Usando o ASDM para controlar um módulo de FirePOWER no ASA

Documentos relacionados
Permita o acesso ao Internet para o módulo ips ASA 5500-X

Configurar a transmissão da porta da versão ASA 9.x com NAT

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

Configurar a interface de gerenciamento da defesa da ameaça de FirePOWER (FTD)

Reorientação do tráfego ISE no Catalyst 3750 Series Switch

Edição ASA 8.3: MSS excedido - Os clientes HTTP não podem consultar a alguns Web site

Configurar o Access point de pouco peso como um suplicante do 802.1x

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

ASA 8.x: Cisco ASA no modo de contexto múltiplo sincronizado com o exemplo de configuração do servidor de NTP

Configurar o Access point de pouco peso como um suplicante do 802.1x

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

RADIUS avançado para clientes PPP de discagem

Cisco FirePOWER pesquisa defeitos procedimentos de geração do arquivo

Configurar o proxy WebRTC com o CMS sobre Expressway com domínio duplo

Configurando a Autenticação de Requisições HTTP com o CE Executando o ACNS e o Microsoft Active Directory

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

Configurar o proxy WebRTC com o CMS sobre a via expressa com domínio duplo

Índice. Introdução. Pré-requisitos. Requisitos

Configurar para fixar um Switchport de Flexconnect AP com dot1x

Configurar um server público com Cisco ASDM

Sistema operacional elástico de FirePOWER (FXO) 2.2: Authentication e autorização do chassi para o Gerenciamento remoto com ACS usando o TACACS+.

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Como configurar um roteador Cisco atrás de um Cable Modem de terceiros

As conexões wireless da mobilidade falham e não recuperam quando o ASA é recarregado

Exemplo de configuração de autenticação de web externa com Wireless LAN Controllers

Configurar o 2.1 ISE e a verificação da postura USB de AnyConnect 4.3

Verifique a Conectividade do servidor Radius com comando dos radius AAA do teste

F0/5 S1 F0/6 R1 G0/ ND S1 VLAN PC-A NIC

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

PIX/ASA: Autenticação de Kerberos e de servidor de autorização LDAP grupos para usuários de cliente VPN através do exemplo de configuração ASDM/CLI

Configurando o modo seguro (do roteador) no módulo content switching

Compreenda e configurar o EAP-TLS usando WLC e ISE

Configurar a decriptografia de SSL no módulo de FirePOWER usando ASDM (o Gerenciamento da Em-caixa)

Aplicação do aprimoramento de recursos ASA SNMP

Configurar o WLC com autenticação LDAP para o 802.1x e o Web-AUTH WLAN

ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Configurar a integração do ative directory com o dispositivo de FirePOWER para Único-Sinal-em & autenticação portal prisioneira

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Troubleshooting da configuração da tradução de endereço de rede ASA

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Configurar o Concentradores Cisco VPN série 3000 para apoiar os recursos de expiração de senha de NT com o servidor Radius

As alterações de política do controle de acesso neste documento usam as seguintes plataformas de hardware:

Acesso de console a WLC através de CIMC

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Configurar o módulo CGM-SRV IOx em CGR1xxx

Túnel estabelecido L2TP entre uma máquina de Windows e um roteador Cisco

Packet Tracer - Conectar um roteador a uma LAN

Gerenciamento e Interoperabilidade de Redes Prof. João Henrique Kleinschmidt Prática Packet Tracer Configuração de switches e roteadores

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

Promovendo um FTD HA emparelhe em dispositivos de FirePOWER

Exclusão do EIGRP, do OSPF e dos mensagens BGP da inspeção da intrusão de FirePOWER

Configurando a autenticação radius por meio de Cisco cache engine

Configuração de WPA/WPA2 com chave précompartilhada:

Gerente de rede do centro de dados (DCNM) com backup da configuração de switch SFTP

Configurar o ASA para redes internas duplas

Mobilidade DHCP interno expresso

Instale e configurar um Módulo de serviços de FirePOWER em uma plataforma ASA

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Exemplo de Configuração de Ponto de Acesso como Ponte de Grupo de Trabalho

Configurando Modo de Roteador-config, Caractere Geral, Chaves Pré-compartilhadas, sem NAT

Monitoração do módulo de serviço do desabilitação no ASA para evitar os eventos indesejáveis do Failover (SFR/CX/IPS/CSC).

Exemplo de configuração da transmissão da Web do controlador do Wireless LAN

Pratica de Arquitetura DMZ. Cisco ASA 5505

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

Configurar capturas de pacote de informação em AireOS WLC

Configurando o balanceamento de carga do servidor IOS com provas HTTP no modo despachado

ASA 8.0: Configurar a autenticação RADIUS para usuários WebVPN

Configurar ISE 2.0: Autenticação TACACS+ e comando authorization IO baseados na membrasia do clube AD

Configurar o ASA 5506W-X com uma configuração não-padrão IP ou de vlan múltiplo

O discador BA não conecta com o CTI Server - ordem de associação NIC

Atribuição do grupo de política para os clientes de AnyConnect que usam o LDAP no exemplo de configuração dos finais do cabeçalho do Cisco IOS

As informações neste documento são baseadas nestas versões de software e hardware:

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Compreendendo e configurando o comando ip unnumbered

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

Laboratório - Uso do Wireshark para observar o handshake triplo do TCP

Conectividade do aplicativo de voz UC em um ambiente de VMware UCS

As informações neste documento são baseadas nestas versões de software e hardware:

Pesquisando defeitos a Conectividade CMX com WLC

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

CMX Social conectado das experiências, SMS e exemplo de configuração portal feito sob encomenda do registro

Configuração do Wide Area Network (WAN) em RV215W

Autenticação do web interna para o acesso do convidado no exemplo de configuração autônomo AP

Trabalho com captações e Pacote-projétil luminoso FTD

SSLVPN com exemplo de configuração dos Telefones IP

Configurando IPSec de IOS para IOS usando criptografia de AES

Cisco recomenda-o tem o conhecimento de controladores de LAN do Cisco Wireless

ASA 8.X: Distribuindo o tráfego SSL VPN com o exemplo em túnel da configuração de gateway de voz padrão

Este documento descreve o portal da configuração e do abastecimento do certificado do motor dos serviços da funcionalidade de identidade (ISE).

O ASA 8.4(x) conecta uma única rede interna ao exemplo de configuração do Internet

Promovendo um FTD HA emparelhe em dispositivos da potência de fogo

ASA/PIX: Configurar e pesquise defeitos o Reverse Route Injection (RRI)

Kerberos com ADFS 2.0 para o utilizador final SAML SSO para o exemplo de configuração do Jabber

Transcrição:

Usando o ASDM para controlar um módulo de FirePOWER no ASA Índice Introdução Componentes usados Pré-requisitos Arquitetura Operação de fundo quando um usuário conectar ao ASA através do ASDM Etapa 1 O usuário inicia a conexão ASDM Etapa 2 O ASDM descobre a configuração ASA e o IP do módulo de FirePOWER Etapa 3 O ASDM inicia uma comunicação para o módulo de FirePOWER Etapa 4 O ASDM recupera os itens de menu de FirePOWER Troubleshooting Ações recomendadas Originais relacionados Introdução Um módulo de FirePOWER que seja instalado no ASA pode ser controlado por qualquer um: Centro de gerenciamento de FirePOWER (FMC) Esta é a solução de gerenciamento da fora-caixa Security Device Manager adaptável (ADSM) Esta é a solução de gerenciamento da emcaixa O objetivo deste original é explicar como o software ASDM se comunica com o ASA e um módulo de software de FirePOWER instalados nele. Componentes usados Um host de Windows 7 ASA5525-X que executa o código ASA 9.6.2-3 Software ASDM 7.6.2.150 Módulo de software 6.1.0-330 de FirePOWER Pré-requisitos Configuração ASA para permitir o Gerenciamento ASDM: ASA5525(config)# interface GigabitEthernet0/0 ASA5525(config-if)# nameif INSIDE ASA5525(config-if)# security-level 100 ASA5525(config-if)# ip address 192.168.75.23 255.255.255.0 ASA5525(config-if)# no shutdown

ASA5525(config)# ASA5525(config)# http server enable ASA5525(config)# http 192.168.75.0 255.255.255.0 INSIDE ASA5525(config)# asdm image disk0:/asdm-762150.bin ASA5525(config)# ASA5525(config)# aaa authentication http console LOCAL ASA5525(config)# username cisco password cisco Adicionalmente, no ASA a licença 3DES/AES deve ser permitida: ASA5525# show version in 3DES Encryption-3DES-AES : Enabled perpetual Arquitetura O ASA tem 3 interfaces internas: asa_dataplane = é usado para reorientar pacotes do trajeto de dados ASA ao módulo de software de FirePOWER asa_mgmt_plane = é usado para permitir que a interface de gerenciamento de FirePOWER comunique-se com a rede cplane = relação plana do controle que é usada para transferir o Keepalives entre o ASA e o módulo de FirePOWER Você pode capturar o tráfego em todas as interfaces internas: ASA5525# capture CAP interface? asa_dataplane Capture packets on dataplane interface asa_mgmt_plane Capture packets on managementplane interface cplane Capture packets on controlplane interface O acima pode ser visualizado como segue:

Operação de fundo quando um usuário conectar ao ASA através do ASDM Considere a seguinte topologia Quando um usuário inicia uma conexão ASDM ao ASA os seguintes eventos ocorrerão: Etapa 1 O usuário inicia a conexão ASDM O usuário especifica o IP ASA usado para o Gerenciamento HTTP, incorpora as credenciais e inicia uma conexão para o ASA: No fundo um túnel SSL entre o ASDM e o ASA é estabelecido:

Isto pode ser visualizado como segue: Etapa 2 O ASDM descobre a configuração ASA e o IP do módulo de FirePOWER Permitir debuga HTTP 255 no ASA mostrará todas as verificações que estão feitas no fundo quando o ASDM conecta ao ASA: ASA5525# debug http 255 HTTP: processing ASDM request [/admin/exec/show+module] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+interface-mode] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+interface-mode' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+info] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+info' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+module+sfr+details] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module+sfr+details' from host 192.168.75.22 o módulo show = O ASDM descobre os módulos ASA os detalhes do sfr do módulo show = O ASDM descobrem os detalhes do módulo que incluem o IP de gerenciamento de FirePOWER O acima será visto no fundo como uma série de conexões SSL do PC para o IP ASA:

Etapa 3 O ASDM inicia uma comunicação para o módulo de FirePOWER Desde que o ASDM conhece o IP de gerenciamento de FirePOWER inicia sessões de SSL para o módulo: O acima será visto no fundo como conexões SSL do host ASDM para o IP de gerenciamento de FirePOWER: Isto pode ser visualizado como segue:

O ASDM autentica FirePOWER e um aviso da Segurança é mostrado desde que o certificado de FirePOWER auto-é assinado: Etapa 4 O ASDM recupera os itens de menu de FirePOWER Após a autenticação bem sucedida o ASDM recupera de FirePOWER os itens de menu:

As abas recuperadas: Igualmente recupera o artigo de menu de configuração ASA FirePOWER:

Troubleshooting Caso que o ASDM não pode estabelecer um túnel SSL com o IP de gerenciamento FP então carregará somente o seguinte item de menu de FirePOWER: O item de configuração ASA FirePOWER faltará também:

Ações recomendadas Verificação 1 Certifique-se de que a interface de gerenciamento ASA é ASCENDENTE e o switchport conectado a ele está no VLAN apropriado: ASA5525# show interface ip brief include Interface Management0/0 Interface IP-Address OK? Method Status Protocol Management0/0 unassigned YES unset up up Verificação 2 Certifique-se de que o módulo de FirePOWER está inicializado inteiramente, em serviço: ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: Model: Hardware version: Serial Number: FirePOWER Services Software Module ASA5525 N/A FCH1719J54R

Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true A5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show version --------------------[ FP5525-3 ]-------------------- Model : ASA5525 (72) Version 6.1.0 (Build 330) UUID : 71fd1be4-7641-11e6-87e4-d6ca846264e3 Rules update version : 2016-03-28-001-vrt VDB version : 270 ---------------------------------------------------- > Verificação 3 Verifique a conectividade básica entre o host ASDM e o IP de gerenciamento do módulo de FirePOWER usando ferramentas como o sibilo e o tracert/traceroute:

Verificação 4 Se o host ASDM e o IP de gerenciamento de FirePOWER são na mesma verificação da rede L3 a tabela ARP no host ASDM: Verificação 5 Permita a captação no dispositivo ASDM quando você conectar através do ASDM para ver se há uma comunicação apropriada TCP entre o host e o módulo de FirePOWER. No mínimo você deve ver: Aperto de mão da 3-maneira TCP entre o host ASDM e o ASA Túnel SSL estabelecido entre o host ASDM e o ASA Aperto de mão da 3-maneira TCP entre o host ASDM e o IP de gerenciamento do módulo de FirePOWER Túnel SSL estabelecido entre o host ASDM e o IP de gerenciamento do módulo de FirePOWER Verificação 6 Para verificar o tráfego a e do módulo de FirePOWER você pode permitir a captação na relação do asa_mgmt_plane. Na captação abaixo dela pode ser visto: Pedido ARP do host ASDM (pacote 42) Resposta ARP do módulo de FirePOWER (pacote 43) Aperto de mão da 3-maneira TCP entre o host ASDM e o módulo de FirePOWER (pacotes 44-46) ASA5525# capture FP_MGMT interface asa_mgmt_plane ASA5525# show capture FP_MGMT i 192.168.75.123

42: 20:27:28.532076 arp who-has 192.168.75.123 tell 192.168.75.22 43: 20:27:28.532153 arp reply 192.168.75.123 is-at 6c:41:6a:a1:2b:f2 44: 20:27:28.532473 192.168.75.22.48391 > 192.168.75.123.443: S 2861923942:2861923942(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK> 45: 20:27:28.532549 192.168.75.123.443 > 192.168.75.22.48391: S 1324352332:1324352332(0) ack 2861923943 win 14600 <mss 1460,nop,nop,sackOK,nop,wscale 7> 46: 20:27:28.532839 192.168.75.22.48391 > 192.168.75.123.443:. ack 1324352333 win 16695 Verificação 7 Verifique que o usuário ASDM tem o nível de privilégio 15. Uma maneira de confirmar isto é sendo executado debuga HTTP 255 ao conectar através do ASDM: ASA5525# debug http 255 debug http enabled at level 255. HTTP: processing ASDM request [/admin/asdm_banner] with cookie-based authentication (aware_webvpn_conf.re2c:444) HTTP: check admin session. Cookie index [2][c8a06c50] HTTP: Admin session cookie [A27614B@20480@78CF@58989AACB80CE5159544A1B3EE62661F99D475DC] HTTP: Admin session idle-timeout reset HTTP: admin session verified = [1] HTTP: username = [user1], privilege = [14] Verificação 8 Se entre o host ASDM e o módulo de FirePOWER há NAT para o IP de gerenciamento de FirePOWER então você necessidade de especificar o IP do NATed: Verificação 9 Certifique-se de que o módulo de FirePOWER não está controlado já pelo centro de gerenciamento de FirePOWER (FMC) porque nesse caso que FirePOWER cataloga no ASDM

falte: ASA5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show managers Managed locally. > Uma outra maneira: ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5525 Hardware version: N/A Serial Number: FCH1719J54R Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true Verificação 10 Verifique no guia da compatibilidade ASA que as imagens ASA/ASDM são compatíveis: http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html Verificação 11 Verifique no guia da compatibilidade de FirePOWER que o dispositivo de FirePOWER é compatível com a versão ASDM: http://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-compatibility.html

Originais relacionados Guia de início rápido do módulo de Cisco ASA FirePOWER ASA com o manual de configuração do gerenciamento local dos serviços de FirePOWER, versão 6.1.0 Guia do Usuário do módulo ASA FirePOWER para o ASA5506-X, o ASA5506H-X, o ASA5506W- X, o ASA5508-X, e o ASA5516-X, versão 5.4.1

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback