ASA5585-SSP-IPS20 | IPS jaki

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
lorencpl
wannabe
wannabe
Posty: 126
Rejestracja: 17 sie 2006, 12:37
Lokalizacja: Wrocław

ASA5585-SSP-IPS20 | IPS jaki

#1

#1 Post autor: lorencpl »

Hello,
mam Cisco ASA 5585 razem z IPS ASA5585-SSP-IPS20. Z tego co widzę to end of life support April 30, 2018.

Czy możecie podpowiedzieć jaki IPS powinien być następcą takiego aby miało to ręce i nogi:)
-------------------------------
Cisco

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#2

#2 Post autor: mihu »

lorencpl pisze:Hello,
mam Cisco ASA 5585 razem z IPS ASA5585-SSP-IPS20. Z tego co widzę to end of life support April 30, 2018.

Czy możecie podpowiedzieć jaki IPS powinien być następcą takiego aby miało to ręce i nogi:)
w tej chwili tylko FirePower (ASA with Firepower Services module), stary IPS jak i CX sa RIP. Do tego polecam FMC (FirePower Manager) na VMie - nawet jak masz jednego firewalla z FP to i tak warto bo funkcjonalnosc jest znacznie wieksza niz przy zarzadzaniu przez ASDM. Bedziesz pewnie tez musial zrobic upgrade kodu ASy.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

lorencpl
wannabe
wannabe
Posty: 126
Rejestracja: 17 sie 2006, 12:37
Lokalizacja: Wrocław

Re: ASA5585-SSP-IPS20 | IPS jaki

#3

#3 Post autor: lorencpl »

Dzięki. Czy to z praktycznego punktu widzenie polega to na wymianie w pudełku starego IPSa na Firepower?
Obecnie jest tam soft 9.6(3)1
-------------------------------
Cisco

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#4

#4 Post autor: mihu »

lorencpl pisze:Dzięki. Czy to z praktycznego punktu widzenie polega to na wymianie w pudełku starego IPSa na Firepower?
Obecnie jest tam soft 9.6(3)1
Patrzac na kod mowisz o ASA code nie IPS. ASA5585 supportuje ASA+FP module ale nie czyste FTD (i tak za wczesnie zeby to uzywac jako firewalla). Jesli masz ASA 9.6.3.1 to przynajmniej jeden klopot z glowy bo nie bedziesz musial updatowac ASy i FP 6.2.0.x pojdzie na nim.

z pamieci Ci nie powiem zerknij tu:

ASA compatibility: http://www.cisco.com/c/en/us/td/docs/se ... fId-137110
Firepower compatibility: http://www.cisco.com/c/en/us/td/docs/se ... ility.html

masz jedno pudlo czy 2, single czy multiple context? Jak masz 2x ASA5585 w HA bedziesz potrzebowal licencji na oba FP i wtedy lepiej juz zarzadzac z FMC.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

lorencpl
wannabe
wannabe
Posty: 126
Rejestracja: 17 sie 2006, 12:37
Lokalizacja: Wrocław

Re: ASA5585-SSP-IPS20 | IPS jaki

#5

#5 Post autor: lorencpl »

2x ASA5585 w HA - bez context
2x ASA5585 w HA - z context

Pudła są podwójne jedno miejsce to ASA a drugie to IPS
-------------------------------
Cisco

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#6

#6 Post autor: mihu »

lorencpl pisze:2x ASA5585 w HA - bez context
2x ASA5585 w HA - z context

Pudła są podwójne jedno miejsce to ASA a drugie to IPS
zgadza sie. z tego co widze FMC Ci sie na pewno przyda, VM wystarczy, licencje sa chyba na 2,5, 10 i 25 urzadzen. Kazdy FP potrzebuje control+protection license - wszystkie nowe pudla maja to w defaultcie, Ty pewnie musialbys dokupic. Lepiej zebys pogadal z jakims lokalnym partnerem Cisco. Acha - chodzi glownie o wymiane software-u, hardware powinien byc ok.

co do licencji sa rozne zalezy co potrzebujesz : IPS, URL filter i AMP tu wiecej info: http://www.cisco.com/c/en/us/td/docs/se ... System.pdf
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

misiak
CCIE
CCIE
Posty: 45
Rejestracja: 17 cze 2008, 14:52
Lokalizacja: Wrocław

Re: ASA5585-SSP-IPS20 | IPS jaki

#7

#7 Post autor: misiak »

No właśnie.
Robił ktoś migrację z ASA 5585-SSPxx-IPS do ASA 5585-SSPxx-FP ?

Co do licencji subskrypcji, to nie mam wątpliwości.

Chodzi mi natomiast o jednoznaczną odpowiedź na pytanie, czy wystarczy zrobić reimage modułu IPS na FP bez wymiany samego hardware ?

Czy jednak trzeba wymieniać moduły SSP które działały jako IPS na moduły SSP które będą działały jako FP ? Do tej pory wydawało mi się, że można to zrobić bez wymiany hardware'u. Mam jednak wątpliwości ...

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#8

#8 Post autor: mihu »

misiak pisze:No właśnie.
Robił ktoś migrację z ASA 5585-SSPxx-IPS do ASA 5585-SSPxx-FP ?

Co do licencji subskrypcji, to nie mam wątpliwości.

Chodzi mi natomiast o jednoznaczną odpowiedź na pytanie, czy wystarczy zrobić reimage modułu IPS na FP bez wymiany samego hardware ?

Czy jednak trzeba wymieniać moduły SSP które działały jako IPS na moduły SSP które będą działały jako FP ? Do tej pory wydawało mi się, że można to zrobić bez wymiany hardware'u. Mam jednak wątpliwości ...
na 99.9% jestem pewien ze tak. musisz sprawdzić PID modułu. postaram sie sprawdzić wieczorem PID sprzętu który instalowałem jakiś czas temu.

co do licencji to oprócz subskrypcji (na każdy moduł) , fmc, potrzebujesz jeszcze control+protection na każdy moduł żeby go wpiąć do fmc.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#9

#9 Post autor: mihu »

z książki o FP T. Lammle ( imho średniej , ale do podstaw o FP wystarczy) FP (ale nie FTD) będzie działać na 5585X SSP-10 , 20 , 40 i 60
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

misiak
CCIE
CCIE
Posty: 45
Rejestracja: 17 cze 2008, 14:52
Lokalizacja: Wrocław

Re: ASA5585-SSP-IPS20 | IPS jaki

#10

#10 Post autor: misiak »

... generalnie jednak moje pytanie staje się teoretyczną dywagacją, bo od 25 sierpnia nie będzie można już kupić nowych subskrypcji FP na ASA5585 ...

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#11

#11 Post autor: mihu »

misiak pisze:... generalnie jednak moje pytanie staje się teoretyczną dywagacją, bo od 25 sierpnia nie będzie można już kupić nowych subskrypcji FP na ASA5585 ...

czyli jesli potrzebujesz masz jeszcze troche czasu, chyba ze procedury zajmuja dluzej. EOS/EOL dla ASA5585-X byl oglaszany jakis czas temu https://www.cisco.com/c/en/us/products/ ... 38643.html

stary Cisco IPS byl niezly, CX - no comments, ale FP (jako IPS) ma moc

cala rodzine ASA-X czeka EOS w najblizszej przyszlosci, wszystko idzie na FP (hardware)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA5585-SSP-IPS20 | IPS jaki

#12

#12 Post autor: art »

mihu pisze:
cala rodzine ASA-X czeka EOS w najblizszej przyszlosci, wszystko idzie na FP (hardware)
I czy w końcu będzie możliwa konfiguracja ASA'y po ludzku, a nie w dwóch miejscach ?
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#13

#13 Post autor: mihu »

art pisze:
mihu pisze:
cala rodzine ASA-X czeka EOS w najblizszej przyszlosci, wszystko idzie na FP (hardware)
I czy w końcu będzie możliwa konfiguracja ASA'y po ludzku, a nie w dwóch miejscach ?
tak i nie. ASA zostanie z czasem zastąpiona przez FTD. to taki CheckPoint na snortowych sterydach gdzie SmartManager jest zastąpiony przez FMC
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA5585-SSP-IPS20 | IPS jaki

#14

#14 Post autor: art »

Czyli nadal to bedzie padaka. To z czasem ja slysze od dwoch lat, odkad stalem sie nieszczesliwym posiadaczem tego "polproduktu"
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

ASA5585-SSP-IPS20 | IPS jaki

#15

#15 Post autor: mihu »

art pisze:Czyli nadal to bedzie padaka. To z czasem ja slysze od dwoch lat, odkad stalem sie nieszczesliwym posiadaczem tego "polproduktu"
nie do końca rozumiem. jeśli chcesz możesz juz zainstalować FTD na sprzęcie ASA-X, jeśli dobrze pamietam działa na wszystkim poza 5585 (ograniczenia sprzętowe, dlatego pewnie ogłoszono go EOL) , z tego co sprawdzałem (6.2.1 - akurat ta wersja działa tylko na sprzęcie FP, ASA jak na razie wspiera 6.2.0.2 , gdzie nie ma RVPN) ale nie wszystko jeszcze jest przeniesione. taki jest niestety koszt postępu.

technicznie SourceFire/FirePower wywodzi sie ze świata IPS a nie firewalli.

no i dodatkowy „fun” to smart licenses , ale to tez niestety przyszłość w Cisco world. nie wiem jak w innych działkach ale w security juz się rozpycha
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ