Licencje ASA-X

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
jacob
wannabe
wannabe
Posty: 53
Rejestracja: 24 sty 2016, 16:14

Licencje ASA-X

#1

#1 Post autor: jacob »

Cześć,

Panowie, możecie wytłumaczyć jak wygląda sprawa z licencjami na ASA 5512-X?

dostałem ASA i koperty z licencjami (z numerami PAK): Control License oraz Security Plus License

Security PLus License jest do rozwinięcia Basa, czyli liczba maksymalnych połaczen, ilośc Vlan itd -> ale sprawdzałem i na urządzeniu jest aktywna licencja Security Plus :O



do czego natomiast służy control base? -> "Control license is installed and enable it in the ASA FirePOWER Module" -> usługi nie należy kupić bo jest razem z modułem, więc po co mi ta koperta z licencją?

Wczytałem się i myślę ze wygląda to tak:

Jeśli chodzi o możliwości systemowe to dzielimy na Base i Security Plus
Natomiast jeśli chodzi o możliwości w module firePower to: Contro License(razem z modułem firePower), Protection License, Malware License, URL Filtering License
Poprawcie mnie jeśli sie myle?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Licencje ASA-X

#2

#2 Post autor: mihu »

jacob pisze: 08 lis 2017, 23:12

dostałem ASA i koperty z licencjami (z numerami PAK): Control License oraz Security Plus License

(...)
do czego natomiast służy control base? -> "Control license is installed and enable it in the ASA FirePOWER Module" -> usługi nie należy kupić bo jest razem z modułem, więc po co mi ta koperta z licencją?

hejka,

control license daje Ci mozliwosc dodania FP module z ASY do FMC (Firepower Management Centre) i tyle, wtedy mozesz aplikowac polityki (ACP) dla extra featureow potrzebujesz dodakowe licencje: IPS , Malware czy URL filter , lub wszystkie na raz ;). btw ctrl lic jest per platform, czyli z 5512 nie bedzie dzialac na np. 5515. To ze masz zainstalowny FP module nie znaczy, ze bez licencji IPS/Malware/URL bedzie cos robil uzytecznego.

Tak, mozna zarzadzac FP z poziomu ASY, ale odradzam - bardzo okrojona funkcjonalnosc.

control license to pozostalosc po Sourcefire, na platformie Firepower z kodem FTD, nie ma jej juz, ale tam jest z kolei smart license.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

jacob
wannabe
wannabe
Posty: 53
Rejestracja: 24 sty 2016, 16:14

Re: Licencje ASA-X

#3

#3 Post autor: jacob »

mihu pisze: 09 lis 2017, 01:25
jacob pisze: 08 lis 2017, 23:12

dostałem ASA i koperty z licencjami (z numerami PAK): Control License oraz Security Plus License

(...)
do czego natomiast służy control base? -> "Control license is installed and enable it in the ASA FirePOWER Module" -> usługi nie należy kupić bo jest razem z modułem, więc po co mi ta koperta z licencją?

hejka,

control license daje Ci mozliwosc dodania FP module z ASY do FMC (Firepower Management Centre) i tyle, wtedy mozesz aplikowac polityki (ACP) dla extra featureow potrzebujesz dodakowe licencje: IPS , Malware czy URL filter , lub wszystkie na raz ;). btw ctrl lic jest per platform, czyli z 5512 nie bedzie dzialac na np. 5515. To ze masz zainstalowny FP module nie znaczy, ze bez licencji IPS/Malware/URL bedzie cos robil uzytecznego.

Tak, mozna zarzadzac FP z poziomu ASY, ale odradzam - bardzo okrojona funkcjonalnosc.

control license to pozostalosc po Sourcefire, na platformie Firepower z kodem FTD, nie ma jej juz, ale tam jest z kolei smart license.

dzięki za wyjaśnienie ;)

Niby jest IPS i AMP (TAM) na rachunku, ale nie widzę jej fizycznie,
jest opcja ze jest razem z Control License / SecurityPlus?


chciałem wgrać numer PAK( z Control License) ale woła *License key żeby wygenerować Licencje, skąd mogę to odczytać?

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Licencje ASA-X

#4

#4 Post autor: mihu »

jacob pisze: 09 lis 2017, 09:39

Niby jest IPS i AMP (TAM) na rachunku, ale nie widzę jej fizycznie,
jest opcja ze jest razem z Control License / SecurityPlus?


chciałem wgrać numer PAK( z Control License) ale woła *License key żeby wygenerować Licencje, skąd mogę to odczytać?
jesli masz TAM na rachunku to wystarczy, tego sie nie aplikuje, TAM daje Ci [korekta] - prawie wszystko ;), bez URL filter. btw polisy IPS i Malware podpina sie pod ACP (nowy ACL na sterydach), IPS moze byc per ACP lub global - jesli masz ASA + FP, nie warto przekombinowywac i uzywac FP tylko jako IPS a nie 2nd tier firewall bo sie latwo pogubic.

PAK z ctrl license - to zalezy czy bedziesz zarzadzal przez ASDM czy przez FMC. Jesli FMC to jego "serial number" generuje sie na podstawie MAC addresu (fizycznego lub VM) z przedrostkiem 66: i do niego rejestrujesz PAK. ASDM zachowuje sie chyba podobnie, ale osobiscie unikam i odradzam.

acha i jeszcze jedno, musisz ruch z ASy przepchnac do FP :)

przykaldowy kod, ktory wysyla wszystko:

Kod: Zaznacz cały

access-list FIREPOWER_REDIRECT extended permit ip any any

class-map FIREPOWER_MAP
  match access-list FIREPOWER_REDIRECT

  policy-map global_policy
  class FIREPOWER_MAP
    sfr fail-open|fail-close 

jeszcze zostaje kwestia ustawienia sensora : IDS czy IPS. Mozna to zrobic na ASie w policy map (nie zalecane, tylko do demo) lub na polisie IPS w FP.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Licencje ASA-X

#5

#5 Post autor: mihu »

jesli zarzadzasz FP przez ASDM musisz przypisac PAK code do license key (vel pseudo serial number) jaki sie pokazuje w ASDM:

ASDM > configuration > ASA FP configuration > Licenses > License Key
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

jacob
wannabe
wannabe
Posty: 53
Rejestracja: 24 sty 2016, 16:14

Re: Licencje ASA-X

#6

#6 Post autor: jacob »

mihu pisze: 09 lis 2017, 17:06 jesli zarzadzasz FP przez ASDM musisz przypisac PAK code do license key (vel pseudo serial number) jaki sie pokazuje w ASDM:

ASDM > configuration > ASA FP configuration > Licenses > License Key
No własnie mam problem bo brak opcji ASA Firepower Configuration w ASDM :/

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Licencje ASA-X

#7

#7 Post autor: mihu »

jacob pisze: 11 lis 2017, 18:51
mihu pisze: 09 lis 2017, 17:06 jesli zarzadzasz FP przez ASDM musisz przypisac PAK code do license key (vel pseudo serial number) jaki sie pokazuje w ASDM:

ASDM > configuration > ASA FP configuration > Licenses > License Key
No własnie mam problem bo brak opcji ASA Firepower Configuration w ASDM :/
za stary ASDM? wrzuc najnowszego. poza tym sprawdz compatibility matrix ASA code - FP code - ASDM ( z reguły najnowszy is the best) ; jeśli chodzi o FP to polecam od razu instalować najnowszy (6.2.2.x) bo upgrade to mordęga (sama procedura jest już ok, ale zajmuje od groma czasu).
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ