Todos que trabalham com segurança sabem (ou deveriam saber) que em 2013 a Cisco comprou a SourceFire, o mais conceituado fabricante de IPS do mercado. Rapidamente a Cisco integrou a solução SourceFire ao ASA, sob o nome de FirePower.
Realmente esta aquisição/integração fez com que a solução de firewall da Cisco subisse de patamar, tornando o ASA um verdadeiro NGFW/NGIPS.
O ASA com FirePower é um next generation firewall e IPS, que possui Application and Visibility Control, Web Security e proteção contra Malware.
Para usar o módulo FirePower você precisa de um ASA da nova geração (tem o “X” no nome) com software 9.2.2 ou acima, e um módulo SSD, onde o FirePower é instalado. As funcionalidades são disponibilizadas através de licenças (L-ASA551X-TA para IPS e APP, L-ASA5512-TAC para IPS, APP e Filtro de URL, L-ASA551X-TAM, licença completa, com IPS, APP, URL e AMP – anti Malware).
Instalando o módulo FirePower
1) O primeiro passo é garantir que não há outro módulo de serviço habilitado no ASA.
asa#sw-module module ips shutdown
asa#sw-module module ips uninstall
asa#sw-module module cxsc shutdown
asa#sw-module module cxsc uninstall
asa#reload
2) Faça o download da imagem de boot do FirePower e envie para o ASA (extenção img, ex: asasfr-5500x-boot-5.3.1-152.img).
asa# copy tftp://<tftp-server>/asasfr-5500x-boot-5.3.1-152.img disk0:/ asasfr-5500x-boot-5.3.1-152.img
3) Aponte a imagem para o boot.
asa# sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-5.3.1-152.img
4) Inicie o módulo FirePower.
asa# sw-module module sfr recover boot
OBS: Você pode usar o comando debug module-boot para acompanhar a inicialização do módulo FirePower.
Após uns 15 minutos você deve ver uma mensagem “Cisco ASA SFR Boot Image 5.3.1”, indicando que o software está pronto.
5) Acesse o módulo FirePower (usuário e senha padrão abaixo).
asa# session sfr console
Opening console session with module sfr.Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
6) Agora começa a configuração do módulo FirePower. Digite “setup” e forneça as informações solicitadas (hostname, IP, DNS e NTP Server)
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
7) Faça o download e instale o FirePower (arquivo .pkg).
asasfr-boot> system install tftp://<tftp-server>/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
ExtractingPackage Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: YesDo you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.Upgrading
Starting upgrade process …
Populating new system imageReboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.
(press Enter)
Pode demorar uns 10 minutos o reload do módulo.
8) Acesse o módulo FirePower novamente. Observe que agora o módulo está completamente funcional, e a senha é outra.
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is ‘CTRL-^X’.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:admin
Password: Sourcefire
9) Complete o setup inicial.
System initialization in progress. Please stand by. You must change the password
for ‘admin’ to continue. Enter new password: novasenha
Confirm new password: novasenha
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.123.45.16
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 10.123.45.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.brainwork.com.br
Enter a comma-separated list of DNS servers or ‘none’ []: 10.123.45.20, 8.8.8.8
Enter a comma-separated list of search domains or ‘none’ [example.net]: brainwork.com.br
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run ‘configure network http-proxy’
10) Aponte a gerência (FireSight).
configure manager add 10.123.45.17 brainworkblog
Registrando o Módulo na Gerência e Direcionando o tráfego
1) Considerando que você já tem o FireSight instalado, configurado e com licenças disponíveis, vá em Devices > Device Management e clique Add > Add Device. Forneça as informações e então clique Register.
2) Temos o módulo FirePower pronto e gerenciável. Vamos agora direcionar tráfego para inspeção. Acesse o ASA e insira os comandos abaixo.
access-list SFR_REDIRECT extended permit ip any any
class-map SFR
match access-list SFR_REDIRECT
policy-map global_policy
class SFR
sfr fail-open
OBS: Neste exemplo todo o tráfego que passar pelo ASA será inspecionado.
Assim finalizamos a configuração inicial do módulo FirePower. Evidentemente é necessário configurar a Access Policy, onde habilitamos o IPS, Network Discovery, Filtro de URL, Anti Malware e demais funcionalidades.
Links de referência:
Até a próxima.
