¬аш вопрос св€зан с хэштэгами # орпоративные сети, #Cisco? —просите в Telegram!

ћерион Ќетворкс

8 минут чтени€

¬ одной из предыдущих статей мы рассматривали межсетевой экран ASA и пор€док его первоначальной настройки. Ќо ничего не стоит на месте и в какой-то момент Cisco купила компанию Sourcefire за баснословные миллиарды "ƒаларов". «ачем? Ќу, во-первых, у Sourcefire был один из лучших в то врем€ на рынке IPS-ов и еще был р€д интересных продуктов, которые Cisco успешно забрала себе в портфолио, например Ц Advanced Malware Protection, который по сути своей €вл€етс€ End Point Detection & Response решением. «ачем? ј чтобы можно было воврем€ реагировать на угрозы и проводить расследовани€.

Ќу да ладно, мы таки FirePower настраивать собрались. ѕервоначально Firepower выступал в качестве дополнительного модул€ (виртуального в случае 5506-5555 и физического в случае 5585) к ASA. „то есть этот модуль? Ётот модуль Ц отдельный и самобытный кусок ѕќ, доставшийс€ от Sourcefire. ќтсюда следует забавный вывод: дл€ управлени€ этим модулем требовалась отдельна€ консоль управлени€ (в идеале). ј еще, логика обработки пакетов была довольной необычной, но так как экран работал с относительно небольшими скорост€ми, было прин€то решение о выносе модул€ FirePower в качестве отдельного, уже не относ€щегос€ к межсетевому экрану ASA и назвали это чудо FirePower Threat Defense Ц где в базе используетс€ ASA, а сверху прилеплен NGFW функционал. Ќовые FirePower-ы имеют огромную производительность Ц подробнее смотрите в даташитах.


 ратко о наших баранах или общие рекомендации

¬ариации настройки платформы Firepower Threat Defense всего два (а если рассматривать ASA + FirePower сервисы, то аж три, или даже четыре Ц такой вот коленкор):

  1. FirePower Management Center (FMC) Ц централизованное управлени€ политиками, устройствами и событи€ми. ќбладает автоматизацией, что упрощает настройку.
  2. FirePower Device Manager (FDM) Ц €вл€етс€ простым автономным решением дл€ стандартных настроек правил обеспечени€ безопасности.

ћы же рассмотрим самую медленную, но самую богатую (по функционалу) вариацию Ц средство централизованного управлени€ FMC. ќна обладает многопользовательской настройкой, более продвинутым реагированием на угрозы, такой пр€м мини-SIEM. “акже предусмотрено наследование политик (централизованный пуш конфигурации на устройства), что упрощает настройку. ѕерейдем непосредственно к первоначальной настройке FMC. Ќастройки будем рассматривать дл€ IPS/IDS (комплексы средств дл€ предотвращени€ и обнаружени€ угроз в локальную сеть). „тобы максимально эффективно использовать IDS/IPS, нужно придерживатьс€ следующих рекомендаций:

  • —истему необходимо разворачивать на входе защищаемой сети или подсети и обычно за межсетевым экраном (нет смысла контролировать трафик, который будет блокирован) Ч так мы снизим нагрузку. ¬ некоторых случа€х датчики устанавливают и внутри сегмента.
  • ѕеред активацией функции IPS следует некоторое врем€ погон€ть систему в режиме, не блокирующем (IDS). ¬ дальнейшем потребуетс€ периодически тюнинговать правила.
  • Ѕольшинство настроек IPS установлены с расчетом на типичные сети. ¬ определЄнных случа€х они могут оказатьс€ неэффективными, поэтому необходимо об€зательно указать IP внутренних подсетей и используемые приложени€ (порты). Ёто поможет железке лучше пон€ть, с чем она имеет дело. Ќо тут есть така€ штука как NGIPS Ц система снимает профиль трафика и может сама под него подстраиватьс€, включа€ нужные правила и отключа€ ненужные.
  • ≈сли IPS-система устанавливаетс€ Ђв разрывї, необходимо контролировать ее работоспособность, иначе выход устройства из стро€ может запросто парализовать всю сеть.

Ќастройте вы его уже наконец Ц часть 1

»так, приступим к настройке платформы —isco FirePower: ”станавливаем Ќеобходимое ѕќ: ≈го можно найти в вашем комплекте поставки, либо можете скачать с официального сайта cisco.com (при наличии у вас сервисного контракта). ѕќ понадобитс€ следующее: FirePower Management Center (поддерживает ESXi и KVM) и образ дл€ вашей желез€ки или же образ виртуального Firepower-а, который американцы прозвали NGFWv.

ѕодключаем кабели (согласно указанной ниже схеме и что неприменимо к виртуалке).

  • Console port Ц консольный порт
  • Management port Ц дл€ подключени€ и настройки сети
  • Logical Device Management Ц дл€ настройки логических устройств (можно настраивать как 1, так и все интерфейсы сразу)

ѕоместите FMC в сеть управлени€ логическими устройствами. ƒл€ обновлений FTD и FMC требуетс€ подключение к интернету. ≈сли оборудование не новое (было кем-то использовано), необходимо стереть текущую конфигурацию следующими командами (выделены Ђжирнымї):

—хема подключени€ портов
Firepower-chass Firepower-chassis # connect local-mgmt
Firepower-chassis(local-mgmt)# erase configuration

ѕодключитесь к последовательному консольному порту, использу€ эмул€тор терминала. Firepower 9300 включает последовательный консольный кабель RS-232 Ц RJ-45. ¬ам может понадобитьс€ использовать кабель последовательного интерфейса USB от стороннего производител€ дл€ подключени€. »спользуйте следующие серийные параметры:

9600 baud
8 data bits
No parity
1 stop bit

ѕри по€влении запроса войдите в систему с именем пользовател€ admin и паролем cisco123. ¬водим только то, что выделено Ђжирнымї.

ѕервична€ конфигураци€ Firepower ѕервична€ сетева€ конфигураци€ Firepower

 огда по€витс€ запрос о подтверждении конфигурации, подтверждаете Ц просто наберите yes.


Ќастройте вы его уже наконец Ц часть 2

ƒалее нам необходимо произвести настройки, использу€ браузер. ќбращаю внимание, что не каждый браузер подойдет! Ќастраивать можно только с управл€ющего компьютера, IP-адрес которого попадаем в диапазон, который указывали в конфигурации.

«аходим в браузер и в поисковую строку (строку ввода URL) вводим следующее: https://адрес_железки

¬водим им€ пользовател€ admin и новый пароль дл€ входа в дальнейшем. ќсуществл€ем процедуру входа в систему.

Ќастраиваем NTP соединение. ќно нужно нам дл€ синхронизации времени на всех устройствах. ќт этого зависит как стабильность, так и сама работа в принципе.

«аходим непосредственно в настройки и выбираем параметр использовани€ NTP-сервера. ¬ правом нижнем углу выберите ЂAddї

Ќастройка NTP сервера

NTP Server (об€зательное поле дл€ заполнени€) должен включать IP-адрес или им€ host-сервера, Authentication Key Ц идентификатор от NTP-сервера. ≈сли не знаете этот ключ, можете найти его поискав через поисковик (ntp.keys). “акже можно получить его (при условии, что файла ntp.keys нет), прописав команду в консоли управлени€ ntp-keygen -M, затем поискав тот же самый файл, вы найдете его в директории. Ќажимаем ЂAddї и добавл€ем наш NTP-сервер.

Ќастройка NTP сервера

—охран€ем изменени€. «аходим во вкладку ЂCurrent Timeї, затем ЂTime Zoneї и выбираем свой часовой по€с из списка и после сохран€ем настройки.

Ќастройка NTP сервера
Ќастройте вы его уже наконец Ц часть 3. Ќастройка базового функционала.

Ќастроим интерфейсы. ƒл€ этого переходим в саму вкладку ЂInterfacesї, расположенную у рамки окна в черной полосе. Ќажимаем ЂEditї дл€ интерфейса, который собираемс€ настроить.

Ќастройка интерфейсов

ќткрываем порт дл€ работы галочкой напротив ЂEnableї. ¬ строке ЂTypeї выбираем назначение интерфейса (мы будем передавать данные, поэтому выбираем пункт Ђdata-sharingї. ќстальные данные заполн€ть не об€зательно. —кажу, что там настраиваетс€ —корость передачи, авто согласование и режим дуплекса соответственно. Ћучше оставить данные параметры не настроенными, система сама перестроитс€ дл€ работы. ѕерейдем непосредственно к настройке IPS (политика обнаружени€ вторжений).

¬ыбираем пункт Policies > Access Control > Intrusion

Ќастройка IPS

ƒалее жмем —reate Policy (справа кнопка)

—оздание политики

» в по€вившемс€ окне заполн€ем им€ (Name) (об€зательный параметр). ≈сли вы не обладаете достаточными знани€ми дл€ детальной настройки IPS, воспользуйтесь рекомендуемыми фильтрами. ѕункт Base Policy, в нем выбираем Maximum Detection (максимальна€ защита). —оздаем и примен€ем изменени€ с помощью кнопки Create and Edit Policy.

IPS тут умен, гораздо умнее автора этой статьи. ¬ ходе эксплуатации вы это заметите. ј именно, что при использовании максимальной степени защиты (Maximum Detection) программное обеспечение предложит вам исключить правила, которые не нужны и просто на Ђхолостуюї трат€т ресурсы вашего устройства защиты. “акие рекомендации она делает по результатам статистики. ќна хранитс€ в Policies > Access Control > Intrusion > Firepower Recommendations > Generate Recommendations

¬ключение NGIPS

“аким образом, система адаптируетс€ индивидуально дл€ вашей сети.

Ќастроим обнаружение вирусов и зараженных файлов. Ќо дл€ более адекватной работы сети, рекомендуетс€ создать DNS Ђловушкуї (следующий пункт), котора€ покажет, на какое именно устройство пришел вредоносный файл. ≈сли Ђловушкуї не создавать, то информаци€ о зараженном файле по€витс€ в общем хранилище и определить, какое из устройств получило этот вредоносный файл (код), не представитс€ возможным.

ѕереходим по пути: Policies > Access Control > Malware & File. —оздаем новую политику, даем ей название. «атем добавл€ем правило (Add Rule). «аполнить рекомендуетс€ так, как указано на изображении. Ёто общеприн€тое правило с максимальной степенью защиты. Ќажимаем Save.

Ќастройка сетевого антивируса

“еперь настроим DNS Ђловушкуї. Objects > Object Management. ќтыскиваем в левой колонке Sinkhole. ƒалее нажимаем Add Sinkhole

ƒобавл€ем заглушку DNS

«аполн€ем таблицу. ѕри заполнении обратите внимание на то, что данные, указанные в IPv4/6 не должны быть в вашей сети. ѕосле настройки нажимаем Save.

ƒалее переходим в настройку DNS политики (Policies > Access Control > DNS). ¬ыбираем Add DNS Policy, добавл€ем название и сохран€ем. Ќас автоматически переводит в это правило. ћы видим, 2 раздела (белый и черный листы. Ќам необходимо создать и настроить своЄ правило. ƒл€ этого нажимаем Add DNS Rule и по€вл€етс€ новое окно. «аполн€ем его как на изображении.

ƒобавл€ем заглушку DNS

¬ нем мы добавл€ем все возможные правила, рекомендуемые компанией Cisco. ¬ыбираем все файлы и нажимаем Add to Rule. » непосредственно здесь мы можем применить свою DNS Ђловушкуї. ƒл€ этого в пункте Action выбираем Sinkhole. Ќапротив откроетс€ новый пункт, в котором мы выбираем наш DNS Ђловушкуї. “еперь мы сможем видеть, на какое устройства пришел вредоносный файл (код). Ќа этом первоначальные настройки произведены. ƒалее производитс€ более детальна€ настройка исход€ из ваших потребностей.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: