Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?

Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.

Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:

Функционал	Применение	Для чего нужен доступ к облачным сервисам
AMP for Networks	Management Center	Выполняет поиск диспозиции файла в облаке на основе хэш суммы.
Динамический анализ: отправка	FMC и SFR модуль	Отправляет файлы в облако Threat Grid для динамического анализа.
Динамический анализ: запрос	Management Center	Запрашивает оценку файловой угрозы у облака AMP, ранее представленной для динамического анализа облаку Threat Grid.
Обновление IPS сигнатур, VDB и GeoDB	Management Center	Загружает IPS сигнатуры, GeoDB или VDB на устройство.
Локальный анализ вредоносных программ и обновление сигнатур для предварительной классификации файлов	Management Center	Загружает обновления сигнатур для локальных механизмов анализа вредоносных программ и предварительной классификации.
Security Intelligence фильтрация	Management Center	Загружает данные службы Security Intelligence из внешних источников, включая предоставленные Cisco.
Обновление системы	FMC и SFR модуль	Загрузка обновлений системы непосредственно на устройство.
URL фильтрация	Management Center	Загружает данные о URL категориях и репутациях для ACP (Access Control Policy) и запрашивает неизвестные URL-адреса.

Рассмотрим работу некоторых технологий Firepower подробнее:

• URL фильтрация
  Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается.
  
• Проверка AMP
  Предположим на FMC настроена политика, которая производит динамический анализ файлов.
1. На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
2. Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
3. Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
4. TG проверяет его на наличие вредоносного кода.
5. После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
6. FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?

Для традиционной системы Cisco IPS необходимо обновление базы сигнатур сетевого взаимодействия известных видов атак и вирусов (червей). Для обновления базы сигнатур необходима подписка, получаемая в рамках сервисного контракта SmartNet IPS Svc. Подписка может быть на год, два или три года. Варианты уровней поддержки SmartNet для ASA IPS аналогичны с любыми другими SmartNet.

Для системы ASA CX, реализованной как виртуальный блейд на ASA 5500-X необходима подписка Cisco ASA 5500-X Series CX Subscriptions.

Для открытия функционала NG IPS в рамках функционала CX необходимо наличие подписки на NG IPS. Данную подписку можно заказать либо как дополнение к подпискам CX, либо как отдельный партномер (например, ASA5512-IP3Y=).

Для перенаправление трафика в облачный сервис ScanSafe необходима также соответствующая подписка.

Подробное описание данных подписок приводится в статье Лицензирование Cisco ASA 5500 в разделе Cisco ASA 5500-X Series CX Subscriptions and ScanSafe.

Открытие сервисов FirePOWER на Cisco ASA рассмотрено в рамках отдельного вопроса «Как запустить сервисы FirePOWER на ASA 5500-X?».

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?

Зависит от того, с каким типом вирусов хотим бороться. Если хотим бороться с вирусами типа «червь», то есть предотвращать распространение вирусного кода от инфицированной машины к незаражённым хостам, можно использовать ASA 5500-X с функционалом IPS. Система IPS также направлена на предотвращение других видов атак на корпоративную сеть, в том числе, на предотвращение DDOS атак.

Ранее МСЭ серии ASA5500-X предлагало два варианта IPS: традиционную систему Cisco IPS и Next Generation IPS (NG IPS), доступную в рамках функционала CX.

Начиная с августа 2014 года на межсетевых экранах ASA 5500-X стали доступны сервисы FirePOWER. Сервисы FirePOWER включают NG IPS от компании SourceFIRE, Application Visibility and Control (AVC), URL-фильтрацию и функционал Advanced Malware Protection (AMP). Функционал NG IPS от SourceFIRE является лучшим решением в области систем обнаружения и предотвращения вторжений на рынке ИБ по результатам рейтингового агентства Gartner, независимой лабораторией тестирования NSS Labs и других. Поэтому, на данный момент времени при необходимости запуска IPS на МСЭ Cisco ASA 5500-X, решение FirePOWER является предпочтительным. Более подробную информацию можно найти в вопросе «Как запустить сервисы FirePOWER на ASA 5500-X?».

IPS предполагает предотвращение вирусных атак типа «червь», то есть защищает от вирусов, проявляющих себя в сетевом взаимодействии, не даёт вирусному коду распространятся от зараженного устройства к другим компьютерам по корпоративной сети. Если же мы хотим бороться с проникновением вирусного кода на хосты за МСЭ из глобальной сети, например, в результате посещения вирусных сайтов, атак типа fishing, есть следующие варианты:

1. Блокировка «подозрительных» URL посредством функционала FirePOWER. В рамках функциональности URL-фильтрации есть возможность блокировать доступ как по категориям сайтов, так и по значениям репутаций сайтов.
2. Проверка файлов, пересылаемых через МСЭ ASA 5500-X на наличие вирусного кода, посредством функционала FirePOWER AMP. Более подробную информацию данному функционалу можно найти в вопросе «Что такое Advanced Malware Protection (AMP)?»

Для организации максимальной защиты корпоративной сети от внешних угроз средствами МСЭ Cisco ASA 5500-X рекомендуется использовать сервисы FirePOWER в максимальной возможной комплектации, а именно, NG IPS+URL-filtering+AMP.

В качестве альтернативного и более мощного решения для антивирусной защиты и зашиты от спама на периметре корпоративной сети рекомендуется ознакомиться с Web-шлюзом Cisco WSA (Web Security Appliance) и Email-шлюзом Cisco ESA (Email Security Appliance).

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Что такое Cisco Smart Software Licensing?

Cisco Smart Software Licensing – схема лицензирования продуктов Cisco, предоставляющая возможности по централизованному управлению лицензиями на ПО (приобретение, развертывание, контроль, отслеживание и т.п.) через портал Smart Software Manager. Основное направление этой схемы – это отказ от установки лицензионных файлов непосредственно на устройства. Вместо этого, на устройстве, достаточно будет активировать новую схему лицензирования и зарегистрировать его в Smart Software Manager, используя уникальный idtoken. Благодаря настроенной регистрации, устройство будет самостоятельно, раз в 30 дней, проверять актуальность активированных на нем лицензий. В случае невыполнения подтверждения актуальности лицензии (например, отсутствует доступ в интернет на устройстве) будет произведен «откат» на лицензии по умолчанию (например, актуально для ASAv), либо будет запущен «льготный» период на 90 дней, по завершению которого лицензии будут отозваны (например, актуально для сервисов Firepower). Доступ в интернет для устройства, с целью проверки лицензий, может быть реализован напрямую или с использованием HTTP прокси.

Для работы данной схемы лицензирования компания заводит Smart Account. Именно в нём происходит управление лицензиями.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Можно ли считать ASA5506 прямой заменой ASA5505?

Наиболее существенное функциональное отличие ASA5506 от ASA5505 заключается в отсутствии встроенного коммутатора. ASA5506 оснащена восемью маршрутизируемыми (L3) портами 1Гбит/с. Функция PoE также не доступна на ASA5506. Таким образом, для разворачивания минимальной инфраструктуры в офисе Cisco рекомендует использовать ASA5506 в паре с SMB коммутатором. Например, наиболее доступным вариантом может послужить использование неуправляемых гигабитных коммутаторов SG110D-08 и SG110D-05. Из-за отсутствия встроенного коммутатора ASA5506 не сможет послужить прямой заменой ASA5505 для некоторых инсталляций.

UPD 16-02-2017. При использовании программного обеспечения FTD 6.2, а также версии ASA OS 9.7.1 и выше, есть возможность использовать Integrated Routing and Bridging. Более того, для ASA5506 по умолчанию будет предоставляться конфигурация, в которой порт Ge1/1 – внешний интерфейс, а порты Ge1/2 – Ge1/8 объединены в Bridged-группу, то есть эмулируют аппаратный коммутатор. Таким образом, ASA5506 с указанным ПО сможет заменить ASA5505 без покупки дополнительного коммутатора.

ASA5506 построен на базе более производительной платформы. Оснащена более мощным процессором, 4 ГБ RAM и 8 ГБ flash-памяти. Кроме того, ASA 5506 имеет встроенный SSD диск, что позволяет разворачивать на устройстве сервисы FirePOWER без каких-либо дополнительный аппаратных средств. Наиболее значимые отличия можно свести в таблицу:

	ASA 5505 / Security Plus	ASA 5506 / Security Plus
Максимальная пропускная способность МСЭ	До 150 Мбит/с	До 750 Мбит/с
Встроенные интерфейсы	8 L2 интерфейсов 100 Мбит/с	8 L3 интерфейсов 1 Гбит/с
Поддержка PoE	Ethernet 0/6 и 0/7 поддерживают PoE	Нет
Сервисы FirePOWER	Нет	Платформа полностью готова для запуска сервисов FirePOWER Управление FirePOWER как с помощью ASDM, так и с помощью выделенной централизованной системы FireSIGHT При запущенных сервисах AVC+NGIPS+AMP производительность устройства составляет 40 Мбит/с
Максимальное количество одновременных сессий	10,000/25,000	20,000/50,000
Максимальное количество VPN-туннелей IPsec IKEv1	10/25	10/50
Максимальное количество подключений AnyConnect или безклиентских подключений	25	2/50
Максимальное количество поддерживаемых VLAN	3 (802.1q не доступен) / 20 (802.1q доступен)	5/30
Высокая доступность*	только Stateless Active/Standby Failover	Stateless так и Statefull Active/Standby Failover
Питание	AC/DC	только AC

* Режим Active/Active Failover не поддерживается обеими моделями

Хотелось бы отметить два наиболее важных отличия в схемах лицензирования. Первое – в отличие от ASA5505, новая модель ASA5506 поставляется без ограничений на подключаемых пользователей. Второе отличие связано c Security Plus лицензией. Для ASA5505 без Sec Plus мы имели только 3 Vlan, и, следовательно, 3 маршрутизируемых интерфейса. При этом, третий Vlan и интерфейс был функционально ограничен – трафик третьего интерфейса мог инициировать сессии в сторону только одного соседнего интерфейса. В сторону второго соседнего интерфейса идти не мог. Таким образом, для реализации полноценного DMZ на ASA5505 требовалась Sec Plus лицензия. Новая модель ASA5506 оснащена восемью полноценными маршрутизируемыми интерфейсами и поддерживает до 5 Vlan в базовой лицензии. Таким образом, базовая лицензия позволяет задействовать все восемь физических L3 интерфейсов и сконфигурировать до пяти логических субинтерфейсов. Всего можно настроить и маршрутизировать 13 подключенных непосредственно IP-подсетей.

ASA5506 имеет две особые модификации: ASA 5506W – со встроенной точкой доступа и ASA 5506H – в защищенном исполнении.

На данный момент времени (декабрь 2015) информация о планах завершения продажи/поддержки (End-of-Sale, End-of-life) для модели ASA 5505 не поступала со стороны производителя.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Каковы особенности новых моделей Cisco ASA 5506-X, 5508-X и 5516-Х?

В апреле 2015 года компания Cisco анонсировала пять новых моделей Cisco ASA: 5506-X, 5506W-X, 5506H-X, 5508-X и 5516-X.

Отличительной особенностью всех указанных моделей является наличие встроенного SSD-диска, который позволяет сразу запускать FirePOWER Services, т.е. весь расширенный функционал – NGFW, NGIPS, URL-фильтрация, AMP и т.д. Сервисы FirePOWER могут быть настроены из встроенной консоли управления ASDM. Однако наличие отдельных Defence Center для новых моделей Cisco ASA требуется для выполнения некоторого функционала, в частности, для построении отчётов. Особенности каждой модели представлены в таблице ниже:

Cisco ASA 5506-X	Cisco ASA 5506W-X	Cisco ASA 5506H-X	Cisco ASA 5508-X	Cisco ASA 5516-X
Более производительная замена ASA 5505. Для новой модели 5506-Х, в отличие от 5505, отсутствуют лицензии на количество пользователей.	ASA 5506-X с интегрированной точкой доступа Cisco AP702i.	ASA 5506-X в защищенном исполнении для индустриальных и промышленных предприятий. Рабочие температуры -20 – 60 С, IP40.	Более производительная замена ASA 5512-X.	Более производительная замена 5512-X и 5515-Х.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Что такое Advanced Malware Protection (AMP)?

С приобретением SourceFire компания Cisco Systems получила доступ к новому функционалу обеспечения информационной безопасности – Advanced Malware Protection (AMP).

AMP – это платформа для борьбы с вредоносным кодом. Защита AMP может быть реализована в трёх точках:

• на конечном оборудовании – AMP for endpoint (SourceFire FireAMP);
• на устройствах контентной безопасности Cisco IronPort Email Security Appliance и Cisco IronPort Web Security Appliance – AMP for Content;
• на сетевом оборудовании – AMP For Networks.

Последний вариант исполнения реализуется путём установки специализированного высокоскоростного шлюза для борьбы с вредоносным кодом. Данный шлюз может являться отдельным устройством или модулем для межсетевых экранов и систем предотвращения вторжений нового поколения. Модельный ряд устройств AMP For Networks представлен на рисунке ниже:

Основная задача AMP – проверка файла, пересылаемого через сетевое устройство и/или записываемого на конечное оборудование, на наличие вредоносного кода. С распространяемого в сети файла снимается хэш SHA-256 и отправляется на Defense Center. Далее FirePOWER Management Center перенаправляет в облако SourceFire VRT (Vulnerability Research Team) для определения его диспозиции (содержит вредоносный код или нет) по имеющейся базе данных сигнатур.

Если диспозиция файла не может быть установлена, файл перенаправляется в облачную песочницу, где осуществляется запуск файла в виртуально среде и анализ его поведения (генерируемый сетевой трафик, создаваемые процессы и т.д.). На основании результатов тестирования определяется уровень опасности данного файла.

Главной особенностью платформы AMP является возможность ретроспективного анализа, то есть обеспечение защиты не только до момента атаки или во время атаки, но и после её прохождения. Вредоносный код может проникнуть за периметр корпоративной сети по многим причинам: не появилась вовремя сигнатура новой угрозы, опасность не была обнаружена при запуске в песочнице, так как применялись техники отложенного запуска, вредоносный код был занесён на конечное устройство с флешки и т.д.). При использовании системы AMP можно отследить все пути распространения файла в сети, и, при появлении сигнатур, указывающих на вредоносность данного файла, заблокировать файл на сетевом уровне. Если используется FireAMP, вредоносный код может отслеживаться и быть заблокирован также и на уровне конечного оборудования.

За основу ответа были взяты материалы Казакова Дмитрия и Алексея Лукацкого - сотрудников компании Cisco.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco FirePOWER?

Существуют следующие варианты управления:

• ASA CLI – классическая командная строка Cisco ASA.
• ASDM – графический интерфейс для управления Cisco ASA и частично сервисами FirePOWER, запущенными на Cisco ASA.
• FMC (FirePOWER Management Center) – бывший Defence Center или FireSIGHT. Отдельно стоящая система управления решениями FirePOWER, включая FirePOWER Threat Defence.
• FDM (FirePOWER Device Manager) – новейшая легковесная система управления, которая работает «из коробки», то есть по умолчанию встроена в образ FirePOWER Threat Defence.

Некоторые системы управления для некоторых вариантов программного обеспечения предоставляют ограниченные возможности настройки. Например, для ASA с сервисами FirePOWER с помощью ASDM можно настраивать полный функционал ASA, но ограниченный функционал FirePOWER (подробнее).

Устройства и соответствующие им варианты систем управления удобно представить в табличном виде. Обозначения в таблице:

• ASA + полное управление ASA;
• ASA ± ограниченное управление ASA;
• ASA – управление ASA невозможно;
• FP + полное управление сервисами FirePOWER;
• FP ± ограниченное управление сервисами FirePOWER;
• FP – управление сервисами FirePOWER не возможно.

	ASA CLI	ASDM	FMC	FDM
Cisco ASA5500-X + FirePOWER Services	ASA + FP -	ASA + FP ±	ASA – FP +	-
Cisco ASA5500-X FTD image	-	-	ASA ± FP +	ASA ± FP ±
Cisco ASA5585 + FirePOWER Services	ASA + FP -	ASA + FP ±	ASA – FP +	-
Cisco FirePOWER серии 2100 FTD image	-	-	ASA ± FP +	ASA ± FP ±
Cisco FirePOWER серии 4100/9000 FTD image	-	-	ASA ± FP +	-
Cisco FirePOWER серии 7000 и 8000	-	-	FP +	-

Замечание 1: ячейки таблицы, в которых отсутствуют красные поля, описывают единую систему управления. То есть настройка как сервисов ASA, так и сервисов FirePOWER может осуществляться из единой консоли управления. Единые системы управления:

• ASDM - полная ASA, частичная FirePOWER;
• FMC - частичная ASA, полная FirePOWER, должен использоваться софт FTD;
• FDM – частичная ASA, частичная FirePOWER, должен использоваться софт FTD.

Замечание 2: в таблице отсутствуют полностью зелёные ячейки. То есть, любая единая система управления на настоящий момент имеет некоторые ограничения.

Замечание 3: если требуется управлять как ASA, так и сервисами FirePOWER без ограничений, на данный момент необходимо использовать различный варианты управления: CLI или ASDM для ASA и FMC для сервисов FirePOWER.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Какие варианты операционных систем используются на решениях Cisco ASA и Cisco FirePOWER?

Решения Cisco ASA5500-X и новейшие решения Cisco FirePOWER серии 2100/4100/9000 входят в нишу сразу двух класс устройств: межсетевой экран нового поколения (NGFW) и система предотвращения вторжений нового поколения (NGIPS).

Наследственные решения Cisco FirePOWER серии 7000 и 8000 позиционируются в классе NGIPS. Существует несколько вариантов программного обеспечения, которые могут быть запущены на перечисленных платформах:

• ASA OS – классическая операционная система ASA.
• FirePOWER Services on ASA – программный модуль FirePOWER для Cisco ASA.
• FirePOWER NGIPS – классическая операционная система IPS-сенсора FirePOWER.
• FirePOWER Treat Defence (FTD) – консолидированная операционная система включающая в себя как функциональность ASA, так и модуля FirePOWER для Cisco ASA.

Устройства и соответствующие им варианты программного обеспечения удобно представить в табличном виде:

	Cisco ASA5500-X	Cisco ASA5585	Cisco FirePOWER серии 2100/4100/9000	Cisco FirePOWER серии 7000 и 8000
ASA OS	+	+	+	-
FirePOWER Services on ASA	+	+	-	-
FirePOWER NGIPS	-	-	-	+
FirePOWER Treat Defence (FTD)	+	-	+	-

Замечание 1: помимо перечисленных решений Cisco для классов NGFW и NGIPS существуют также виртуальные решения для VMWare, KVM и AWS: NGFW Virtual на базе FTDv, NGIPS Virtual Appliance. Кроме того виртуальное решение FTDv может быть запущено на базе UCS E-Series блейд-серверов, которыми могу быть укомплектованы маршрутизаторы ISR G2 и ISR4K. Таким образом, функциональность FirePOWER может быть добавлена в том числе и на маршрутизаторы Cisco.

Замечание 2: Cisco FirePOWER серии 2100/4100/9000 используют операционную систему Cisco Firepower eXtensible Operating System (FXOS) как оркестратор и для низкоуровневого управления шасси. ASA OS или FTD являются гостевыми операционными системами относительно FXOS.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

FirePOWER Management Center 6.2. Что нового?

FirePOWER Management Center (FMC, предыдущие названия Defence Center, FireSIGHT) – система управления решениями FirePOWER.

Версия FMC 6.2 стала доступна в начале 2017 года.

Среди наиболее заметных нововведений:

• Поддержка TS Agent. Это агент для терминальных серверов, которые поможет с аутентификацией пользователей. Подробнее можно почитать в нашем блоге на хабре – ссылка.

Другие важные доработки касаются в основном FirePOWER Threat Defence (FTD - что это такое?):

• Поддержка удобнейших инструментов Cisco ASA – Packet Tracer и Packet Capture. Packet Tracer запускает прохождение виртуального пакета с задаваемыми характеристиками через FTD. Позволяет проверять корректность настроек: будет ли пакет пропущен или отброшен, если отброшен, то каким правилом, какой выходной интерфейс будет выбран, какое правило NAT отработает и т.д.
  
  Packet Capture позволяет захватывать определяемые шаблоны трафика. Крайне удобно в процессе отладки. Например, можно понять, блокируются ли пакеты нашим устройством, или они даже не доходят до него.

• Integrated Routing and Bridging (IRB). Теперь можно объединить физические L3 интерфейсы в bridge-группу. То есть, интерфейсы будут делать L2-switching и могут быть помещены в один vlan. Это крайне полезно в первую очередь для ASA5506, у которой 8 физических L3-инетфейсов. Теперь при установке ASA5506 в миниофисе нет необходимости докупать дополнительный коммутатор.
• Site-to-Site VPN. Поддержка Site-to-Site IPsec была внедрена уже в версии 6.1. Но в той версии VPN можно было настроить только между двумя ASA (с софтом FTD или с обычным софтом). VPN между ASA и маршрутизатором не поддерживался. Авторизация VPN точек поддерживалась только по PSK. В версии 6.2 добавили аутентификацию по сертификатам, вместе с этим стал работать IPsec c маршрутизаторами.
• URL Lookups. Часто встаёт вопрос, где посмотреть, будет ли знать FirePOWER категорию и репутацию того или иного сайта. Ранее, для этого необходимо было вручную проверять каждый URL через сайт brightcloud (http://www.brightcloud.com/tools/url-ip-lookup.php ). Теперь это можно сделать непосредственно через FMC сразу для нескольких URL:


• FlexConfig. Позволяет деплоить с помощью FMC некоторые шаблоны CLI-команд ASA. FlexConfig помогает, если на ASA с софтом FTD нужно использовать функциональность, который пока не возможно настроить через FMC. Например:
  • Routing (EIGRP, PBR, and IS-IS);
  • Netflow (NSEL) export;
  • WCCP;
  • И т.д.
• Remote Access VPN (с версии 6.2.3). Появилась возможность использовать Cisco AnyConnect для удалённого подключения через протокол SSL или IPsec IKEv2.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Что такое Firepower Threat Defense?

Firepower Threat Defense (FTD) – это новый образ программного обеспечения для Cisco ASA 5500-X и нового модельного ряда устройств Firepower 2100/4100/9300. FTD включает в себя классическое ПО Cisco ASA и ПО модуля Firepower, а управление и тем и другим происходит через Firepower Management Centre (FMC). Таким образом мы получаем единую консоль для централизованного управления сервисами Firepower и функционалом Cisco ASA. Однако, на настоящий момент (март 2017, FTD версии 6.2), значительным ограничением на классический функционал Cisco ASA является отсутствие возможности по настройки Remote Access VPN, в частности нельзя настроить Anyconnect.

Помимо доступа через FMC, на FTD можно попасть и через CLI по SSH. В CLI отсутствует возможность по настройке устройства, но присутствуют команды для мониторинга и траблшутинга. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п.

Ещё одним вариантом управления FTD является «on-board» система FirePOWER Device Manger. Это легковесная система управления, встроенная в образ FTD. Обеспечивает базовые настройки устройства и предлагаем необходимый минимум для запуска устройства в небольшом офисе/филиале.

FTD так же доступен в виде виртуальной машины – vFTD. В этом случае, функции Cisco ASA выполняет ASAv30, сравнимая по производительности с Cisco ASA 5525-X.

Лицензирование FTD, в любых исполнениях, выполняется по новой схеме – Cisco Smart Software Licensing.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

В чём отличие между использованием ASDM и FirePOWER Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?

С выходом версии FirePOWER 6.0.0.0 появилась возможность управления FirePOWER с помощью стандартного графического интерфейса Cisco ASA ASDM на всех моделях Cisco ASA серии 5500-X. До этого сервисы FirePOWER на моделях Cisco ASA 5512, 5515, 5525, 5545 и 5555 можно было настраивать только с помощью выделенной системы управления FirePOWER Management Center (далее FMC, другие названия Defence Center, FireSIGHT).

Однако, на настоящий момент времени (март 2016) ASDM имеет некоторые ограничения при настройке и управлении FirePOWER, по сравнению с FMC. Перечислим наиболее существенным ограничениям ASDM:

1. Не поддерживается функциональность Network Discovery (автоматическое обнаружение хостов в сети, составление профилей для каждого обнаруженного хоста, включающего ОС хоста, пользователей хоста, открытые порты, индикаторы компрометации, уязвимости и т.д).
2. Не поддерживается функциональность Next Generation IPS. Так как нет возможности обнаружения хостов в сети и составление профилей хостов (см. пункт 1), поддерживается только классический IPS.
3. Не поддерживается автоматическое создание политик IPS. Требуемые для защиты сети сигнатуры IPS необходимо включать вручную. В то время как при использовании FMC система автоматически генерирует политики IPS (FireSIGHT Recommendations) на основании информации о сети, профилей хостов, сетевых транзакций, корреляции и т.д.
4. Не поддерживается автоматизация обработки событий IPS. Не поддерживается автоматическое составление индикаторов компрометаций, корреляция событий, определение релевантности сигнатур атаки в соответствии с контекстом.
5. Не поддерживается динамический анализ файлов в рамках функциональности Advanced Malware Protection (AMP), т.е. отправка всего файла в облако для расширенного анализа в файловой
6. Не поддерживается захват файлов.
7. Система построения отчётов. ASDM ограничен по возможности построения отчётов по сравнению с FMC. Кроме того, нет возможности экспортировать отчёты в разных форматах (HTML, PDF, CSV).

Управление сервисами FirePOWER на Cisco ASA через ASDM идеально подходит при использовании Cisco ASA в небольших офисах для подключения к Сети Интернет, когда основная задача сводится к настройке функциональности межсетевого экрана нового поколения (NGFW). ASDM предоставляет всё необходимое, чтобы настроить ограничения доступа к сайтам по категориям, ограничения по использованию Интернет-приложений (Skype, Torrent, TeamViewer), реализации политик на основании информации из MS Active Directory, ограничения по скачиванию выгрузки файлов. При этом, ASDM предоставляет средства отчётности начального уровня в виде преднастроенных панелей (Dashboards), на которые выводятся виджеты, отображающие необходимую информацию.

Наличие выделенной системы управления FMC требуется в случаях, когда необходимо обеспечить сервисы «продвинутой» безопасность для корпоративной сети. В частности, при необходимости запуска сервисов системы предотвращения вторжений нового поколения (NGIPS) настоятельно рекомендуется использование FMC. Кроме того, FMC необходим, когда существуют требования к созданию настраиваемых отчётов различного уровня сложности. Например, отчёты по посещению Интернет-ресурсов для конкретных пользователей, отчёты по загрузке Интернет-каналов различными Интернет-приложениями и т.д.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Как запустить сервисы FirePOWER на ASA 5500-X?

Начиная с августа 2014 года сервисы SourceFire стали доступны на межсетевых экранах ASA 5500-X в виде виртуального блейда. В сентябре 2014 года согласно отчёту рейтингового агентства NSS Labs межсетевой экран Cisco ASA с сервисами FirePOWER стал лучшим межсетевым экраном нового поколения (NGFW), среди всех протестированных решений (Palo Alto, Check Point, McAfee, Fortinet и др.).

Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:

1. Наличие SSD-диска на Cisco ASA. Если в наличие уже имеется Cisco ASA, SSD-диск можно заказать отдельным парномером ASA5500X-SSD120=. Модели ASA5506, 5508 и 5516 оснащены SSD-диском по умолчанию.
2. Версия программного обеспечения ASA начиная с версии 9.2.2.
3. Наличие SmartNet для соответствующей модели, покрывающего сервисы FirePOWER. Например: CON-SNT-A12FPK9.
4. Наличие позиции Control License. Данная позиция является бесплатной, однако должна быть включена в спецификацию. Пример партномера: ASA5516-CTRL-LIC. Control License позволяет применять правила контроля доступа (разрешение/запрет) для пользователей и приложений. Например, запретить доступ для приложения Skype. Запретить пользователю доступ на конкретный URL (для работы с категориями URL, а также репутациями требуется лицензия URL). И пр.
5. Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:
   
   
   Где IPS (также называется Protection) – система предотвращения вторжений, файловый контроль (разрешение/запрет на передачу файлов) и Security Intelligence фильтрация (использование динамических баз вредоносных хостов в сети интернет);
   URL - URL-фильтрация по репутации и категориям сайтов;
   AMP – борьба с вредоносным кодом и угрозами нулевого дня.
   Пример партномера подписки на 3 года для ASA5516: L-ASA5516-TAMC-3Y
   При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.
   Подписки доступны на 1, 3 и 5 лет для новых моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше. Для ASA5512 и ASA5515 – подписки только на 1 год.
6. Системы управления сервисами FirePOWER. Для полноценного управления сервисами FirePOWER необходимо заказать систему управления FirePOWER Management Center (FMC). Самый доступный вариант – в виде виртуальной машины. Виртуальная машина может быть скачана бесплатно с сайта cisco.com, однако, для её активации необходимо наличие лицензии:
   • FS-VMW-2-SW-K9 на 2 устройства ASA with FirePOWER services
   • FS-VMW-10-SW-K9 на 10 устройств ASA with FirePOWER services
   • FS-VMW-SW-K9 на 25 устройств FirePOWER или ASA with FirePOWER services
   С версии ASA OS IOS 9.4(2) заказ системы управления FMC является опциональным. Настройка сервисов FirePOWER может быть осуществлена посредством ASDM. FMC необходим при некоторых требованиях, в частности, для построения отчётов, работы IPS и пр. Отличия между управлением сервисами FirePOWER на ASA через ASDM и FirePOWER Management Center рассмотрены здесь.

В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия. Для моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор), то есть, содержащие в ПО алгоритмы 3DES/AES.

Источник: http://www.cbs.ru/site/faq/?section=9474#10650

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

Сервис FirePOWER становится незаменимым инструментом IT-специалиста, сотрудника отдела информационной безопасности и т.д. Данное решение способно надёжно защищать корпоративную сеть от информационных угроз «из вне». FirePOWER устойчиво занимает лидирующие позиции в области систем предотвращения вторжений по результатам отчётов Gartner, LSS Labs и других.

По результатам тестирования NSS Labs в конце 2014 года межсетевой экран Cisco ASA серии 5500 c сервисами FirePOWER занял лидирующие позиции в области межсетевого экрана нового поколения (Next Generation Firewall – NG FW).

Преимущества FirePOWER:

• Надёжная система предотвращения вторжений нового поколения (NG IPS). Обеспечивает максимальный уровень защиты внутренних ресурсов компании от атак «из вне».
• Полное видение сети. Технология Network visibility позволяет получать максимально полную информацию об устройствах, участвующих в сетевом взаимодействии. К такой информации относится версия операционной системы устройства, версия программного агента, участвующего в сетевом взаимодействии (браузер, клиент Skype и т.д.), пользователи, работающие на данном устройстве, вероятные уязвимости с точки зрения сетевой безопасности и многие другие параметры. Пример отображения параметров конечного оборудования представлен на рисунке ниже:

• Распознавание файлов различных типов и проверка файлов на наличии вредоносного кода.Устройство способно распознавать более сотни различных типов файлов (mp3, mp4, bmp, rar, pdf и т.д.). Кроме того, технология Advanced Malware Protection (AMP) позволяет проверять скачиваемые/выгружаемые файлы на наличие вредоносного кода.
• Ретроспективный анализ. Обеспечивается реакция системы не только до момента атаки или во время атаки, но и после её прохождения. Реакция системы после проведения атаки крайне важна для поддержания необходимого уровня безопасности. Ведь вредоносный код может попасть на конечное оборудование не только через сеть, но и простым подключением зараженного носителя. При таком прохождении атаки FirePOWER безусловно не может заблокировать вредоносный код на конечном оборудовании. Однако, если занесённый вирус проявит себя в сетевом взаимодействии, например, пытаясь распространиться на другие устройства, FirePOWER вычислит вирус, проследит заражённый код и пути его распространения по сети.
• Межсетевой экран нового поколения. Позволяет настраивать гибкие политики доступа. Возможна настройка фильтрации по Интернет-приложениям, URL и категориям URL, репутации сайтов.
• Интеграция с Active Directory. Политики доступа могут быть применены к конкретным пользователям или группам пользователей AD вне зависимости от клиентского устройства, с которого осуществляется сетевое взаимодействие.
• Широчайшие возможности мониторинга, создания гибких отчётов. Пример предлагаемых отчётов представлен на рисунке ниже:

• Гибкие возможности интеграции в сетевую инфраструктуру. Сервис FirePOWER может быть запущен как программный блейд на межсетевом экране Cisco ASA серии 5500, как виртуальная машина для гипервизора VMWare ESXi или как отдельное физическое устройство. В последнем случае предлагается широчайший спектр моделей устройств, рассчитанных на различные требования по производительности. Сервис FirePOWER может быть запущен как в режиме мониторинга, так и в режиме «inline».

Источник: http://www.cbs.ru/site/faq/?section=9474#10650