(Like a monk)
Antes de mais nada, vamos relembrar os termos utilizados, já que tivemos algumas mudanças nos últimos anos.
-
ASA: Nome dos appliances criados já há alguns anos. Hoje temos a família 5500-X.
-
ASA OS: Sistema operacional que rodava originalmente nos appliances ASA. Tem funcionalidade de firewall e VPN basicamente.
-
Firepower: Novos appliances (série 2100, 4100 e 9300), onde podemos instalar o FTD ou mesmo o ASA OS.
-
FTD (Firepower Threat Defense): Novo software (NGFW/NGIPS), que pode ser instalado nos appliances Firepower ou nos ASA.
-
FMC (Firepower Management Center): Software para gerência dos appliances que rodam FTD. Pode ser um appliance físico ou virtual.
-
FDM (Firepower Device Manager): Software para gerência local dos appliances com FTD.
O Cisco ASA foi o firewall mais vendido do mundo, e por muitos anos fez muito bem seu papel. No entanto, com as novas tecnologias e ameaças, acabou ficando obsoleto. A Cisco então adquiriu a Sourcefire, e juntou as funcionalidades do software da Sourcefire com o ASA OS, criando o FTD.
Ainda existe um modelo “híbrido”, onde podemos ter em alguns appliances o ASA OS rodando junto com o Firepower Service Module, mas esta opção tente a deixar de existir com o tempo.
Felizmente esse novo software (FTD) pode ser instalado tanto nos novos appliances (Firepower) quanto nos velhos ASA5500X. E justamente por isso, é natural fazermos a troca do ASA OS para o FTD em algum momento.
Migrando ASA5515X para FTD
Este procedimento foi executado em um ASA5515X, mas com pequenas mudanças serve também para os demais modelos (ASA 5506-X, ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ISA 3000 e Firepower 2100).
1) Copie o arquivo de boot do FTD para o ASA, usando um TFTP Server (nos modelos ASA 5506-X, 5508-X, 5516-X, ISA 3000 é necessário usar a interface M1/1).
2) Apague todos os outros arquivos de boot do ASA, deixando apenas o que acabou de copiar.
3) Reinicie o ASA.
4) O ASA vai incializar com o novo arquivo de boot
5) Digite setup e faça a configuração básica para termos acesso ao FTP Server e então instalar o FTD.
6) Verifique a conectividade com o FTP Server.
7) Copie o FTD para o ASA e então reinicie o ASA.
8) O ASA vai inicializar com o novo software (FTD), e pedirá para que mude a senha e configure a rede.
9) Verifique a configuração.
10) Pronto. A partir daqui pode acessar a interface gráfica direto no ASA (FDM, imagem abaixo) ou registrar o ASA no FMC.
Importante:
-
Os modelos ASA 5506-X, ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ISA 3000 e Firepower 2100 suportam este procedimento. Os Firepowers 4100 e 9300, também podem ser convertidos, mas temos que usar outro procedimento.
-
Também é possível fazer o reimage através da rommon.
-
O arquivo de boot do FTD para ASA 5506-X, ASA 5508-X, ASA 5516-X e ISA 3000 tem a extensão .lfbff. Já os demais modelos usam um arquivo com extensão .cdisk.
-
Este processo apaga completamente as configurações do ASA. Será necessário a reconfiguração do equipamento.
-
Nos modelos ASA 5512-X até 5555-X o FTD deve ser instalado no SSD.
-
É necessário usar a rommon 1.8 ou superior antes de migrar para FTD.
-
Não dá para fazer o upgrade da rommon depois de fazer a mudança para FTD.
-
Também é possível fazer o processo contrário (equipamento com FTD voltar para ASA OS).
Mais informações aqui.
Até a próxima.
Como consigo a imagem do FTD ? Qual o custo ?
Olá Robson,
você consegue baixar o software no site da Cisco, se tiver um contrato válido, sem custo.
Para usar IPS, filtro de URL e o AMP, ai precisa adquirir as licenças.
ao fazer esse procedimento de upgrade, perde as licenças de VPN, Anyconnect.. entre outras ?
Olá Luiz, se você já usa o modelo mais novo de licenciamento, onde adiquiriu licenças de Anyconnect, não perde.
Se usa o modelo mais velho, que era atrelado a caixa, provavelmente precisará adquirir licenças novas.