SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Configurando ASA FirePower (Startup)
12/08/2022

Configurando ASA FirePower (Startup)

Configurando ASA FirePower (Startup)

by André Ortega / sexta-feira, 06 março 2015 / Published in Cisco, Configuração, Security

Todos que trabalham com segurança sabem (ou deveriam saber) que em 2013 a Cisco comprou a SourceFire, o mais conceituado fabricante de IPS do mercado. Rapidamente a Cisco integrou a solução SourceFire ao ASA, sob o nome de FirePower.

Realmente esta aquisição/integração fez com que a solução de firewall da Cisco subisse de patamar, tornando o ASA um verdadeiro NGFW/NGIPS.

O ASA com FirePower é um next generation firewall e IPS, que possui Application and Visibility Control, Web Security e proteção contra Malware.

ASA FirePower

Para usar o módulo FirePower você precisa de um ASA da nova geração (tem o “X” no nome) com software 9.2.2 ou acima, e um módulo SSD, onde o FirePower é instalado. As funcionalidades são disponibilizadas através de licenças (L-ASA551X-TA para IPS e APP, L-ASA5512-TAC para IPS, APP e Filtro de URL, L-ASA551X-TAM, licença completa, com IPS, APP, URL e AMP – anti Malware).

Instalando o módulo FirePower

1) O primeiro passo é garantir que não há outro módulo de serviço habilitado no ASA.

asa#sw-module module ips shutdown
asa#sw-module module ips uninstall
asa#sw-module module cxsc shutdown
asa#sw-module module cxsc uninstall
asa#reload

2) Faça o download da imagem de boot do FirePower e envie para o ASA (extenção img, ex: asasfr-5500x-boot-5.3.1-152.img).

asa# copy tftp://<tftp-server>/asasfr-5500x-boot-5.3.1-152.img disk0:/ asasfr-5500x-boot-5.3.1-152.img

3) Aponte a imagem para o boot.

asa# sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-5.3.1-152.img

4) Inicie o módulo FirePower.

asa# sw-module module sfr recover boot

OBS: Você pode usar o comando debug module-boot para acompanhar a inicialização do módulo FirePower.

Após uns 15 minutos você deve ver uma mensagem “Cisco ASA SFR Boot Image 5.3.1”, indicando que o software está pronto.

5) Acesse o módulo FirePower (usuário e senha padrão abaixo).

asa# session sfr console
Opening console session with module sfr.Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123

6) Agora começa a configuração do módulo FirePower. Digite “setup” e forneça as informações solicitadas (hostname, IP, DNS e NTP Server)

asasfr-boot> setup
                         Welcome to SFR Setup
                          [hit Ctrl-C to abort]                        Default values are inside []

7) Faça o download e instale o FirePower (arquivo .pkg).

asasfr-boot> system install tftp://<tftp-server>/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting

Package Detail
        Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
        Requires reboot: Yes

Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process …
Populating new system image

Reboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.
(press Enter)

Pode demorar uns 10 minutos o reload do módulo.

8) Acesse o módulo FirePower novamente. Observe que agora o módulo está completamente funcional, e a senha é outra.

ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:admin
Password: Sourcefire

9) Complete o setup inicial.

System initialization in progress. Please stand by. You must change the password
for ‘admin’ to continue. Enter new password: novasenha
Confirm new password: novasenha
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.123.45.16
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 10.123.45.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.brainwork.com.br
Enter a comma-separated list of DNS servers or ‘none’ []: 10.123.45.20, 8.8.8.8
Enter a comma-separated list of search domains or ‘none’ [example.net]: brainwork.com.br
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run ‘configure network http-proxy’

10) Aponte a gerência (FireSight).

configure manager add 10.123.45.17 brainworkblog

Registrando o Módulo na Gerência e Direcionando o tráfego

1) Considerando que você já tem o FireSight instalado, configurado e com licenças disponíveis, vá em Devices > Device Management e clique Add > Add Device. Forneça as informações e então clique Register.

FireSight

 

2) Temos o módulo FirePower pronto e gerenciável. Vamos agora direcionar tráfego para inspeção. Acesse o ASA e insira os comandos abaixo.

access-list SFR_REDIRECT extended permit ip any any
class-map SFR
match access-list SFR_REDIRECT
policy-map global_policy
class SFR
  sfr fail-open

OBS: Neste exemplo todo o tráfego que passar pelo ASA será inspecionado.

Assim finalizamos a configuração inicial do módulo FirePower. Evidentemente é necessário configurar a Access Policy, onde habilitamos o IPS, Network Discovery, Filtro de URL, Anti Malware e demais funcionalidades.

FireSight

 

Links de referência:

  • Instalando FirePower Service Module (ASA5512 até ASA5555)
  • Configuração Inicial do FireSight
  • Registrando um Device no FireSight

Até a próxima.

Relacionado

Tagged under: FirePower, FireSight, IPS, NGFW, NGIPS, SourceFire

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

CCNA e CCNP Security e Wireless são atualizados
Cisco Site Survey Utility e Windows 7
Vulnerabilidade no Telnet afeta switches Cisco (e isso é o menos importante)

12 Comments to “ Configurando ASA FirePower (Startup)”

  1. Chupa Cabra says :
    11/03/2015 at 20:32

    Ótiimo post Andre, mas tenho 2 dúvidas:

    A nova verão do CCNP Security vai abordar sobre FirePower?
    É possível emular um FirePower no GNS3, assim como é possível emular um ASA no mesmo?

    Abraços

    1. André Ortega says :
      13/03/2015 at 09:53

      A certificação atual não aborda o FirePower, que deve ser incluído na próxima mudança.
      Não acho que seja possível emular o FirePower no GNS3. O FireSight, software que faz a gerência da solução pode ser instalado em uma máquina virtual, mas o FirePower não (por enquanto…).

  2. Crusier says :
    15/03/2015 at 02:48

    Ola André,

    Obrigado pelo post!! Tenho as duvidas abaixo, se puder responder agradeço.

    Para gerenciar o Firepower via GUI é obrigatório o software FireSight?? Não é possivel acessar via IP do Firepower, igual ao modulo CX ?

    Existe custo para usar o FireSight?

    Sabe dizer se o recente ASA5506, também será obrigatorio usar o FireSight?

    1. André Ortega says :
      16/03/2015 at 09:43

      Crusier, toda a configuração do FirePower é via FireSight, que tem sim custo (não é caro).
      O 5506 (ainda não vi…) permitirá a gerencia integrada, via ASDM.

      1. Ygor says :
        09/10/2015 at 00:30

        Amigo, a configuração dele pode ser realizada pelo ASDM também!

        1. André Ortega says :
          09/10/2015 at 14:23

          Sim.
          Note no entanto que na época ainda não havia sido lançado…

          1. Ygor says :
            09/10/2015 at 15:02

            Entendi, porém não mudou nada! A gerencia pelo ASDM é bem ruim! Apresenta alguns erros ainda! Acredito que pelo FireSight deva ser bem superior!

  3. André Ortega says :
    13/10/2015 at 10:45

    O Firesight é melhor mesmo.

  4. Clucas says :
    17/03/2016 at 09:12

    Excelente post!!! Parabéns! Sobre a virtualizar, sim, dá pra virtualizar o IPS e o FireSight. Tem as imagens OVA na Cisco. Roda tudo virtual.

  5. Carlos Ronald says :
    21/05/2016 at 19:15

    É muito legal o post. Eu uso o CX e é muito complexo.
    Vou instalar o Firepower e tirar o maior proveito.

    Obrigado André.

  6. Daniel Camargo says :
    18/09/2016 at 22:53

    Olá André.

    Estou tentando seguir o procedimento que está no seu post. Estou fazendo tudo remotamente via SSH. Mas surgiu um dúvida se no momento que eu dou o comando setup, tem problema se eu colocar um IP dentro da range da minha INSIDE? Por exemplo a minha range é 172.18.200.0/24 e daí eu configuro como gateway o IP 172.18.200.1, que é o IP da interface INSIDE que está configurado no ASA que eu tenho no meu ambiente e o ip do firepower ficou como 172.18.200.10, mas eu não consigo pingar o 172.18.200.1. Sabe me dizer o que há de errado?

    1. André Ortega says :
      19/09/2016 at 10:09

      Não tem problema Daniel. Este cenário que você descreveu está correto.
      Lembre-se que é necessário ter um cabo de rede conectado na porta management do ASA (o módulo utiliza esta porta), e ambos (inside e mgmt) estarem na mesma VLAN.
      E para responder ao ping o ASA tem que estar configurado para permitir icmp na interface.

POSTS RECENTES

  • Cisco invadida
    Cisco invadida
    11/08/2022
  • Cisco Secure Network Analytics (Stealthwatch)
    Cisco Secure Network Analytics (Stealthwatch)
    08/08/2022
  • Instalando certificado em roteador Cisco
    Instalando certificado em roteador Cisco
    07/07/2022
  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022

Tags

Firewall switch licença CCIE senha WLAN Controller IPS DHCP ACL Access-list EEM Brainwork Configuração Upgrade LAB WIFI VoIP FirePower CiscoChampion Wireless aniversário Sorteio WLC FMC VPN VMware certificação ISE policy-map Switches Cisco IPv6 SDWAN QoS Catalyst Vulnerabilidade Backup Roteador FTD PIX Meraki Segurança CCNA ASA IOS

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Cisco invadida brainwork.com.br/2022/08/11/c… #Ataque #Cisco_Invadida #Incidente

Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/c… #Stealtwatch

Triste realidade... Que atenção você da para seu IPS e demais soluções de monitoramento de rede? #ips #siem #logs pic.twitter.com/pfaffolRP4

Blog: Instalando certificado em roteador Cisco brainwork.com.br/2022/07/07/i… #Certificado #CiscoChampion #Root

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Seguir @brainworkblog
  1. André Ortega em Testando acesso com o Test-NetConnection (PowerShell)
  2. André Ortega em Alta utilização de CPU – Coletando logs com o Event Manager
  3. Jardel D'Oliveira em Alta utilização de CPU – Coletando logs com o Event Manager
  4. Bruno Veras em Testando acesso com o Test-NetConnection (PowerShell)
  5. André Ortega em Cisco Catalyst na dashboard Meraki
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Cisco invadida brainwork.com.br/2022/08/11/cis… #Ataque #Cisco_Invadida #Incidente
    about 13 horas ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP