cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 

Webcast FAQ- Integración de Cisco ASA con FirePOWER

[toc:faq]


Introducción


      

        

Ernesto Esquer se desarrolla como ingeniero consultor Senior de Voseda Networks. Se encunetra enfocado en el desarrollo e implementación de proyectos de redes de datos para el sector privado. Ernesto cuenta con varias certificaciones de nivel CCNP RS y Colaboración, así como otras especialidades en Seguridad.

 
Puede descargar la presentación en formato PDF aquí. También puede encontrar el video la sesión aquí.




Plataformas de movilidad y su impacto en las empresas

P: ¿Cómo valido si mi ASA 5525x es compatible y si tiene el FirePOWER habilitado?

R: El FirePOWER User agent no usa licencia.

P: ¿Se puede poner FirePOWER en los ASA 5540 que tenemos mientras planeamos la migración a los nuevos?

R: EL ASA 5540 ya esta el anuncio de fin de vida, por lo cual no se podría tener el FirePOWER aquí la liga de notificación de EOS: http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/eol_C51-727354.html

P: ¿Este agente recolecta un evento generado por el AD o es solo autenticación LDAP por el tema de (usuario/IP)?

R: El agente recolecta los usuarios y los sincroniza con el Firesigth.

P: Esta solución tiene el feature para controlar ancho de banda? Como lo tenía CX.

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: ¿Existe un modelo de ASA que tenga todo esto integrado en un appliance?   

R: La solución de ASA con FirePOWER es en sí un modelo integrado. Ahora bien, los servicios virtuales como el Agente y el management center no pueden ir en conjunto con el ASA y el FirePOWER, se deben tener por separado.  

P: ¿Se puede agregar más URL para poder permitir o denegar?

R: Sí se pueden agregar URL, solo no puedes mezclar en una política URL con aplicaciones.

P: Qué sucede con páginas que tienen contenido tutoriales, cómo las páginas del SAT ¿también se bloquean?

R: Hay que revisar si el SAT viene como aplicación, ejemplo OCC viene algo muy similar y viene como aplicación.

P: ¿Para temas de demos se puede virtualizar el ASA con FirePOWER?

R: Sí se puede

P: ¿Es posible cargar el modulo de FirePOWER en el ASA ASA5512, es básicamente compatibilidad?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: ¿Por qué no bloquea el Ultrasurf, ni por aplicación o por URL? 

R: Sí se puede hacer, pero hay que considerar que crear políticas por separado. Es decir, hay que crear políticas por aplicación y luego reglas/políticas específicas para cada una en los URL.

P: La página de bloqueo que se muestra ¿se puede personalizar o es por defecto una sola? 

R: Sí se puede personalizar.

P: ¿Si estoy usando pxgrid integración con Cisco ISE también puedo generar integración del agente al AD?

R: Sí se puede usar el agente.

P: En las categorías vienen los proxys pero aunque se lo apliquen no bloquea el Ultrasurf ¿por qué?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: ¿El agente puede ser instalado directamente en el server de AD?

R: Sí se puede.

P: ¿Cuándo aplica definir una interface como passive interface?

R: El passive, es por si llega a fallar por HW el modulo de IPS(FirePOWER) el tráfico hacia Internet sigue fluyendo pero ya sin analizarlo.

P: ¿La configuración de IPs en el agente es manual en cada dispositivo?  

R: En el agente das de alta los active directory.

P: ¿Se puede gestionar el FirePOWER desde el ASDM para un ASA-5508-X, existe alguna limitante en este escenario?

R: Sí es posible administrarlo, aunque este sería más limitado que el FirePOWER management center.

P: ¿Se puede hacer traffic shaping desde el  management center para sitios de streaming?

R: No se puede, existe esta limitante.

P: ¿Se pueden crear Dashboards personales o solo podemos utilizar los predeterminados?

R: Se pueden generar dashboards personalizado.

P: ¿Lo presentado se puede integrar con ISE  y qué  valor agregado otorga?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: Tenemos un cliente que pronto migrará su wmware a 6.5 la consola FMC, pero veo que todavía no está homologada ¿Qué puedo hacer en ese caso, la versión de wmare es a ESX65?

R: Esto está relacionado a versiones y se debe revisar de acuerdo a al caso en específico. Para más detalles y revisión por favor contáctenos: contacto@voseda.com

P: ¿Si no tenemos Firesight adquirido para un ASA ¿es posibles hacer la integración con AD mediante ASDM?

R: Sí se puede, más detalles en: http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-firepower-services/200566-Configure-Active-Directory-Integration-w.pdf

P: ¿Cuántos servidores AD se pueden agregar en el UserAgent? 

R: Puedes tener un solo agente y en un solo agente configurar todos los AD existentes, el agente soporta mas de un AD.

P: ¿Si tengo varios AD de un mismo dominio el agente es necesario por cada uno? ¿O desde el principal se recolectan los eventos de los otros directorios?

R: Puedes tener un solo Agente y ahí colocas todos tus AD, en el agente pueden poner más de un AD.

P: ¿Passive interface es cuando se hace un Switched Port Analyzer (SPAN)? ¿Dónde puedo encontrar la diferencia entre passive y routed mode interface?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: En relación a ultrasoft ¿Bloquea la conexión mediante el complemento de ultrasurf en el navegador?

R: No estamos seguros esta limitación sea posible, dependería del caso. Para más detalles y revisión por favor contáctenos: contacto@voseda.com

P: ¿Si estoy usando pxgrid integración con Cisco ISE también puedo generar integración del agente al AD? Para manejar políticas con ambas formas.

R: Sí se puede hacer la integración con ambas.

P: ¿Qué pasa cuando vence la licencia de AMP y filtrado? ¿Seguirá funcionando en AMP o pierdo alguna configuración ya realizada en el FirePOWER?

R: Lo que pierdes es la actualización con Cisco Thalos, lo cual ya no se actualizarían las firmas pero seguiría funcionando con lo que tienes, pero si sale algun nuevo ataque ya no lo cubriría, estarías vulnerable.

P: ¿Qué tipo de certificado se requiere para desencriptar el tráfico -en https- y que permita mostrar el mensaje de bloqueo?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: El FirePOWER es capaz de por filtrar usuarios que tienen el mismo host. Es decir, si se tienen 2 sesiones de usuarios distintos ¿es posible otorgar permisos distintos?

R: Generalmente no es posible, ella que esto se hace por IP o por host. Sin embargo, si fuese el caso de logear un host en 2 IP distintos, entonces sí se podría hacer ya que Windows permite logear 2 sesiones del mismo usuario bajo el mismo IP. 

P: ¿Cómo bloqueas la búsqueda de pornografía, es decir me he topado con que me bloquea las URL pero al poner porno en Google me siguen apareciendo imágenes?

R: Esta limitación dependería mucho del caso. Para más detalles y revisión por favor contáctenos: contacto@voseda.com 

P: ¿En el ASA 5505 se puede colocar esta licencia?

R: Se pueden colocar, peor depende del caso. 

P: ¿Han detectado algún Bug al integrar un ASA 5516-X con el FMC?

R:  Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: ¿El agente esta bien si se instala en el server AD o requiere un VM independiente? 

R: Este corre sobre Windows, se soporta en diferentes versiones de Windows. El agente puede ser instalado en diferentes tipos de S.O. ya que soporta arquitecturas de cliente y servidor.

P: ¿El agente puede ser instalado en el mismo ACTIVE DIRECTORY?

R: No es recomendable, pero si se puede.

P: ¿No pide que se agregue algún dominio?

R: En el Agent no lo pide, solo el usuario con los privilegios, aunque en el Firesigth si te pide el dominio.

P: ¿Para aplicar el amp cual sería la mejor práctica (para no superar el tráfico)? 

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí

P: ¿Hay alguna diferencia para administrar el FirePOWER por Firesight o ASDM o se pueden realizar exactamente lo mismo?

R: El FIREsigth te sirve para el IPS y el web filtering y algunas cosas del ASA si lo tienes en cierto modo.

P: ¿Es posible ver que firma protege a un host en particular o ver desde una firma en particular a cuáles hosts esta aplicando?

R: Si se puede ver en que política cae el host, se va ver al final de la presentación.

P: ¿Qué tipo de certificado se requiere para desencriptar el tráfico, en https, y permita mostrar el mensaje de bloqueo?

R: No estamos seguros esta limitación sea posible, dependería del caso. Para más detalles y revisión por favor contáctenos: contacto@voseda.com 

P: ¿Existe una licencia  para todas categorías expuestas?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Cómo se licencia el FMC?

R: El FMC lo puedes licenciar para 2, 10 o 25 dispositivos.

P: ¿La licencia es anual?

R: Las licencias para el Firesigth es perpetua, las licencias de filtrado de contenido y AMP, pueden ser anuales, 3 años o 5 años.

P: ¿La licencia del FirePOWER user agent está incluída en la licencia del Firepower Manager Center o es aparte?

R: El agente no usa licencia.

P: ¿Qué pasa cuando vence la licencia de AMP y filtrado? Seguirá funcionando en AMP o se perdería la configuración ya realizada en el Firewpower.

R: Al vencer la licencia ya no tendría acceso a actualizaciones, y solo trabajaría con las que tiene en la base de datos del ASA.

P: ¿Se tiene la opción de realizar políticas por tiempo?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Es posible reducir velocidades en lugar de bloquear categorías de Web?

R: Como tal no trae esta opción totalmente definida, pero es posible hacerlo directamente en el ASA si se crean políticas. 

P: ¿Se puede Filtrar por tiempo?

R: Sí, es posible realizar filtros por tiempo. Por ejemplo se pueden crear horarios conforme a departamentos/grupos que se quieran observar en el filtro. 

P: ¿Hay alguna liga en donde lo podamos consultar, básicamente por fines de demostración y documentación a clientes porque muchas veces se resisten a asignar ciertos permisos? 

R: Puedes contactar a Voseda para apoyo, más detalles y una demo: contacto@voseda.com

P: ¿Cuándo dices 2, 10 o 25 dispositivos , te refieres a ASAS y si son cluster o ve como uno solo?

R: Eso se refiere que desde el Firesigth puede tener esa cantidad de ASA, pero los ve separados.

P: ¿Para la autenticación se requiere de un agente, el agente es por estación de trabajo?¿Cómo sería el licenciamiento?

R: El agente es uno que se instala en Windows, se sincroniza con el Active directory, necesitas una cuenta del AD.

P: ¿Lo demostrado se puede probar con Youtube https?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Cuándo se bloquea una url Ej.: Facebook bloquea tanto http como https?

R: Si es por URL debes definir, en este caso si quieres todas las que aplican debe ser por aplicación.

P: ¿Al seleccionar bloqueo de Facebook por ejemplo, te bloquea todas las IPS por donde pueda salir Facebook?

R: Es correcto, se van actualizando la información en la nube de Cisco.

P: ¿El tráfico https lo bloquea también?

R: Sí se puede bloquear, ejemplo Facebook es HTTPS.

P: ¿Cómo el FirePOWER bloquea tráfico cifrado, como https?

R:  Sí lo soporta.

P: ¿Cómo se bloquea la búsqueda de pornografía, es decir me he topado con que puedo bloquear las URL pero al poner porno en Google me siguen apareciendo imágenes?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Para bloqueo de https es posible tener el anuncio de página bloqueada como hace con http?

R: Sí se puede tener el anuncio, pero consume más recursos ya que debe abrir el mensaje.

P: ¿El mensaje de bloqueo solo se muestra en http o también funciona con las páginas https?

R: Sí se puede, pero al ser https debe desencriptar el mensaje, y esto involucra mayor procesamiento para el ASA-Firepower

P: ¿Qué ventaja tiene manejar identities con Cisco ISE en lugar de Firepower User Agent?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Si tengo varios AD de un mismo dominio el agente es necesario por cada uno o desde el principal se recolectan los eventos de los otros directorios?

R: En el agente necesitas dar de alta todos los ADs.

P: En ISE me ha tocado que el usuario que se requiere para leer AD debe tener privilegios de Admin ¿Esto ocurre de igual forma con FirePOWERr o solo requiere permisos de lectura?

R: Sí, se necesitan ciertos privilegios aunque no son de administrador
En el blog de Voseda hay artículos relacionados a los privilegios necesarios para la configuración. http://blog.voseda.com/

P: ¿Cisco Thread defense thread protection para FirePOWER 2100 incluye IPS?

R: Sí incluye el IPS, http://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/datasheet-c78-736661.html

P: ¿En una topología de Red para un pequeño ISP,  los Firepower se pueden configurar en modo transparente o modo out-of-band para proteger servicios de Correo, VoIp, etc?

R: Sí se podría , depende de las necesidades que se requieran.

P: ¿El FirePOWER se puede integrar con el AD en español?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Qué pasa si tenemos más de un AD?

R: Se pueden poner en el agente.

P: ¿El usuario final puede desactivar el agente?

R: El agente es un programa que corres, en si puedes parar el proceso si alguien tiene acceso al equipo donde esta instalado.

P: ¿Cuántos servidores AD se pueden agregar en el UserAgent? 

R: En un solo agente puedes configurar varios AD o los Ad existentes, contamos con un blog con información de la configuración para el Agente y los AD. http://blog.voseda.com/

P: Para realizar la integración con AD, tiene que ser un usuario Administrador o tiene que tener algún privilegio específico?

R: No es necesario ser administrador pero si ciertos privilegios.

P: ¿Es posible balancear la carga?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿El Firesight es la manera de administrar el FirePOWER?

R: Sí es correcto, es en sí el management center. Los dispositivos ASA FirePOWER cuentan con sus aplicaciones propias de administración como son ASDM y CSM, pero también FireSIGHT System nos proporciona un CLI interactivo para completar algunas configuraciones que no se pueden ejecutar con las herramientas.

P: ¿El AMP del FirePOWER inspecciona archivos adjuntos en los correos?

R: Sí lo soporta

P: ¿Dónde se puede visualizar información en Español?

R: Puedes encontrar más detalles en la Comunidad de Soporte de Cisco o en el blog de Vosea:  http://blog.voseda.com/

P: ¿En cuestiones de administración ¿se soporta la integración con TACACS?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Pudieran mostrar cómo se realiza el NAT inverso, es decir publicar un servidor interno hacia Internet?

R: Por falta de tiempo va ser complicado, pero puedes contactar a Voseda para apoyo y una demo: contacto@voseda.com

P: ¿Qué diferencia hay entre el Mandatory y el default?

R: Si es Mandatory lo puedes ver como que eso la va a realizar primero, se hace la barrida de las reglas de arriba hacia abajo, es común ver que en mandatory hay excepciones a la política general. 
Si es default lo puedes como algo más general, esta sección se revisará después de las reglas mandatory si no hubo un match.

P: El Firepower si bloquea el Ultrasurf ¿Puede encontrarse como app o como categoría Proxy?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Cuál seria el costo de las Licencias del Firepower?

R: Para detalles particulares por favor contacta a la representante de Voseda claudia.salazar@voseda.com ella brinda cotizaciones.

P: ¿Cómo funcionan las variables set? Por ejemplo, si defino las IP de los web servers dentro de la variable. Las firmas de IPS, que hagan referencia servicios web, ¿aplicarán a todos los hosts o solo a los definidos en la variable?

R: Una vez que tu asignas un variable set a una política de intrusión con reglas de control de acceso, por defecto ésta aplicará a todas las políticas de intrusión que utilizan las políticas de control de acceso. Si quieres modificar hay que hacer una customización.

P: ¿Es factible aplicar traficc shaper?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Cómo consigo las imágenes, se necesita algún contrato?

R: Necesitas ver directamente con Cisco.

P: ¿Se verá AMP y políticas de AMP?

R: Por cuestiones de tiempo no se cubrirá el tema en esta sesión. 

P: ¿Tiene el feature para controlar ancho de banda? Como lo tenía CX.

R: Si lo que buscas es asignar un ancho de banda cierta política eso no se puede hacer actualmente.

P: ¿El Firmware que están usando en el ASA es el FTD?

R: No, estamos utilizando la versión de ASA con FirePOWER.

P: ¿Cómo se puede hacer el traffic shaping?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿Dónde se pueden ver los log del tráfico?

R: Hay dos opciones, una es en los dashboards y la otra es ir a la sección de device y monitoring.

P: Si aplicas políticas a una IP ¿puedes de alguna manera asociarle un nombre a esa IP para conocer a que usuario o que equipo pertenece?

R: Puedes crear grupos y darles nombre.

P: ¿Es posible que veamos estas políticas directamente en la consola del FTD?

R: Sí, pero se debe conectar al FirePOWER.

P: ¿Para ftd ya no es necesario instalar el agente?

R: Con el FTD también necesitas el user agent para AD.

P: ¿El centralizar varios AD no alenta el desempeño?

R: No le hace lento, lo hemos probado hasta con 4 y no tiene problemas.

P: La GUI del FirePOWER Managament Center esta basada en la de ASDM o es un diseño nuevo completamente distinto?

R: Es un diseño diferente al ASDM.

P: ¿En el Cisco ASA5516-X una vez actualizado a FirePOWER puede manejar VPN client-to-site?

R: Sí se soporta VPNs site to site.

P: ¿Existe un track de certificaciones para especializarse en Cisco FirePower?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.

P: ¿En el caso de la red social de facebook se puede dejar activa la pagina pero bloquear el mensajero?

R: Sé se puede.

P: ¿Hay alguna guía de best practice para FirePOWER?

R: Como tal Best Practice no hay específicamente, pero tenemos un blog que desarrollamos con varios artículos enfocados a FirePOWER y su configuración. http://blog.voseda.com/

P: ¿Existe alguna guía de cómo hacerlo?

R: Tenemos un blog de Voseda donde viene información: http://blog.voseda.com/

P: ¿Las VPNS que se tienen en el ASA trabajan en conjunto con el FirePOWER o son independientes? Es decir, se pueden aplicar políticas a las VPN desde FirePOWER.

R: Las políticas aplican para todo el tráfico que cursa por el FirePOWER, si alguien se conecta por VPN y sale por el FirePOWER a Internet aplica para ese tráfico.

P: ¿Las políticas se pueden aplicar a usuarios cableados y WIFI?

R: Las políticas van basadas en el usuario del Active directory, es independiente si el usuario se esta conectando por WIFI o cableado , por que busca al usuario.

P: ¿Es posible bloquear la conexión mediante el complemento de Ultrasurf en el navegador?

R: Depende de la situación, se revisaría por caso específico. Para más detalles por favor contacte con nosotros: contacto@voseda.com 

P: ¿Qué  modelos específicos trabajarían de mejor manera?

R: Aquí se necesita hacer un dimensionamiento, depende de ancho de banda, numero de usuarios , vpn, etc.

P: ¿Se pueden aplicar las mismas configuraciones con el FirePOWER management center que con FirePOWER device manager?

R: No son las mismas, esta limitado. No hay mucha diferencia entre ellas, pero la recomendación es utilizar las configuraciones del management center.

P: ¿Voseda maneja Meraki también por casualidad, tienen forums en Español también?

R: Sí manejamos Meraki y estamos trabajando en contenido para el blog, cualquier duda puede contactarnos a: contacto@voseda.com 

P: ¿Siendo virtutlizado  qué limitaciones tiene? 

R: El esquema virtual no tiene ninguna limitación, solo en vez de appliance es virtual y lo instalas en un servidor, pero te brinda las mismas características.

P: ¿Qué hay del bloqueo a sitios con https?

R: Encuentre la respuesta en la sesión de Pregunte al Experto del evento aquí.




Información relacionada

 

28
Visitas
0
ÚTIL
0
Comentarios