отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Вебинар: "Устранение проблем при внедрении Firepower на Cisco ASA" - вопросы и ответы

Введение

 

Read the bio

В ходе презентации эксперт Cisco Михаил Кадер рассмотрит основные аспекты внедрения расширенных сервисов безопасности Firepower на платформе Cisco ASA. Основное внимание будет уделено средствам обнаружения неисправностей и сбору информации для их устранения.

 

Вопросы и ответы

Q: ­В поставке с Cisco ASA5516 шел PAK  ASA5516-CTRL-LIC. Как установить данную лицензию?  cisco.com/go/license после PAK запрашивает лицензию, а не серийник. Через ASDM я не могу выйти на FirePower.                                                                

A: ­Если модуль уже запущен, то лицензия должна быть установлена. Посмотрите в документации (сслыка ниже), как зайти на модуль.­  

                                                                                                                                                                    

Q: ­В то же время ASDM в monitoring апоказыват в состоянии UP ASA FirePower­

A: ­Попробуйте ознакомиться с этим документом - http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html­               

                                                                                                                                                                    

Q: ­Firepower может принимать трафик для анализа с двух различных устройств например: ASA и свитч.  

A: ­В теории можно, но нужно будет делать контексты на ASA и выделять под это интерфейсы.­

 

Q: ­Каков best practice по перенаправлению трафика на модуль SFR? Весь class-default в global_policy или как-то ещё?

A: ­Зависит от того, что вы хотите получить в итоге.  Можно начать с класса по умолчанию, и потом уже решить, какой трафик оставить.       

 

Q: ­Я установил firepower management center i NGIPS virtual. Могу ли я протестировать их полный функионал в пробной версии?­

A: ­Да, можете - нужно запросить временную лицензию на security-request@cisco.com­.                           

                                                                                                                                                                    

Q: ­Вопрос по SSL расшифровке. При прикреплении любой SSL Decryption policy (в т.ч. всему доверять, ничего не расшифровывать), сервер FireSIGHT теряет доступ к серверам.                                                                                                                                                                                                                                                                   

A: ­Как минимум необходимо написать исключение в правиле для самого FMC для начала.­   

                                                                                         

Q: ­А когда ожидается версия 6.1? При переходе с версии 5.4 на 6.0 столкнулся со множеством проблем с задержкой трафика, вплоть до полного отказа.

A: ­Вопросы с задержкой трафика решаться буквально через неделю, в версии 6.0.1.1. Если не будет ничего сверхэкстраординарного, то в конце июня - начале июля. У меня на тесте в настоящий момент beta1 (выпуска 30 апреля) и она ещё сырая. Будет ещё, как минимум, beta2 (на этой неделе), beta3 (она же обычно release candidate).­       

 

Q: ­При SSL расшифорвке иногда не расшифровывает сайт гугла и некоторых других, блокирует. Версия  FTDv 6.0.0.1, Почему?

A: ­Google использует пинниг своих сертификатов и активно противодействует попыткам расшифровки. В частности, так себя ведут некоторые версии Google Chrome - сертификаты в них "вшиты", и сделать MITM сложно. Обязательно следить, чтобы сертификат был в списке Root CA на рабочей станции­.

                             

Q: ­Скажите, что-нибудь улушилось с базой русских ресурсов? где-то с полгода поднимал в тест на ASA-X Firepower services с Defense Server, было все очень плохо. Если Facebook до винтика разобрато, то элементарно ВК, почти никак.­                  

A: ­Мы работает с несколькими российскими компаниями, они разрабатывают специально для нашего региона детекторы приложений, характерных для нашего рынка (ВКонтакте, Одноклассники, Mail.RU и т.д.). Насколько я знаю, проект практически завершён.                                                                                                                                                

Q: ­Почему на firepower management center virtual - web gui медленно работает? ­

A: ­Нужно дать больше ресурсов, чем указано в минимальных требованиях. ­Я бы рекомендовал не менее 16Гб памяти и размещение на SSD-диске - под высокой нагрузкой используемые БД становятся узким местом.­

                                                                                         

Q: ­URL-фильтрация не блокирует большенство рускоязычного контента (например порносайты) из топ 10 выдачи гугла блокирует 2-3 ссылки­.

A: ­У нас сейчас используется OEM база данных URL по историческим причинам, на нее действительно есть нарекания.  Мы планируем переход на нашу базу в будущем, пока еще точные сроки не определены.                                                                                                                                                       

Q: ­Что делать, если выделение ресурсов вплоть до бесконечности не ускоряет работу gui?

A: ­Открыть кейс в Cisco TAC. Либо вы вышли за границы возможностей виртуальной версии FMC и пора переходить на аппаратную. Также в 6.1 будет сделан ряд оптимизаций, а в 6.2 планируют значительно увеличить производительность виртуального FMC.­                                                                                                                                                         

Q: ­У меня программный модуль на 5512 и управление через FirePower management Center. При переходе на версию 6.0, судя по документации, в ASDM должен был появиться пунк меню управления модулем Firepower. Делал всё по инструкции, но в ASDM ничего­.

A: ­Проверьте совместимость версий. И управление идет по принципу "или/или" - или с помощью FMC, или через  ASDM­.          

                                                                                                                       

Q: ­Было упомянуто, что обновления приложений будет только при покупке Smartnet. Это так? Если я покупаю ASA без смартнета, то у меня не будут обновляться описания приложений?­

A: ­Обновление базы приложений для ASA реализовано через поддержку SMARTNet­. ­Без SMARTNet обновлений не будет, но остаётся возможность добавлять свои приложения вручную­.

                                                      

Q: ­Не принципиально конечно, меня и Management Center устраивавет, но все равно не пойму почему не работает­.     

A: ­Потому что режим эксклюзивный - если вы подключили устройство к FMC, ASDM более недоступен.­

 

Q: ­Мы выделели 32ГБ памяти, всё равно не быстро.

A: ­Ещё имеет значение "количество событий в секунду" и на каких дисках работает FMC. Также напомню, что vCPU должны выделяться эксклюзивно.­

 

Q: ­Так и не могу добиться того что бы в ASDM появился пункт  Configuration > ASA FirePOWER Configuration.                                       

A: ­Проверьте совместимость всех версий, а также правильность включения. SFR модуль управляется только и исключительно через management интерфейс.  

                                                                                                                                      

Q: ­Скажите по поводу блокировки скайпа, не блокирует почему-то?­

A: ­Со скайпом периодически возникают вопросы. Проверьте весь функционал, недавно он у меня все блокировал, но поведение было странное, вроде подключение по skype было, список контактов подгружался, но сообщение и звони не отправлялись­.

                                                                                                                                      

Q: ­А какие возможности виртуальной FMC?­     

A: ­Идентичны аппаратным, за исключением производительности и количества поддерживаемых устройств (максимум 25).­

                                                                                                                                                                    

Q: ­Деплоймент политики с десятком минимальных правил длительностью полторы минуты на ненагруженной 5525-X - это норма или некорректное поведение?­                                                   

A: ­Норма, политики могут компилироваться достаточно долго при некоторых условиях.­                        

 

Q: ­Задал Ip адрес и после ребута FirePower с команды session sfr логинюсь, но после логина ничего не происходит и потом выдает: ­System initi...­    ­Appl..­  ­Remote card closed ....­ ­Command session with module sfr terminated­. Какие есть ограничения? сервак очень мощный, с SSD масивом.­                           

A: ­Не более 2000 EPS, также имеет значение, сколько журналов включено, какие функции и т.д. Проще открыть кейс в TAC, возможно нужно донастроить систему.­  

 

Q: ­Какая сейчас самая стабильная и рекомендованая версия?­

A: ­На данный момент это 5.4 для критических приложений. Скоро выйдет версия 6.0.1.1, в которой исправят много неприятных ошибок. ­                             

 

Q: ­Уточните, пожалуйста, границы, когда необходима замена виртуальной версии на аппаратную?­    

A: ­Обычно это 25 устройств. Или очень большое количество событий, посмотрите предельные значения в конфигурации FMC­.             

 

Q: ­Если я купил 2 ASA и хочу включить их в стэк. Для одной ASA купил смартнет, для другой - нет. Что в данном случае?­  

A: ­Нужно покупать два смартнета.­                                                                  

 

Q: ­В версии 5.4 исправлена проблема с распознаванием кириллицы в AD? ­

A: ­Кириллицы где именно?­       

                                                                                                        

Q: ­Есть ли отличия в алгоритме у FTD?­                                               

A: ­Это лучше делать в рамках другой сесии. Могу сказать, что он отличается. ­                                                                                                           

Q: ­А как обнулить настройки FirePower­.                                        

A: ­http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html­

                                                                                                        

Q: ­Я так понимаю, в название OU, мне пришлось все на латиницу переименовать­                                    

A: ­Странно, насколько я знаю это было исправлено. Вы обновились до последнего патча?­                   

 

Q: ­Проблема с кириллицей в AD - SF не видит часть пользователей, в именах\информации которых есть русские символы. Был кейс и официально признанный баг. В 6 версии это исправилось - в версии 5.4 баг на месте или устранен?­                                       

A: ­Хороший вопрос - если скажете номер кейса, я смогу сказать, в каких версиях пофиксили. По моей информации, 5.4 должны были починить.            

 

Q: ­А где можно уточнить информацию относительно действия Firesight User Agent 2.3 в Microsoft AD? уж очень много прав служебной учетке для работы требуется.­                               

A: ­http://www.cisco.com/c/dam/en/us/td/docs/security/firesight/user-agent/23/Firepower-User-Agent-Configuration-Guide-v2-3.pdf­

 

Q: ­После обновления на 6.0.0 пробовал, но список групп из AD так и не получал при импорте, на последнем обновлении не пробовал, так как до этого уже переименовал все на латиницу­.                             

A: ­Попробуйте 6.0.1.1 как он выйдет, там очень много исправлений планируется.­                                    

 

Q: ­Почему email оповещений от системы приходят с таймзоной UTC? ­

A: ­Потому что система использует внутри именно эту таймзону. ­Это сделано специально, чтобы операторы в разных часовых поясах могли работать с событиями и делать их корреляцию.­                 

 

Q: ­Interface 'DataPlaneInterface0' is not receiving any packets  на модуле firepower который находится на standby ASA, Игнорировать такие сообщения?­                                                                              

A: ­Да, игнорировать. И открыть case, это относится к категории косметических сообщений­   

 

Q: ­Когда плоанируется выход 6011?­                                                          

A: ­Очень скоро. Если ничего не поменяется, то на следующей неделе­.

 

Q: ­Есть ли какая-то общая схема траблшутинга по срабатыванию (и тем паче - не срабатыания) политик?­           

A: ­Да, в 6.0.1­

 

Q: ­Можно ли перенести бекап-конфигурацию с виртуального FMC на другую виртульную машину?

A: ­Не вижу препятствий. Даже снапшоты должны работать, но лучше это делать через бекапы.              

 

Q: ­В режиме Filover Active/Standbay необходимо покупать 2 поддержки, хотя работает только одна аса, это будет как-то изменено?­                                  

A: ­Этот вопрос сейчас очень активно нами обсуждается. Пока еще не решено.   

                                                                                                                                                                                  

Q: ­Тип сертифката для SSL-инспекции (самоподписный или публичный)? Подойдет ли схема: CSR с Management Center Firepower выпущенный и подписанный внутренним CA компании?­

A: ­Да, подойдет­

Q: ­ASA HA Active/Active поддерживается?­         

A: ­Да­

                                      

Q: ­Использование Realm в Management Center. Какие ограничения по количеству пользователей в группе?­

A: ­Должны быть описаны в документации­.                                                                                                

Q: ­Столкнулись с проблемой, если один модуль не доступен то на ASA выключается failover и включить его нельзя­     

A: ­Нужно правильно настроить отказоустойчивость.­

Q: ­Есть ли аналогичные инструменты для диагностики и трассировки для WSA?­                                        

A: ­Для WSA? Есть, в меню System Administration, трассировщик­.

                       

Q: ­Какие преимущества дает функция SSL Decryption, кроме возможности более глубоко "заглянуть" в пакет, а так же разорвать некорректные SSL сессии? Что мы теряем, если не будем использовать SSL Decryption?   

A: ­Возможность проверять зашифрованный трафик и искать угрозы в нём.­

Q: ­Сonrtol лицензию можно сделать рехостинг через license center, получается подписку только через TAC?­    

A: Через Licensing Team.

Q: ­Какая разница в ssl decrypt между SF и Prime Security­                    

A: ­И там и там TLS Proxy, на FP более функциональный.­

Q: ­Вопрос был к тому что Prime умеет декриптить Google а SF нет­

A: ­Сомневаюсь, что это так - если Prime разрывает сессию, значит и SF может это сделать, они используют очень схожие технологии.  Скорее всего, что-то не так с настройками.                                                                                            

Q: ­Заметили следующую проблему: некоторые "тяжелые" сайты стали открываться медленно, т.к. содержат ссылки на  различный медиа-контент, который мы блокируем средствами URL Filterring, используюя категории Streaming media. Нормальное ли это поведение? ­­На наш взгляд сайты должны открываться быстро, просто без картинок и прочего медиа содержимого.­       

A: ­Это зависит от того, как сервер отдаёт страницу. Для подобного сценария лучше использовать WSA.­       

   

Хотите узнать больше информации об этом событии?

 

Спросить эксперта        Конкурс

     

История версий
Редакция №
1 из 1
Последнее обновление:
‎05-24-2016 03:51 AM
Автор обновления:
 
Метки (1)
Комментарии
New Member

Прошу помощи по теме авторизации... https://supportforums.cisco.com/ru/discussion/13166181