A Cisco comprou a SourceFire em 2013 e rapidamente adicionou partes do software em seus produtos. Com relação a segurança a integração foi bem sucedida, mas na parte de funcionalidades e usabilidade a junção não fluiu muito bem.
Desde então a Cisco vem trabalhando para melhorar os produtos envolvidos nesta união, e com o nascimento do FTD – Firepower Treat Defense, tivemos uma primeira grande melhoria. A evolução continua a cada atualização, não na velocidade que gostaríamos, mas ainda assim tem andado.
Agora com o FMC – Firewall Management Center (ou SFMC – Secure Firewall Management Center) 7.0.0, acredito que temos um salto nesta evolução.
Se não estou enganado SFMC é o 5º nome para o mesmo produto: Defense Center > Firesight Management Center > Firepower Management Center > Firewall Management Center > Secure Firewall Management Center.
Novas funcionalidades (algumas muito esperadas) estão disponíveis, a performance do FTD deve melhorar, a dashboard está mais bonita e até achei que navegação pelas páginas do FMC está um pouco mais ágil.
Na hora de aplicar as configurações não vi muita diferença, mas apesar de estar usando a versão 7.0.0 no FMC o firewall que estou gerenciando ainda está na versão 6.6.1, então não sei se há melhora significativa quando ambos estão na nova versão.
Novas funcionalidades
A versão 7.0.0 foi lançada no fim de Maio e trouxe bastante novidades.
Nesta versão os appliances virtuais (FMCv, FTDv e NGIPSv) podem ser instalados no VMware vSphere/ESXi 7.0 (aliás, a única versão com suporte). E foi adicionado suporte para deployment em Cisco HyperFlex, Nutanix Enterprise Cloud e OpenStack.
Funções relacionadas a AVC, IPS (além do Snort 3) e VPN foram otimizadas, e com isso espera-se um ganho de até 30% na performance do FTD. Se isso for confirmado devemos ver atualizações dos números nos datasheets dos equipamentos, onde um Firepower que suportava 1 Gbps pode passar a suportar 1.3 Gbps apenas com o upgrade de software.
Veja outras melhorias:
VPN: A diferença de funcionalidades do FTD para o ASA-OS vai finalmente terminando. Na versão 7.0.0 voltamos a ter (sem usar FlexConfig) DAP, Load Balancing e autenticação com usuário local para VPN Remote-Access. Para VPN Site-to-Site podemos configurar túnel backup para VPN que usa VTI. E também é possível fazer o deploy seletivo de VPN Remote-Access e Site-to-Site (escolher quando fazer o deploy de cada item).
Snort 3: Firewalls instalados com FTD 7.0.0 já serão configurados com a nova versão do Snort, e devices que forem atualizados para a versão 7.0.0 tem a opção de migrar do Snort 2 para o Snort 3. O uso do Snort 3 trás melhorias de desempenho na inspeção do tráfego, e usa uma nova linguagem, mais fácil para escrever regras de IPS. Outra mudança está no update de assinaturas, que agora usa o LSP – Lightweight Security Package, ao invés do SRU. Um FMC 7.0.0 pode administrar Firewalls e IPS com ambas versões de Snort.
Dynamic Objects: Com a versão 7.0.0 é possível usar objetos dinâmicos (não estaticamente associados a um IP), que são aplicados imediatamente, sem necessidade de um deploy. Assim, se o IP mudar não é necessário alterar a regra/objeto, pois este é dinamicamente atualizado. Poderíamos, por exemplo, criar uma regra com base em tags definidas no vCenter, que seriam então mapeadas para IP no objeto (claro, desde que a VMware e/ou outros fabricantes aceitem a integração). Parecido com o que é feito com o ISE via PxGrid, mas agora não limitado a isso.
Unified Events: Finalmente! Agora podemos visualizar eventos do tipo Connection, File e IPS na mesma tela, e em real time (ou quase) facilitando muito a operação. Conta com opções de filtro e pesquisa na mesma página, o que ficou muito melhor do que era.
Upgrade: Foram feitas melhorias no processo de upgrade, incluindo um wizard que funciona para FTD a partir da versão 6.4.0. O passo-a-passo te guia pela cópia do arquivo, checagem de compatibilidade e upgrade. A atualização dos FTDs promete ser mais rápida, e conta com mensagens durante o processo, dando mais visibilidade ao que está sendo feito. O upgrade do FMC deve durar menos de 1h (fiz um, do 6.6.1 para o 7.0.0, que durou mais de 6h, mas pode ter sido por falta de recurso do servidor – estava com lentidão no disco).
Deployment: Agora é possível colocar uma descrição no deploy e pesquisar no histórico usando filtros. Também está disponível a opção rollback, com até 10 deployments. O rollback deve ser usado apenas em último caso, pois há parada no processamento do tráfego (se fez uma regra e se arrependeu, apenas remova a regra como sempre foi).
Unified Monitoring: Apesar de já estar disponível na versão 6.7, o Health Monitoring evoluiu e ganhou novos indicadores (status HA, estatísticas de VPN, status AMP, estatísticas de roteamento e outros). Dashboard importante, que além de mostrar a saúde dos equipamentos também mostra uma estimativa de quanto tempo de logs teremos, por categoria (Connection, IPS, File, SI, Malware).
Global Search: Agora é possível fazer um busca em todo o FMC, e assim encontrar rapidamente itens que façam parte de objetos, políticas ou qualquer outro elemento da interface gráfica.
Rest API: Mais de 60 novas API calls foram adicionadas. Isso significa que temos mais opções de uso via APIs.
Para ver todas as novas funcionalidades, acesse o Cisco Firepower Release Notes 7.0.0.
Compatibilidade
Esta nova versão de FMC pode ser instalada em appliances físicos e virtuais.
Hardware FMC platforms:
- FMC 1600, 2600, 4600
- FMC 1000, 2500, 4500
FMCv public cloud:
- FMCv for Amazon Web Services (AWS)
- FMCv for Microsoft Azure
- FMCv for Google Cloud Platform (GCP)
- FMCv for Oracle Cloud Infrastructure (OCI)
FMCv on-prem/private cloud:
- FMCv for Cisco HyperFlex
- FMCv for Kernel-based virtual machine (KVM)
- FMCv for Nutanix Enterprise Cloud
- FMCv for OpenStack
- FMCv and FMCv 300 for VMware vSphere/VMware ESXi 6.5, 6.7, or 7.0
E com o FMC 7.0.0, a versão mais velha de FTD que pode ser gerênciada é a 6.4.0.
Com relação os firewalls, apenas os appliances Firepower, ASA5508X e 5516X, e ISA3000 podem ser atualizados para o FTD 7.0.0.
Antes de instalar a nova versão, não deixe de ver a lista completa de itens relacionados a compatibilidade e o guia de instalação/atualização.
– Freshly Install the Software
Até a próxima.
