Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
Introducción
Cisco ofrece el
primer firewall de última generación (NGFW) del sector centrado en las
amenazas. Obtendrá la fiabilidad del stateful firewall más implementado junto
con control de aplicaciones, sistema de prevención de intrusiones (NGIPS) y
protección frente a malware avanzado (AMP).
Cisco Firepower Threat Defense es una imagen de
software unificada, que incluye las características de Cisco ASA y los
Servicios de FirePOWER. Este software unificado es capaz de ofrecer la función
de ASA y FirePOWER en una plataforma, tanto en términos de hardware como de
características de software. Este parece ser un buen enfoque adoptado por
Cisco, especialmente cuando la mayoría de los proveedores de cortafuegos de
próxima generación están ofreciendo soluciones de próxima generación en una
sola plataforma con una imagen unificada.
Funciones
Protección multicapa superior
El cliente
obtiene una mayor seguridad con el único NGFW que incluye un NGIPS
perfectamente integrado y protección frente a malware avanzado. Solo Cisco ASA
con FirePOWER Services ha obtenido la más alta puntuación en eficacia en seguridad
según pruebas realizadas por terceros en las que se detuvieron el 99,2 % de las
amenazas.
Administración simplificada y
menos costes
El cliente
obtiene una visibilidad a través del control de las actividades en su red.
Aumenta la visibilidad con respecto a usuarios, apps, dispositivos, amenazas,
archivos y vulnerabilidades. Extiende la protección desde el Data Center a los
dispositivos móviles. Todo esto es posible del Firepower Management Center.
Servicios de seguridad
unificados y automatización de tareas
El enfoque
integrado con respecto a la defensa contra amenazas reduce los costes de
capital y operativos así como la complejidad administrativa a través de la
conjunción de múltiples servicios de seguridad en una sola plataforma.
Automatice las tareas de seguridad para aumentar la agilidad y la velocidad de
la remediación.
Amplia variedad de tamaños y
formatos
Cisco tiene
lo que la plataforma necesita: Opciones independientes para pequeñas y medianas
empresas, appliances resistentes para entornos extremos, appliances medianos
para la seguridad en el perímetro de Internet y appliances de alto rendimiento
para los Data Centers de las empresas.
Paso a Paso:
Proceso
1: Configurando
Interfaz “Management”
Proceso
2: Configurando
lista “Management”
Proceso
3: Configurando
“Logging”
Proceso
4: Configurando
DNS
Proceso
5: Configurando
NTP
Proceso
6: Configurando
interfaces para tráfico de datos
Proceso
7: Configurando
zonas
Proceso
8: Configurando
geolocalización (opcional)
Proceso
9: Configurando
objetos
Proceso
10: Configurando
rutas
Proceso
11: Configurando
Policy- Reglas de traducción ip NAT/PAT
Proceso
12: Configurando
Policy- Reglas de Navegación
Proceso 1: Configurando Interfaz “Management”
Como se ha comentado, Firepower Threat Defense es
la unión de las operaciones del firewall tradicional ASA y el módulo sourcefire
en una sola entidad de operación y administración, todo bajo un entorno grafio
y vía web.
Paso
1: Una
vez realizado el ingreso a la interfaz administrativa vía web, Firepower Device Manager, hacer clic
sobre “Devices” y luego en la sección inferior izquierda sobre el link
“Management Interface”. Validar Figura1
Figura1.:
Configurando Interfaz “Management”
Paso 2: Ya
dentro de la ruta Device > System
Settings > Management Interface, seleccionar “Static” en el campo “Type” e ingresar la IP destinada a la interfaz
“management” en el campo “IP Address”, mascara de red en el campo “Network
Mask”, y puerta de enlace en el campo “Gateway”, (que en nuestro caso de ejemplo es la IP del
núcleo de red. Clic en Save. Validar Figura2.
Figura2.:
Configurando Interfaz “Management”- Ingresando valores
Proceso
2: Configurando lista “Management”
Paso 1: “Management List” define
las interfaces y protocolos que serán utilizadas para la administración de la
plataforma. En nuestro caso de ejemplo: Haga clics sobre agregar, representado
por el símbolo “+”.
Paso 2: Sobre
la ventanilla “Edit Management Access” opte por la interfaz “inside” en el campo “Interface”, “Http y Ssh” en el campo “Protocols” y “any-ipv4” en el campo “Allowed Network”. Clic en OK. Validar
Figura3.
Figura3.:
Configurando protocolos e interfaces de administrai[on
Paso 3: Después
de realizar la configuración, puede realizar un “Deploy” haciendo clic sobre el primer mas a la derecha del panel
superior derecho de la ventana de administración.
Paso 4: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuracion, utilice los comandos siguientes. Validar Figuras4 y 5:
>
show running-config | include http
>
show running-config | include ssh
Figura4.: Consulta
de protocolos y lineas de administración para http
Figura5.: Consulta
de protocolos y lineas de administración para ssh
Proceso 3: Configurando “Logging”
Paso 1: Navegue
a través de la ruta Device > System
Settings > Logging Settings.
Paso 2: Deslice
a la derecha el control “Diagnostic Log
Settings”.
Paso 3: Deslice
a la derecha el control “Console Filter”y
en el campo “Security” optar por “Information”.
Clic en SAVE. Validar Figura 6.
Paso 4: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuración, utilice los comandos siguientes. Validar Figura 7.
>
show running-config | include logging
Figura6.: Configurando
“Logging” – Filtro visible por consola
Figura7.: Consulta
de configuración vía ssh
Proceso 4: Configurando DNS
Paso 1: Navegue
a través de la ruta Device > System
Settings > DNS Server.
Paso 2:
Ingrese en los campos “Primary DNS IP Address” y “Secondary DNS IP Address”
disponibles en su entorno de red local, en todo caso, puede utilizar el botón
“Use OpenDNS” que automáticamente asignara en los campos anteriormente
mencionados las direcciones IP de los DNS primario y Secundarios de la
Plataforma OpenDNS y que están asociados al proyecto Cisco Umbrella y que se
alimenta de una de las bases de datos de seguridad más grandes del mundo que es
TALOS.
Paso 3: Agregar
el nombre la del dominio de la compañía en el campo “Domain Search Name” en el
caso de contar con DNS propios. Validar
Figura8.
Figura8.: Configurando
DNS
Proceso 5: Configurando NTP
Paso 1: Navegue
a través de la ruta Device > System
Settings > NTP.
Paso 2:
Ingrese en el campo “NTP Time Server” y opte por “Default NTP Time Server”, el cual asignará los servidores de
SourceFire (compañía adquirida por Cisco y del cual de deriva FirePower) como
fuente y sincronización NTP. En caso de ya poseer alguno local, entonces opte
por la configuración manual. Clic en SAVE. Validar Figura 9.
Paso 3: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuración, utilice los comandos siguientes. Validar Figura 10.
>
show ntp
Figura9.:
Configurando NTP
Paso 4: Es
muy probable que al consultar la hora del FTD no este sincronizada con la hora
regional. Consulte ejecutando el comando “show
time”.
Paso 5: De
ser así, entrar en el sistema firepower usando el comando “expert” e ingresar el comando siguiente, éste solicitará otorgar
credenciales de administrador, o en otras palabras, solicita la contraseña con
la que ha ingresado via SSH. Validar
Figura 11.
admin@firepower:~$
sudo cp /usr/share/zoneinfo/Etc/GMT-4
/etc/localtime
Figura11.:
Configurando NTP – Cambiando la zona horaria del sistema
Paso 6: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuración, utilice los comandos siguientes. Validar Figura 12.
admin@firepower:~$ date
> show time
Figura12.:
Configurando NTP – Cambiando la zona horaria del sistema
Proceso
6: Configurando interfaces para tráfico de datos
Paso
1: Habla
clic sobre el botón “Device”, y luego sobre “Enabled” en la sección derecha inferior denominada “Interface”,
como se muestra en la Figura 13.
Figura13.:
Configurando Data Interfaces
Paso 2: Según
diseño, en la siguiente ventanilla habla clic en “Edit” sobre la interfaz a configurar para interconexión con los
diferentes componentes del diseño. Validar
Figura 14.
Figura14.:
Configurando Data Interfaces – Boton Edit
Paso
3: En
la ventalla siguiente “Edit Physical Interface”,
colocar nombre a la interfaz sobre el campo “Interface Name”, editar el campo
“Description” con la descripción de la interfaz y deslizar hacia la derecha el
botón”Status”.
Paso 4: Sobre la misma ventana “Edit Physical Interface”, habla clic sobre la pestaña “IPv4
Address”, en el campo “Type” optar por “Static”
y edite los campos “IP Address and Subnet Mask” con los valores IP que
pertenecerán a la interfaz según diseño. Validar
Figura 15.
Paso
5: Habla
clic sobre la pestaña “Advanced Options” y modifique los valores de los campos
“MTU”, “Duplex” y “Speed” según su diseño. Haga clic en OK. Validar Figura 16.
Figura15.:
Configurando Data Interfaces – IPv4 Address
Figura16.: Configurando Data Interfaces – Advanced
Options
Paso
6: Repetir
con las interfaces restantes según diseño.
Paso 7: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuración, utilice los comandos siguientes. Validar Figura 17, 18 y 19.
Importante: Firepower Threat Defense no usa ni configura
los valores de la línea “security-level”, por ahora siempre tendrá el valor de
cero (0).
> show running-config interface
> show interface ip brief
> show interface [interface/Type] [interface/number]
Figura17.:
Consulta de configuración / running interface
Figura18.:
Consulta de configuracion / interface brief
Figura19.:
Consulta de configuracion / show interface
Proceso
7: Configurando zonas
Paso 1: Las
zonas de seguridad serán utilizadas en la edición de políticas de navegación y
restricciones de acceso. Navegue a través de la ruta Object > Object Type > Security Zones.
Paso 2: Haga
clic sobre “agregar”, representado por el símbolo “+”.
Paso 3: Sobre
la ventana emergente “Edit Sercurity Zones”, llene el campo “Name” por ejemplo
“inside_zone”, complete el campo
“Description” y haciendo clic sobre el símbolo “+”opte por la interfaz de
ingreso de solicitudes de navegación y acceso, en el ejemplo “inside”, Clic en OK. Validar Figura20.
Figura20.:
Editando zonas de seguridad
Paso
4: Repita
los pasos 2 y 3 a fin de crear una “outside_zone”.
Validar Figura 21.
Figura21.:
Editando zonas de seguridad, “outside_zone”
Proceso
8: Configurando geolocalización (opcional)
Paso 1: Navegue
a través de la ruta Object > Object
Type > Geolocations.
Paso 2: Haga
clic sobre “agregar”, representado por el símbolo “+”.
Paso 3: Emerge
en pantalla una ventanilla de nombre “Edit Geolocation”, allí llene el campo
“Name” con el nombre de la localidad o site de la compañía o cliente, al igual
que el campo “Description”. Haga clic sobre el símbolo “+” y agregue continente
o país donde se encuentre, campo “Continents/Countries”. Clic en OK. Validar
Figura 22.
Figura22.:
Editando “Geolocalización”
Proceso
9: Configurando objetos
Paso 1: Editar
objetos equivale en un firewall tradicional ASA a utilizar los comandos
“object”. Navegue a través de la ruta Object
> Object Type > Networks
Paso 2: Haga
clic sobre “agregar”, representado por el símbolo “+”.
Paso 3: Edite
sobre la ventana “Edit Network Object”. Validar
Figura 23
Figura23.:
Editando “objetos”
Proceso
10: Configurando rutas
Paso 1: Editar
rutas equivale en un firewall tradicional ASA a utilizar los comandos “route”.
Navegue a través de la ruta Device > Routing
> View Configuration. Validar
Figura 24.
Paso 2: Haga
clic sobre “agregar”, representado por el símbolo “+”.
Paso
3: Edite
sobre la ventana “Edit Static Route”. Allí serán utilizados los objetos creados
en el proceso 9, tanto en los campos “gateway” y “networks”. Opte por “IPv4” en el campo “Protocol”,
elija el siguiente salto destino de la ruta en el campo “Gateways”, escoja la
interfaz del firewall mas cercana al destino en el campo “interface”. Agregue
haciendo clic en el símbolo “+” las redes destino disponibles a través de éste
salto de red. Validar Figura 25.
Figura24.: Editando “rutas”
Figura25.:
Editando “rutas” - Detalles
Paso
4: Repetir
con las interfaces, redes y rutas restantes según diseño.
Paso 5: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuración, utilice los comandos siguientes. Validar Figura 25.
> show running-config route
> show route
Figura26.:
Consultando “rutas” - Detalles
Proceso
11: Configurando Policy- Reglas de traducción ip NAT/PAT
En
lo consecutivo se configurara un NAT por sobrecarga o PAT hacia la interfaz que
conecta con uno de los proveedores de servicio o ISP. Éste será utilizado por
uno de los grupos configurados anteriormente a fin de navegar a través de las
redes públicas.
Paso 1: Navegue
a través de la ruta Policies > NAT
Paso 2: Haga
clic sobre “agregar”, representado por el símbolo “+”.
Paso 3: Emerge
en pantalla una ventanilla de nombre “Edit Nat Rule”, allí llene el campo
“Title” con el nombre que haga mención a su finalidad (origen-destino por
ejemplo), en el campo “Create Rule for” optar por “Auto NAT”, activar el botón “Status”. Optar por “Dynamic” en el campo “Type”.
Paso 4: En la sección inferior y específicamente en la
pestaña “Packet Translation” optar por “Inside”
en el campo “Source Interface” y “outside_ccs_red”
(o el nombre que se le otorgo a la interfaz que se conecta con el ISP). Dejar
los demás campos con los valores por Default. Clic en “Ok”. Validar Figura 27.
Figura27.:
Editando “NAT” – Detalles
Paso 5: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuración, utilice los comandos siguientes. Validar Figura 28.
> show running-config nat
Figura28.: Consultando“NAT”
– Detalles
Proceso
12: Configurando Policy- Reglas de Navegación
En
lo consecutivo se configura una regla sencilla que va a permitir la navegación
directa de las redes y usuarios que
serán declarados.
Paso 1: Navegue
a través de la ruta Policies > Access
Control
Paso 2: Haga
clic sobre “agregar”, representado por el símbolo “+”.
Paso
3: Emerge
en pantalla una ventanilla de nombre “Edit Access Rule”, allí llene el campo
“Title” con el nombre que haga mención a su finalidad (origen-destino por
ejemplo), en la pestaña “Source/Destination” sección “SOURCE”, “Zones” optar
por “inside_zone”, en el campo
“Networks” optar por las redes a las cuales se les permitirá la navegación y
cuyos objetos han sido creados en procesos anteriores.
Paso
4: Sobre
la pestaña “Source/Destination” sección “DESTINATION”, “Zones” optar por “outside_zone”y sobre “Networks” optar
por “any-ipv4”. Clic en “OK”. Validar Figura 29.
Figura29.:
Editando “Access-Rules” – Detalles
Paso 5: Mediante
la consola de comandos, via ssh, puede validar la efectividad de la
configuración, utilice los comandos siguientes. Validar Figura 30.
> show running-config | include
access-list
Figura30.: Consultando“Access-Rules” – Detalles
Referencias
Cisco: Cisco Firepower Threat Defense Configuration
Guide for Firepower Device Manager, Version 6.2
