(Like a monk)
Antes de mais nada, vamos relembrar os termos utilizados, já que tivemos algumas mudanças nos últimos anos.
-
ASA: Nome dos appliances criados já há alguns anos. Hoje temos a família 5500-X.
-
ASA OS: Sistema operacional que rodava originalmente nos appliances ASA. Tem funcionalidade de firewall e VPN basicamente.
-
Firepower: Novos appliances (série 2100, 4100 e 9300), onde podemos instalar o FTD ou mesmo o ASA OS.
-
FTD (Firepower Threat Defense): Novo software (NGFW/NGIPS), que pode ser instalado nos appliances Firepower ou nos ASA.
-
FMC (Firepower Management Center): Software para gerência dos appliances que rodam FTD. Pode ser um appliance físico ou virtual.
-
FDM (Firepower Device Manager): Software para gerência local dos appliances com FTD.
O Cisco ASA foi o firewall mais vendido do mundo, e por muitos anos fez muito bem seu papel. No entanto, com as novas tecnologias e ameaças, acabou ficando obsoleto. A Cisco então adquiriu a Sourcefire, e juntou as funcionalidades do software da Sourcefire com o ASA OS, criando o FTD.
Ainda existe um modelo “híbrido”, onde podemos ter em alguns appliances o ASA OS rodando junto com o Firepower Service Module, mas esta opção tente a deixar de existir com o tempo.
Felizmente esse novo software (FTD) pode ser instalado tanto nos novos appliances (Firepower) quanto nos velhos ASA5500X. E justamente por isso, é natural fazermos a troca do ASA OS para o FTD em algum momento.
Migrando ASA5515X para FTD
Este procedimento foi executado em um ASA5515X, mas com pequenas mudanças serve também para os demais modelos (ASA 5506-X, ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ISA 3000 e Firepower 2100).
1) Copie o arquivo de boot do FTD para o ASA, usando um TFTP Server (nos modelos ASA 5506-X, 5508-X, 5516-X, ISA 3000 é necessário usar a interface M1/1).
2) Apague todos os outros arquivos de boot do ASA, deixando apenas o que acabou de copiar.
3) Reinicie o ASA.
4) O ASA vai incializar com o novo arquivo de boot
5) Digite setup e faça a configuração básica para termos acesso ao FTP Server e então instalar o FTD.
6) Verifique a conectividade com o FTP Server.
7) Copie o FTD para o ASA e então reinicie o ASA.
8) O ASA vai inicializar com o novo software (FTD), e pedirá para que mude a senha e configure a rede.
9) Verifique a configuração.
10) Pronto. A partir daqui pode acessar a interface gráfica direto no ASA (FDM, imagem abaixo) ou registrar o ASA no FMC.
Importante:
-
Os modelos ASA 5506-X, ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ISA 3000 e Firepower 2100 suportam este procedimento. Os Firepowers 4100 e 9300, também podem ser convertidos, mas temos que usar outro procedimento.
-
Também é possível fazer o reimage através da rommon.
-
O arquivo de boot do FTD para ASA 5506-X, ASA 5508-X, ASA 5516-X e ISA 3000 tem a extensão .lfbff. Já os demais modelos usam um arquivo com extensão .cdisk.
-
Este processo apaga completamente as configurações do ASA. Será necessário a reconfiguração do equipamento.
-
Nos modelos ASA 5512-X até 5555-X o FTD deve ser instalado no SSD.
-
É necessário usar a rommon 1.8 ou superior antes de migrar para FTD.
-
Não dá para fazer o upgrade da rommon depois de fazer a mudança para FTD.
-
Também é possível fazer o processo contrário (equipamento com FTD voltar para ASA OS).
Mais informações aqui.
Até a próxima.
8 Comments
Boa tarde. André, espero que esteja bem cara. Obrigado por compartilhar o conhecimento!
consegue me tirar está duvida, estou com o 5515-x e quando tento fazer o procedimento, pede um hd, porém meu asa não tem hd, e vi que mencionou “Nos modelos ASA 5512-X até 5555-X o FTD deve ser instalado no SSD.” você possui este HD para vender? Você ainda considera um bom equipamento para proteger uma rede? Obrigado mais um vez pelo ótimo conteúdo.
Olá Luis,
Usando software FTD com as devidas licenças esses equipamentos tem bom nível de proteção.
Porém, esses hardware estão fora de linha, e não suportam as versões mais novas, então se fosse para investir seria melhor um hardware mais novo.
Com relação ao SSD, talvez encontre no Mercado Livre ou algum site do tipo.
Pelo amor de Deus cara, conseguem me arruma essa imagem ftd, não encontro em lugar nenhum.
Olá Luiz, você pode baixar do site da Cisco.
Não sei qual versão de software/modelo do seu equipamento, mas veja este link de exemplo.
https://software.cisco.com/download/home/286271171/type/286306337/release/6.4.0.16
ao fazer esse procedimento de upgrade, perde as licenças de VPN, Anyconnect.. entre outras ?
Olá Luiz, se você já usa o modelo mais novo de licenciamento, onde adiquiriu licenças de Anyconnect, não perde.
Se usa o modelo mais velho, que era atrelado a caixa, provavelmente precisará adquirir licenças novas.
Como consigo a imagem do FTD ? Qual o custo ?
Olá Robson,
você consegue baixar o software no site da Cisco, se tiver um contrato válido, sem custo.
Para usar IPS, filtro de URL e o AMP, ai precisa adquirir as licenças.