Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
Introducción
Cisco ofrece el
primer firewall de última generación (NGFW) del sector centrado en las
amenazas. Obtendrá la fiabilidad del stateful firewall más implementado junto
con control de aplicaciones, sistema de prevención de intrusiones (NGIPS) y
protección frente a malware avanzado (AMP).
Cisco Firepower Threat Defense es una imagen de software
unificada, que incluye las características de Cisco ASA y los Servicios de
FirePOWER. Este software unificado es capaz de ofrecer la función de ASA y
FirePOWER en una plataforma, tanto en términos de hardware como de
características de software. Este parece ser un buen enfoque adoptado por
Cisco, especialmente cuando la mayoría de los proveedores de cortafuegos de
próxima generación están ofreciendo soluciones de próxima generación en una
sola plataforma con una imagen unificada.
Funciones
Protección multicapa superior
El cliente
obtiene una mayor seguridad con el único NGFW que incluye un NGIPS
perfectamente integrado y protección frente a malware avanzado. Solo Cisco ASA
con FirePOWER Services ha obtenido la más alta puntuación en eficacia en seguridad
según pruebas realizadas por terceros en las que se detuvieron el 99,2 % de las
amenazas.
Administración simplificada y
menos costes
El cliente
obtiene una visibilidad a través del control de las actividades en su red.
Aumenta la visibilidad con respecto a usuarios, apps, dispositivos, amenazas,
archivos y vulnerabilidades. Extiende la protección desde el Data Center a los
dispositivos móviles. Todo esto es posible del Firepower Management Center.
Servicios de seguridad
unificados y automatización de tareas
El enfoque
integrado con respecto a la defensa contra amenazas reduce los costes de
capital y operativos así como la complejidad administrativa a través de la
conjunción de múltiples servicios de seguridad en una sola plataforma.
Automatice las tareas de seguridad para aumentar la agilidad y la velocidad de
la remediación.
Amplia variedad de tamaños y
formatos
Cisco tiene
lo que la plataforma necesita: Opciones independientes para pequeñas y medianas
empresas, appliances resistentes para entornos extremos, appliances medianos
para la seguridad en el perímetro de Internet y appliances de alto rendimiento
para los Data Centers de las empresas.
Para
migrar la imagen del ASA hacia el software Firepower Threat Defense, debe
acceder al indicador ROMMON. En ROMMON, debe usar TFTP en la interfaz de
administración para descargar la imagen de arranque de Firepower Threat
Defense; solo TFTP es compatible. La imagen de arranque puede descargar el
paquete de instalación del software del sistema Firepower Threat Defense usando
HTTP o FTP. La descarga de TFTP puede llevar mucho tiempo; asegúrese de tener
una conexión estable entre el ASA y el servidor TFTP para evitar la pérdida de
paquetes.
Paso 1: Para la descarga de software Firepower Threat Defense ingrese al portal https://software.cisco.com y seguir la ruta: Downloads Home > Products > Security > Firewalls > Next-Generation Firewalls (NGFW) > ASA 5500-X with FirePOWER Services. Una vez se encuentre en la ruta, obte por la opción y/o modelo de su Firewall y allí en nueva ventanilla haga click sobre Firepower Threat Defense Software. Validar Figura1.
Figura1.: Descarga
Software Firepower Threat Defense Software
Paso 2: Ubique
la última versión estable Firepower
Threat Defense tanto para la como para la imagen como para el archivo boot,
descargar ambas. Validar Figura2.
Figura2.:
Versiones recientes y estables
Paso 3: Mientras
se realiza la descarga, arranque el “firewall asa”, tómelo vía consola,
configure la interfaz que usará como “inside”. Ejemplo:
ciscoasa(config)#
interface GigabitEthernet0/0
ciscoasa(config-if)#
shutdown
ciscoasa(config-if)#
speed 1000
ciscoasa(config-if)#
duplex full
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)#
security-level 100
ciscoasa(config-if)#
ip address 192.168.2.129 255.255.255.0
ciscoasa(config-if)#
no shutdown
Paso 4: Arrancar
servicios TFTP y HTTP en algún
hardware y software disponibles. Por lo general cada ingeniero prefiere usar su
propio recurso. Este es el caso y se ha usado “SolarWinds TFTP Server” y “XAMPP”.
Validar Figuras 3 y 4
Figura3.:
Servicio “SolarWinds TFTP Server”
Figura4.:
Servicio “XAMPP”
Paso 5: Opcional:
ingresar los comandos de configuración de servidor tftp en la plataforma, donde
backup_asa_FQ corresponde al monbre.
Ejemplo:
ciscoasa(config)# tftp-server
inside 192.168.2.5 backup_asa_FQ
Paso 6: Ingresar
el comando backup en el modo de
configuracion global o privilegiado a fin de que se ejecute un “auto respaldo”.
Validar Figura5. Ejemplo:
ciscoasa(config)# backup /noconfirm
interface inside location disk0:
Figura5.: Ejecutando
“autorespaldo” para cisco asa
Paso
7: Una
vez finalizado el backup, ejecutar el comando “dir” a fin de verificar la existencia del archivo backup y luego
realizar una copia hasta el servidor tftp. Validar
Figura6.
Figura6.: Ejecutando
“dir” y copia el archivo backup hasta tftp
Paso
8: Descargadas
las imágenes, entonces disponerlas en las rutas locales que son utilizadas
tanto por el servicio TFTP como por el HTTP para compartir archivos. Validar Figuras 7 y 8.
Figura7.: Imagen “ftd-boot-9.8.2.3.lfbff”
dentro del directorio para transferencia del servicio TFTP
Figura8.: Imagen
“asafr-sys-6.2.0-362.pkg” dentro del directorio para transferencia del servicio
TFTP
Proceso
2: Preparando escenario - migración desde ASA hasta Firepower Threat Defense
Paso 1: Reinicie
el firewall, mediente el commando “reload”:
ciscoasa#
reload
Paso
2: Interrumpa
el reinicio utilizando las teclas “Esc”
y aparezca el indicador de ROMMON.
Paso
3: Conecte
una cable UTP desde el puerto “Management” del firewall hasta la PC. Realice configuración
manual de su adaptador local. Validar
Figura9.
Figura9.: Configuración
local del adaptador de red
Paso
3: En
el modo de ROMMON en la consola de firewall, ingrese los datos de conexión como
contraparte a lo configurado previamente en el PC. Importante: Una vez
ingresados los datos de conexión, estos aplican directamente sobre la interfaz
“Management”. Validar Figura10.
address 10.0.0.2
netmask 255.255.255.252
gateway 10.0.0.1
server 10.0.0.1
file ftd-boot-9.8.2.3.lfbff # este es el nombre de la imagen boot descargada desde
cisco.com
set
sync
tftpdnld
Figura10.: Configuración
local del adaptador de red para firewall ASA
Paso
4: Una
vez ejecutido el comando “tftpdnld”,
comenzara el proceso de descarga de la imagen boot desde el servidor tftp y su
instalación tal como muestra la Figura 11.
Figura11.: Descarga
e instalación de la imangen boot.
Paso
5: Ejecutar
el comando “boot”. Y luego
configurar los datos de conexión a la red dentro del módulo boot. Ejemplo:
Enter a hostname [ciscoasa]: ciscoasa
Do you want to configure IPv4 address on management interface?
(y/n) [Y]: Y
Do you want to enable DHCP
for IPv4 address… …interface management interface (y/n) [Y]: N
Enter an IPv4 address:
10.0.0.2
Enter the netmask:
255.255.255.252
Enter the gateway: 10.0.0.1
Do you want to configure
static IPv6 address on management interface? (y/n) [Y]: N
Enter the primary DNS ip
address: 10.0.0.1
Do you want to configure
Secondary DNS Server? (y/n) [n]: n
Do you want to configure
Local Domain Name? (y/n) [n]: n
Do you want to configure
Search domains? (y/n) [n]: n
Do you want to enable the
NTP service? (y/n) [n]: n
Paso
6: Una
vez ingresados los datos, el sistema realizara un resumen de los datos
ingresados, si son correctos responda con la letra “Y” a la pregunta que pide autorizar los cambios en el adaptador del
firewall. Ejemplo:
Apply the changes? (y/n) [Y]: Y
Figura12.: Configuración
del adaptador del firewall sobre imangen boot
Paso
7: Ahora
una vez configurado el adaptador y/o interfaz “management”, ejecutar pruebas de
comunicación entre el firewall y el servidor TFTP además de instalar la imagen Firewpower Threat Defense. Validar Figura13.
ciscoasa-boot> ping 10.0.0.1
ciscoasa-boot> system install noconfirm http://10.0.0.1/ftd-6.2.2-81.pkg
Do you want to continue? [y/N] y
Figura13.: Prueba de
comunicación e instalación del “FTD”
Paso 8: Una
vez finalizada la instalación el sistema solicitara credenciales de acceso,
mostrara el EULA. Validar Figura14.
Figura14.: Credenciales
sobre FTD y EULA
firepower login: admin
Password: Admin123
Paso 10: Aceptar
los términos y condiciones que explica el EULA colocando la palabra “YES” y agregar una nueva contraseña que
será utilizada en lo adelante. Volver a loguearse en el sistema, realizar la
configuración definitiva el adaptador de red interfaz “management”. Validar Figura15.
Do you want to configure IPv4? (y/n)
[y]: y
Do you want to configure IPv6? (y/n)
[n]: n
Configure IPv4 via DHCP or manually?
(dhcp/manual) [manual]:
Enter an IPv4 address for the management
interface [192.168.45.45]: 172.17.0.2
Enter an IPv4 netmask for the management
interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the
management interface [data-interfaces]: 172.17.0.1
Enter a fully qualified hostname for
this system [firepower]: firepower
Enter a comma-separated list of DNS
servers or 'none' [208.67.222.222,208.67.220.220]: 172.17.1.9,172.17.1.8
Enter a comma-separated list of search
domains or 'none' []: facilquimica.com
Manage the device locally? (yes/no) [yes]:
yes
Figura15.: Aceptando
EULA y asignando nueva contraseña
Paso
11: Realizada
la configuración y autorizada la administración local del sistema, ejecutar el
comando “show version”, abrir una
ventana de su navegador favorito e ingresar al URL de acceso al Firepower Threat Defense. Ejemplo y
Figura16 y 17:
Figura16.: Consulta “show version” sobre Firepower
Threat Defense
Figura17.: Apertura
del portal Firepower Threat Defense (IP del la interfaz Management)
Referencias
Cisco: Reimage the Cisco ASA or Firepower Threat
Defense Device. Last Updated: March 6, 2017.
No hay comentarios:
Publicar un comentario