Close Topic Options

[valja]

Кто либо знаком с подобным устройством? Точнее, с FirePOWER Service, используемом на Cisco ASA 5ххх-X. Штука весма новая, но надеюсь, что хоть кто то с ней сталкивался.

Дело в том, что мы перебираемся с ASA 5510 + CSC-SSM10 на вышеупомянутое устройство. Перевод самого файервола проблем не создает (хотя диалекты весьма разные: ASA 8.2 <-> ASA 9.2). Вопрос в том, какие могут быть подводные камни с FirePOWER Service. Первый нашелcя сразу - тут необходим дополнительно FireSIGHT Management Center, что есть вообще говоря недешевая железяка. К счастью существует и софтовый центр, инсталлируемый на VMware. Но из за этого для запуска FirePOWER Service нужно сразу подключать железку к внутренней сети. Вопрос теперь в том, можно ли запустить настроить (хотя бы грубо) этот FirePOWER Service НЕ подключая внешний интерфейс (соединять внутреннюю и внешнюю сети одновременно через два разный файервола как то не кузяво ).

Отсюда и главный вопрос - можно ли FirePOWER Service настроить (хотя бы грубо) за час-два? Тогда можно просто поменять файерволы (ASA часть уже настроена) и притормозить почту, пока не запущен анти-спам. А все остальное настраивать уже не спеша, на рабочей системе.

[FiL]

Что меня удивляет, так это то, что на нетлабе до сих пор иногда задаются такие вот серьезные и весьма узкоспециализированные вопросы. Что удивляет еше больше, так это то, что на них обычно отвечают

[Гордый]

QUOTE (FiL @ 16-02-2015, 23:20)

Что меня удивляет, так это то, что на нетлабе до сих пор иногда задаются такие вот серьезные и весьма узкоспециализированные вопросы. Что удивляет еше больше, так это то, что на них обычно отвечают

вот и ответил бы...

[FiL]

Я-бы ответил если-бы хотя-бы понимал об чем там спрошено. Для меня это все набор букв. Не особо упорядоченный.

[valja]

QUOTE (FiL @ 17-02-2015, 00:20)

Что меня удивляет, так это то, что на нетлабе до сих пор иногда задаются такие вот серьезные и весьма узкоспециализированные вопросы. Что удивляет еше больше, так это то, что на них обычно отвечают

Так вопрос в значительно мере "для поговорить". А если еще и ответят (как обычно и бывет), то это уже бонус

QUOTE (FiL)

Я-бы ответил если-бы хотя-бы понимал об чем там спрошено. Для меня это все набор букв. Не особо упорядоченный.

Попробуем упорядочить. ASA 5510 + CSC-SSM10 это файервол/раутер (ASA 5510) со сменным модулем анализа контента (CSC-SSM10) - спам, антивирус итд. Замена на аналогичный (помощнее) проста. Новая машинка соеднияется только внешним нтерфейсом на свободный внешний адрес (нужно для лицензирования, апдейтов итд) и все настранвается и проверяется автономно, никакой интерференции со старым файерволом (кроме пары NAT-ов на другие внешние адреса внешнего интерфейса с внутренних серверов, но их можно вписать в самом конце, отцепив нешний интерфейс). Далее внешний адерес меняется на рабочий и перебросить кабели это пара минут.

С переходом на ASA 5545-X + FirePOWER Service ситуация посложнее. Файервол такой же и там проблем нет (просто диалект чуть поновее. А вот анализ контента (FirePOWER Service) тут софтовый. и для конфигурации (да и вообще работы) требуется еще внешний FireSIGHT Management Center, что есть очень недешевая железяка. Мы обошлись софтовым Management Center, но его можно запустить только на VMware. И вот тут и зарыта собака. У нового файервола нужно подключать не только внешний итерфейс (для лицензиий и апдейтов) но и внутренний (для подключения к VMware). То есть файервол я погу настроить автономно (что уже и сделано), а для лицензирования и настройки FirePOWER Service (да и FireSIGHT Management) должен быть подключен и внутренний интерфейс. То есть для избежания интерференции со старым файерволом часть настроек нового файервола придется отменить (NAT на другие внешние адреса итд), а в конце менять на рабочий не только внешний но и внутренний IP и тут неясно, как на это будет реагировать связка FirePOWER Service - Management Center, плюс нужно будет восстанавливать отмененные настройки.

То есть, какая то пауза неизбежна. Поэтому и возник вопрос, а не проще ли автономно полностью настроить новый файервол, и заменить старый на новый, не настраивая при этом FirePOWER Service <-> Management, а настроить его на запущенной новой системе с реальными соединениями и адресами. Если с регистацией, лицензированием и (грубой) настройкой FirePOWER Service с нуля можно уложиться в час-два, то этот путь кажется вполне разумным и его можно реализвать на уикэнде. Однако имея некоторый опыт с подводными камнями Cisco, гложут серьезные сомнения. Тем более, что система соверенно незнакомая.

А сосем совсем коротко, то вопрос простой - кто либо сталкивался с FirePOWER Service + FireSIGHT Management?

[Гордый]

QUOTE (valja @ 17-02-2015, 07:40)

А сосем совсем коротко, то вопрос простой - кто либо сталкивался с FirePOWER Service + FireSIGHT Management?

видать ты у них первый клиент будешь...

[valja]

QUOTE (Гордый @ 17-02-2015, 10:31)

видать ты у них первый клиент будешь...

Ну, тогда буду тут докладать, как идут дела, может, кому в будущем поможет. Поскольку читать манулы по 2000- страниц тяжеловато, мы пойдем своим путем.

В общем, убрал я с нового файервола записи, конфликтующие с рабочими адресами и поставил его в параллель со старым. Следующий шаг - инсталлирую FireSIGHT Management на VMware. Поскольку манагемент вообще то поддерживает несколько внешних устройств (типа ASA), которые именуются тут сенсорами, то по идее по крайней мере запуск, начальная конфигурация и регистрация лицензии манагера должны пройти без проблем. Ежели тут все пройдет гдадко, будем состыковывть FirePOWER Service и FireSIGHT.

[valja]

Итак, первый подводный камень

Management Center зхаинсталлировался и запустился без проблем. Следующий шаг - начальные устанвки (IP, DNS итд.) Засада ждала на лицензировании. Выдается "License Key" софтины и посылается на сайт sourcefire за лицензией. Там сообщение: "Мы уже ни при чем, идите на сайт Cisco".

Лады, идем туда, вводим PAK (Product Autorisation Key) - я софтину вроде бы купил, по запросу вводим "License Key" софтины и получаем сгенерированную дицензию (как для скачивания так и по почте). И тут засада - "License is Invalid".

В общем, озадачил суппорт сиски и жду

Без лицензии дальше ходу нет.

[VxWorks]

Помнится, когда я покупал ASA, то выбрал вариант ASA5505-50-BUN-K9.
И в коробке был буклет с напечатанными кодами для лицензий (50 юзеров).

[valja]

С нашим старым файерволом (ASA5510) тоже было сравнительно просто. А теперь куча лицензий, и с половиной из нмих проблемы. До сих пор все рашались, но уходит куча времени и нервов.

[valja]

Ответ на вопрос из первого поста "Отсюда и главный вопрос - можно ли FirePOWER Service настроить (хотя бы грубо) за час-два? " получен экспериментальным путем - НЕ можно FireSight Management Center был запущен 8 часов назад, а поке не устанавлена даже лицензия на сам Management Center, и это не едиственная лицензия на весь комплект.

По совету сиски полазил по /etc/ в поисках старых лицензий (правда, я не понял, откуда им там взяться? Даже первую не установить) но около шести нашего времени "наступило утро и Шехерезада прекратила дозволенные речи" - то есть после шести вечера новых советов не поступало. Надеюсь, что завтра утром все же удастся решить проблему.

С другой стороны, FireSight Management Center все же установлен и обходными путями удалось пробраться на GUI конфигурации. Правда, конфигурировть там пока нечего, так как не установлено ни одной лицензии, но возможноостей там очень много и лицензии у меня есть почти на фсе Завтра на свежую голову буду смотреть.

[valja]

Утром оказадлсь, что все просто - лицензию нельзя вводить в процессе начальной установки, ибо "не работает". Просто это пункт нужно пропусттиь. А далее мы попадаем на главную конфигурационную страницу. Наверху 10 табов, у каждого от трех до десяти субтабов, большинтсво субтабов дают dropdown с 5-10 выборами. То есть, есть где развернуться конфигуратору Но по крайней мере лицензию удалсь тут скормить.

Правда, конфигурировать там пока нечего, сперва нужно подключить файервол (именуемый здесь сенсором). И тут пришлось долго и нудно конфигурировать на ASA интерфейс для коммуникации с Managemet Center.

И тут поджидала очередная засада - с сетью и конфигурациями все вроде ОК, к обоим дивайсам можно подключаться без проблем, но на попытку их познакомить ASA ответила, что канал общения не законфигурирван, а Managemet Center заявил, что ASA не хочет с ним общаться. В общем, очередная задачка для суппорта сиски. Но все это уже завтра

[FiL]

Я не очень понял в чем проблема с поднятием внутренного интерфейса на новом роутере. Втыкаешь в него одну еднственную машину с этим самым менеджером и конфигуришь. Потом, когда сам фаер перенесешь в продакшн, тогда и виртуалку с менеджером перенесешь на рабочую вмварь. И ваще нигде ничего не меняется.

[valja]

QUOTE (FiL @ 19-02-2015, 17:02)

Я не очень понял в чем проблема с поднятием внутренного интерфейса на новом роутере. Втыкаешь в него одну еднственную машину с этим самым менеджером и конфигуришь. Потом, когда сам фаер перенесешь в продакшн, тогда и виртуалку с менеджером перенесешь на рабочую вмварь. И ваще нигде ничего не меняется.

Собственно, большой проблемы тут нету. Просто мне не шибко нравится соединять две сети параллельно двумя разными устройствами.

Тут для работы нужно вообще говоря три физических интерфейса - внешний, внутренний и интерфейс менеджмента (который поделен между менеджментом ASA и менеджментом FirePOWER Service, причем менеджмент FirePOWER Service работает только через физический интерфейс менеджмента).

Проблема скорее во внешнем интерфейсе - это должен быть реальный внешний адрес (один из свободных внешних адресов нашей сети) - через него скачиваются апдейты, регистрируются лицензии, а главное, качается "Security Intelligence Feed" - т.е. постоянно меняющиеся данные о "плохишах" (spam, botnet etc). Реальные запросы снаружи нужны для конфигурирования и тестирования FirePOWER Service. И проблема тут в том, чо в рабочей системе на внешнем интерфейсе несколько IP адресов - NAT/PAT во внутренние сети для серверов (почта, DNS, adl итд), то есть конфигурировать все эти NAT/PAT на новом ASA сразу не получится - реальные внешние адреса будут конфликтовать с рабочей системой, а свободных у меня во внешней сети почти не осталось. Но это в действительности не проблема - законфигурировать эти недостающие NAT/PAT вопрос пары минут.

Поскольку внутренняя сеть "native" для VMware, то проще сразу все цеплять туда, тем более что оттуда есть автоматом выход в интернет (через ASA), а этот выход нужен как Mangenet Center (VMware) так и менеджмент итерфейсу FirePOWER Service - именно они потребляют апдейты и "Security Intelligence Feed". А запускать и лицензировть Mangenet Center на отдельной машине и потом перетаскивать на рабочую VMware вряд ли получится - лицензия как то связана с железом и после переноса скорее всего накроется.

А теперь о самом девайсе. Сегодня наконец законфигурировал. Самая простая конфигурация, но вполне рабочая. Правда, поимел кучу головной боли и дымящихся нервов, но имея дело с Cisco без этого не обойтись

Теперь четыре дня отдохну (у нас 24 февраля гос. праздник) и с середины будущей недели буду играться с новой игрушкой. Как когда то сказали, правда, про Юникс/Линукс: "Зато там можно очень много конфигурировать. И ты, бл***, БУДЕШЬ конфигурировать!"

[FiL]

не очень понял как виртуалка может привязываться к железу. Она ведь по определению железо не видит.

"внешняя" сеть тоже в общем-то не обязана быть особо внешней. Вполне может быть и внутренней, но имеющей доступ во вне. Хотя, конечно, киска могла и выпендриться и не разрешить такую конфигурацию. С них станется.