Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Cisco Employee

Спросить экперта: "Устранение проблем при внедрении Firepower на Cisco ASA"

с Михаилом Кадером

 

Read the bio

В ходе сессии "Спросить Эксперта" Михаил Кадер ответит на вопросы, относящиеся к основным аспектам внедрения расширенных сервисов безопасности Firepower на платформе Cisco ASA.

 

Михаил работает в Cisco с 1997 года, придя в компанию на должность системного инженера. Год спустя он стал системным инженером-консультантом, а сегодня Михаил – ведущий консультант Cisco по вопросам информационной безопасности в России и других странах СНГ. Он отвечает за взаимодействие с инженерами, партнерами и клиентами Cisco в России и других странах СНГ, а также занимается разработкой и реализацией стратегии Cisco в области информационной безопасности в этом регионе.

 

Пожалуйста, не забывайте оценивать ответы Михаила, чтобы он знал, что Вы получили совет, который Вам помог. Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия начнется 17 мая и продлится до 27 мая 2016 года.

 

Хотите узнать больше информации об этом событии?

 

   Конкурс    

6 ОТВЕТ.
Community Member

Вопросы:

Вопросы:

1. Возможно ли использовать пассивную аутентификацию совместно с SSL-инспекцией? Будет ли расшифровываться трафик? Если нет, то возможна ли принудительная активная аутентификация при использовании https?

2. Connection Summary - SSL - SSL Sessions Decrypted over Time - No Data, растет Handshake Error в SSL Decryption Failure Reason. В режиме модуля monitor-only SSL инспекция работает?

3. Captive portal на ASA, что нужно включать на Management Center и как это работает? На каких интерфейсах включается, какую ссылку давать пользователям?

4. Использование Realm. Какие ограничения по количеству пользователей в группе?
Допустим Realm - домен AD, куда включены Domain Users > 2000 человек. Есть общие политики для всех пользователей домена. Необходимо ли делить на большое количество Realm и увеличивать количество правил доступа?

5. Модуль FP в режиме monitor-only однако в show traffic-statistic счетчики растут. Intrusion Events, Threats, Geolocation вкладки в дашборде Management Center - No Data, это нормальное состояние для этого режима?

6. В дашборде Traffic by initiator User  показывает пользователей домена которых чьего трафика точно не может быть там где стоит ASA.

Cisco Employee

Александр, добрый день. 

Александр, добрый день. 

Ответы по пунктам. 

1. Да, будет работать. Пассивная аутентификация -- это получение информации из Sourcefire User Agent, который делает привязку username-ip путем чтения логов AD. Поэтому это никак не влияет на инспекцию SSL трафика, более того, при SSL инспекции это предпочтительный метод идентификации пользователей. 

2. Для monitor-only SSL инспекция работать не будет, кроме вариантов инспекции с известным ключом (для серверов). Традиционная -- это MiTM

3. Надо создать AD Realm, указать корректные Bind DN и Group DN (откуда получать группы). Сделать download групп, определиться с вариантом аутентификации (HTTP Basic, NTLM, HTTP Negotiate (NTLM или HTTP Basic) или портал. Пользователь переадресовывается на firepower management center для аутентификации, порт по-умолчанию 885. Детали можно посмотреть здесь

https://www.cisco.com/c/en/us/support/docs/security/asa-firepower-services/200329-Configure-Active-Directory-Integration-w.html

4. Для этого конкретного примера можно использовать один Realm. Но в случае работы с сетью с десятками тысяч пользователей и несколькими AD надо уже обращаться к нам, мы будем подбирать индивидуальное решение

5. Это нормальное состояние. 

6. Пользователи привязаны к каким-то ip адресам. Проверьте трафик напрямую, с помощью Wireshark и фильтров по ip -- действительно ли он присутствует на порту ASA/Firepowe

Community Member

Спасибо Вам за ответы на

Спасибо Вам за ответы на вопросы, но у нас возникла проблема с Captive-portal. 

Все сделали по инструкциям, включили дефолтный порт 885 на ASA, скачали юзеров и группы, при пассивной аутентификации все отрабатывает нормально, но как только включаешь (хотя бы для какой-то подсети) активную аутентификацию, сразу начинается магия!

При посещении сайтов HTTP начинается редирект на интерфейс ASA с нужным портом, но дальше соединение разрывается по тайм-ауту, будто дальше трафик никуда не передается.

Иногда может вообще заблокироваться весь трафик, которых проходит через ASA, если активно правило активной аутентификации хоть для одного хоста.

Cisco Employee

Добрый день. 

Добрый день. 

Проверьте версии ПО, как на ASA, так и на Firepower. На FP уже желательно ставить версию 6.0.1.1 (последний патч), на ASA -- 9.5(2). На FP для нормальной работы captive portal надо принудительно прописать trust доступ по порту 885. 

 У вас тестирование или уже приобретенная версия? Если приобретенная, то предварительно откройте case, если тестирование, то ближайший cisco SE может открыть case для вас

Community Member

Павел спасибо за оперативную

Павел спасибо за оперативную реакцию.

ПО FP и FireSight 6.0.1.1, ASA - 9.6.

У нас уже приобретенная версия и case в процессе открытия. Если оформить инцидент на русском, то он попадет в русскую тех. поддержку?

Cisco Employee

Откройте case по телефону на

Откройте case по телефону на русскоязычный номер техподдержки. 

http://www.cisco.com/cisco/web/support/RU/cisco_worldwide_contacts.html

353
Просмотры
0
Полезный материал
6
Ответы
СоздатьДля создания публикации, пожалуйста в систему