×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.
This discussion is locked

Спросить экперта: "Устранение проблем при внедрении Firepower на Cisco ASA"

Неотвеченый вопрос
Май 4th, 2016
User Badges:
  • Cisco Employee,

с Михаилом Кадером

 

Read the bio

В ходе сессии "Спросить Эксперта" Михаил Кадер ответит на вопросы, относящиеся к основным аспектам внедрения расширенных сервисов безопасности Firepower на платформе Cisco ASA.

 

Михаил работает в Cisco с 1997 года, придя в компанию на должность системного инженера. Год спустя он стал системным инженером-консультантом, а сегодня Михаил – ведущий консультант Cisco по вопросам информационной безопасности в России и других странах СНГ. Он отвечает за взаимодействие с инженерами, партнерами и клиентами Cisco в России и других странах СНГ, а также занимается разработкой и реализацией стратегии Cisco в области информационной безопасности в этом регионе.

 

Пожалуйста, не забывайте оценивать ответы Михаила, чтобы он знал, что Вы получили совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия начнется 17 мая и продлится до 27 мая 2016 года.

 

Хотите узнать больше информации об этом событии?

 

   Конкурс    

I have this problem too.
0 голоса
  • 1
  • 2
  • 3
  • 4
  • 5
Overall Rating: 0 (0 ratings)
Loading.
Alexander Biryukov вт, 05/17/2016 - 04:47
User Badges:

Вопросы:

1. Возможно ли использовать пассивную аутентификацию совместно с SSL-инспекцией? Будет ли расшифровываться трафик? Если нет, то возможна ли принудительная активная аутентификация при использовании https?

2. Connection Summary - SSL - SSL Sessions Decrypted over Time - No Data, растет Handshake Error в SSL Decryption Failure Reason. В режиме модуля monitor-only SSL инспекция работает?

3. Captive portal на ASA, что нужно включать на Management Center и как это работает? На каких интерфейсах включается, какую ссылку давать пользователям?

4. Использование Realm. Какие ограничения по количеству пользователей в группе?
Допустим Realm - домен AD, куда включены Domain Users > 2000 человек. Есть общие политики для всех пользователей домена. Необходимо ли делить на большое количество Realm и увеличивать количество правил доступа?

5. Модуль FP в режиме monitor-only однако в show traffic-statistic счетчики растут. Intrusion Events, Threats, Geolocation вкладки в дашборде Management Center - No Data, это нормальное состояние для этого режима?

6. В дашборде Traffic by initiator User  показывает пользователей домена которых чьего трафика точно не может быть там где стоит ASA.

Pavel Rodionov ср, 06/01/2016 - 11:50
User Badges:
  • Cisco Employee,

Александр, добрый день. 

Ответы по пунктам. 

1. Да, будет работать. Пассивная аутентификация -- это получение информации из Sourcefire User Agent, который делает привязку username-ip путем чтения логов AD. Поэтому это никак не влияет на инспекцию SSL трафика, более того, при SSL инспекции это предпочтительный метод идентификации пользователей. 

2. Для monitor-only SSL инспекция работать не будет, кроме вариантов инспекции с известным ключом (для серверов). Традиционная -- это MiTM

3. Надо создать AD Realm, указать корректные Bind DN и Group DN (откуда получать группы). Сделать download групп, определиться с вариантом аутентификации (HTTP Basic, NTLM, HTTP Negotiate (NTLM или HTTP Basic) или портал. Пользователь переадресовывается на firepower management center для аутентификации, порт по-умолчанию 885. Детали можно посмотреть здесь

https://www.cisco.com/c/en/us/support/docs/security/asa-firepower-servic...

4. Для этого конкретного примера можно использовать один Realm. Но в случае работы с сетью с десятками тысяч пользователей и несколькими AD надо уже обращаться к нам, мы будем подбирать индивидуальное решение

5. Это нормальное состояние. 

6. Пользователи привязаны к каким-то ip адресам. Проверьте трафик напрямую, с помощью Wireshark и фильтров по ip -- действительно ли он присутствует на порту ASA/Firepowe

kryuchkovis1 ср, 06/29/2016 - 07:27
User Badges:

Спасибо Вам за ответы на вопросы, но у нас возникла проблема с Captive-portal. 

Все сделали по инструкциям, включили дефолтный порт 885 на ASA, скачали юзеров и группы, при пассивной аутентификации все отрабатывает нормально, но как только включаешь (хотя бы для какой-то подсети) активную аутентификацию, сразу начинается магия!

При посещении сайтов HTTP начинается редирект на интерфейс ASA с нужным портом, но дальше соединение разрывается по тайм-ауту, будто дальше трафик никуда не передается.

Иногда может вообще заблокироваться весь трафик, которых проходит через ASA, если активно правило активной аутентификации хоть для одного хоста.

Pavel Rodionov ср, 06/29/2016 - 09:47
User Badges:
  • Cisco Employee,

Добрый день. 

Проверьте версии ПО, как на ASA, так и на Firepower. На FP уже желательно ставить версию 6.0.1.1 (последний патч), на ASA -- 9.5(2). На FP для нормальной работы captive portal надо принудительно прописать trust доступ по порту 885. 

 У вас тестирование или уже приобретенная версия? Если приобретенная, то предварительно откройте case, если тестирование, то ближайший cisco SE может открыть case для вас

kryuchkovis1 ср, 06/29/2016 - 10:13
User Badges:

Павел спасибо за оперативную реакцию.

ПО FP и FireSight 6.0.1.1, ASA - 9.6.

У нас уже приобретенная версия и case в процессе открытия. Если оформить инцидент на русском, то он попадет в русскую тех. поддержку?

Действия

Информация о дискуссии

Related Content