virtual, mas o FirePower não (por enquanto…).

  2. Crusier says :
    15/03/2015 at 02:48

    Ola André,

    Obrigado pelo post!! Tenho as duvidas abaixo, se puder responder agradeço.

    Para gerenciar o Firepower via GUI é obrigatório o software FireSight?? Não é possivel acessar via IP do Firepower, igual ao modulo CX ?

    Existe custo para usar o FireSight?

    Sabe dizer se o recente ASA5506, também será obrigatorio usar o FireSight?

    1. André Ortega says :
      16/03/2015 at 09:43

      Crusier, toda a configuração do FirePower é via FireSight, que tem sim custo (não é caro).
      O 5506 (ainda não vi…) permitirá a gerencia integrada, via ASDM.

      1. Ygor says :
        09/10/2015 at 00:30

        Amigo, a configuração dele pode ser realizada pelo ASDM também!

        1. André Ortega says :
          09/10/2015 at 14:23

          Sim.
          Note no entanto que na época ainda não havia sido lançado…

          1. Ygor says :
            09/10/2015 at 15:02

            Entendi, porém não mudou nada! A gerencia pelo ASDM é bem ruim! Apresenta alguns erros ainda! Acredito que pelo FireSight deva ser bem superior!

  3. André Ortega says :
    13/10/2015 at 10:45

    O Firesight é melhor mesmo.

  4. Clucas says :
    17/03/2016 at 09:12

    Excelente post!!! Parabéns! Sobre a virtualizar, sim, dá pra virtualizar o IPS e o FireSight. Tem as imagens OVA na Cisco. Roda tudo virtual.

  5. Carlos Ronald says :
    21/05/2016 at 19:15

    É muito legal o post. Eu uso o CX e é muito complexo.
    Vou instalar o Firepower e tirar o maior proveito.

    Obrigado André.

  6. Daniel Camargo says :
    18/09/2016 at 22:53

    Olá André.

    Estou tentando seguir o procedimento que está no seu post. Estou fazendo tudo remotamente via SSH. Mas surgiu um dúvida se no momento que eu dou o comando setup, tem problema se eu colocar um IP dentro da range da minha INSIDE? Por exemplo a minha range é 172.18.200.0/24 e daí eu configuro como gateway o IP 172.18.200.1, que é o IP da interface INSIDE que está configurado no ASA que eu tenho no meu ambiente e o ip do firepower ficou como 172.18.200.10, mas eu não consigo pingar o 172.18.200.1. Sabe me dizer o que há de errado?

    1. André Ortega says :
      19/09/2016 at 10:09

      Não tem problema Daniel. Este cenário que você descreveu está correto.
      Lembre-se que é necessário ter um cabo de rede conectado na porta management do ASA (o módulo utiliza esta porta), e ambos (inside e mgmt) estarem na mesma VLAN.
      E para responder ao ping o ASA tem que estar configurado para permitir icmp na interface.

POSTS RECENTES

  • Cisco Secure Network Analytics (Stealthwatch)
    Cisco Secure Network Analytics (Stealthwatch)
    08/08/2022
  • Instalando certificado em roteador Cisco
    Instalando certificado em roteador Cisco
    07/07/2022
  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022
  • Testando acesso com o Test-NetConnection (PowerShell)
    Testando acesso com o Test-NetConnection (PowerShell)
    31/05/2022

Tags

switch WLC Meraki Access-list QoS Brainwork CCNA Cisco WLAN Controller PIX CiscoChampion Firewall certificação Catalyst IPS CCIE Segurança Roteador Configuração ASA VPN ISE VMware ACL aniversário senha Switches IOS DHCP EEM Wireless Sorteio WIFI VoIP licença IPv6 FirePower SDWAN Upgrade FMC policy-map Backup Vulnerabilidade FTD LAB

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/c… #Stealtwatch

Triste realidade... Que atenção você da para seu IPS e demais soluções de monitoramento de rede? #ips #siem #logs pic.twitter.com/pfaffolRP4

Blog: Instalando certificado em roteador Cisco brainwork.com.br/2022/07/07/i… #Certificado #CiscoChampion #Root

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Blog: Cisco Catalyst na dashboard Meraki brainwork.com.br/2022/06/15/c… #Catalyst #Cisco #CiscoChampion

Seguir @brainworkblog
  1. André Ortega em Testando acesso com o Test-NetConnection (PowerShell)
  2. André Ortega em Alta utilização de CPU – Coletando logs com o Event Manager
  3. Jardel D'Oliveira em Alta utilização de CPU – Coletando logs com o Event Manager
  4. Bruno Veras em Testando acesso com o Test-NetConnection (PowerShell)
  5. André Ortega em Cisco Catalyst na dashboard Meraki
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/cis… #Stealtwatch
    about 16 horas ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP