Convertendo ASA OS para Firepower Threat Defense (reimage)

(Like a monk)

Antes de mais nada, vamos relembrar os termos utilizados, já que tivemos algumas mudanças nos últimos anos.

• ASA: Nome dos appliances criados já há alguns anos. Hoje temos a família 5500-X.
• ASA OS: Sistema operacional que rodava originalmente nos appliances ASA. Tem funcionalidade de firewall e VPN basicamente.
• Firepower: Novos appliances (série 2100, 4100 e 9300), onde podemos instalar o FTD ou mesmo o ASA OS.
• FTD (Firepower Threat Defense): Novo software (NGFW/NGIPS), que pode ser instalado nos appliances Firepower ou nos ASA.
• FMC (Firepower Management Center): Software para gerência dos appliances que rodam FTD. Pode ser um appliance físico ou virtual.
• FDM (Firepower Device Manager): Software para gerência local dos appliances com FTD.

O Cisco ASA foi o firewall mais vendido do mundo, e por muitos anos fez muito bem seu papel. No entanto, com as novas tecnologias e ameaças, acabou ficando obsoleto. A Cisco então adquiriu a Sourcefire, e juntou as funcionalidades do software da Sourcefire com o ASA OS, criando o FTD.

Ainda existe um modelo “híbrido”, onde podemos ter em alguns appliances o ASA OS rodando junto com o Firepower Service Module, mas esta opção tente a deixar de existir com o tempo.

Felizmente esse novo software (FTD) pode ser instalado tanto nos novos appliances (Firepower) quanto nos velhos ASA5500X. E justamente por isso, é natural fazermos a troca do ASA OS para o FTD em algum momento.

Migrando ASA5515X para FTD

Este procedimento foi executado em um ASA5515X, mas com pequenas mudanças serve também para os demais modelos (ASA 5506-X, ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ISA 3000 e Firepower 2100).

1) Copie o arquivo de boot do FTD para o ASA, usando um TFTP Server (nos modelos ASA 5506-X, 5508-X, 5516-X, ISA 3000 é necessário usar a interface M1/1).

2) Apague todos os outros arquivos de boot do ASA, deixando apenas o que acabou de copiar.

3) Reinicie o ASA.

4) O ASA vai incializar com o novo arquivo de boot

5) Digite setup e faça a configuração básica para termos acesso ao FTP Server e então instalar o FTD.

6) Verifique a conectividade com o FTP Server.

7) Copie o FTD para o ASA e então reinicie o ASA.

8) O ASA vai inicializar com o novo software (FTD), e pedirá para que mude a senha e configure a rede.

9) Verifique a configuração.

10) Pronto. A partir daqui pode acessar a interface gráfica direto no ASA (FDM, imagem abaixo) ou registrar o ASA no FMC.

Importante:

• Os modelos ASA 5506-X, ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ISA 3000 e Firepower 2100 suportam este procedimento. Os Firepowers 4100 e 9300, também podem ser convertidos, mas temos que usar outro procedimento.
• Também é possível fazer o reimage através da rommon.
• O arquivo de boot do FTD para ASA 5506-X, ASA 5508-X, ASA 5516-X e ISA 3000 tem a extensão .lfbff. Já os demais modelos usam um arquivo com extensão .cdisk.
• Este processo apaga completamente as configurações do ASA. Será necessário a reconfiguração do equipamento.
• Nos modelos ASA 5512-X até 5555-X o FTD deve ser instalado no SSD.
• É necessário usar a rommon 1.8 ou superior antes de migrar para FTD.
• Não dá para fazer o upgrade da rommon depois de fazer a mudança para FTD.
• Também é possível fazer o processo contrário (equipamento com FTD voltar para ASA OS).

Mais informações aqui.

Até a próxima.