ASA 5512 - reguły firewall per grupa w AD

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
mmatu
fresh
fresh
Posty: 4
Rejestracja: 02 wrz 2019, 15:55

ASA 5512 - reguły firewall per grupa w AD

#1

#1 Post autor: mmatu » 02 wrz 2019, 16:08

Szanowni,

Czy ASA 5512 ma możliwość integracji z Microsoft Active Directory aby tworzyć reguły dostępu per grupa w Active Directory?
Czy taka funkcjonalność dostępna jest z pudełka czy trzeba coś dokupić?

Będę wdzięczny za wsparcie.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1511
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA 5512 - reguły firewall per grupa w AD

#2

#2 Post autor: drake » 02 wrz 2019, 20:02

Hej,
sama "stara" ASA 5512 nie ma takiej funkcjonalnosci, natomiast ASA 5512-X z modulem Firepower tak. Integracja z LDAP wymaga instalacji Cisco User Agent na serwerze i zasysania grup/uzytkownikow do Firepower, na ktorym mozna wowczas zdefiniowac polityke dostepu (Access Control Policy) w oparciu o sciagniete i regularnie aktualizowane grupy AD.
Wiecej na ten temat tutaj: https://www.cisco.com/c/en/us/td/docs/s ... urces.html

Pozdruffka!
Never stop exploring :)

https://iverion.de

mmatu
fresh
fresh
Posty: 4
Rejestracja: 02 wrz 2019, 15:55

Re: ASA 5512 - reguły firewall per grupa w AD

#3

#3 Post autor: mmatu » 02 wrz 2019, 20:50

Jak 'show version' zwraca mi poniższy wynik:

Cisco Adaptive Security Appliance Software Version 9.8(3)18
Firepower Extensible Operating System Version 2.2(2.111)
Device Manager Version 7.9(1)151

To mogę zaczynać pracę nad konfiguracją? :)

Jeżeli powyższe jest prawdziwe i skonfiguruję FirePower, to czy obecne reguły sieciowe jakie mam dalej będą działały, a reguły per grupa/użytkownik będą kolejnymi regułami i razem to wszystko zagra, czy może mnie coś zaskoczyć?

Dzięki bardzo za info!

chunkpunk
member
member
Posty: 41
Rejestracja: 31 mar 2011, 10:40

Re: ASA 5512 - reguły firewall per grupa w AD

#4

#4 Post autor: chunkpunk » 03 wrz 2019, 08:52

Jak jestes pewny ze to -x to zaczynaj :)
sciagnij sobie
firepower service
management centera
zainstaluj agenty na stacjach .
i smigaj :)

Generalnie zabawa bez ampa i urla tylko po to aby miec integracje z AD jest dziadowska :)
:)

mmatu
fresh
fresh
Posty: 4
Rejestracja: 02 wrz 2019, 15:55

Re: ASA 5512 - reguły firewall per grupa w AD

#5

#5 Post autor: mmatu » 03 wrz 2019, 09:33

@chunkpunk - to jeżeli 'show version' nie pokazuje, że to jest wersje '.....-X' to znaczy, że nie ma co zaczynać?
'show inventory' pokazuje mi:
Name: "Chassis", DESCR: "ASA 5512-X with SW, 6 GE Data, 1 GE Mgmt, AC"


Nie robię tego dla samej integracji z AD, efekt jaki chcę osiągnąć to tworzenie reguł sieciowych per grupa w AD, a nie per IP.
Rozumiem, że 'AMP i URL' to extra płatne usługi?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1511
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA 5512 - reguły firewall per grupa w AD

#6

#6 Post autor: drake » 03 wrz 2019, 11:38

Hej,
masz ASA 5512-X z firepower, na to wskazuje output. Kwestia czy wiesz co i jak skonfigurowac, sadze ze bedziesz rwal wlosy jak sie najpierw nie "doedukujesz". Poczytaj najpierw dokumentacje, latwiej Ci pojdzie z wdrozeniem, lub doszkol sie w tym zakresie. AMP i URL to dodatkowe sprawy wymagajace licencji. Do samego filtrowania na podstawie grup AD zamiast adresow IP nie potrzebujesz tego, aczkolwiek dzisiejszy NGFW powinien takie rzeczy miec. Anyway, jesli masz kontrakt serwisowy (a powinienes) to sciagnij Cisco User Agent, zrob update SW na module SFR do aktualnego 6.2.3.14-36 i skonfiguruj co potrzebujesz... Oczywiscie istniejace reguly powinny byc jakos zintegorwane - nalezy zastanowic sie czy ustawiasz ACL na ASA i dodatkowo na Firepower, czy tylko na module FPR... kwestia smaku i skomplikowania (niektorzy lubia, niektorzy nie...).

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

mmatu
fresh
fresh
Posty: 4
Rejestracja: 02 wrz 2019, 15:55

Re: ASA 5512 - reguły firewall per grupa w AD

#7

#7 Post autor: mmatu » 03 wrz 2019, 17:18

Wydając polecenie 'show module sfr' otrzymuję wynik
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr Unknown N/A -----------

Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr ----------- to --------- N/A N/A

Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr Unknown No Image Present Not Applicable

Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Unresponsive Not Applicable

Czyli moduł nie jest zainstalowany.

Czy dobrze sprawdziłem, żeby używać FirePower, to należy wgrać binaria na ASA-ę, przygotować obraz i 'przestawić' ASĘ w tryb startowania z obrazu FirePower?

@drake - piszesz o Cisco User Agent, czy to nadal jest ta sama nazwa czy już "Firepower User Agent Configuration"?

Czy do tego nie potrzebuję FirePower Management Center?
Czy faktyczy faktycznie potrzebuję mieć SSD w ASA?

Dzięki Panowie za wyjaśnienia, małymi krokami zbieram kompletuję informacje.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1511
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA 5512 - reguły firewall per grupa w AD

#8

#8 Post autor: drake » 03 wrz 2019, 19:59

Musisz miec SSD, a te ASA maja inny image (OS) niz tradycyjne. Nie wiem co tam masz dokladnie, powinien bc SSD jesli ASA zostala sprzedana jako Firepower. Jesli nie, to musisz dokupic dysk, zainstalowac odpowiedni Image na ASA oraz odpowiedni na module Firepower. Skontaktuj sie z partnerem Cisco od ktorego macie ten sprzet.
Do tego co potrzebujesz nie musisz miec FMC. A Cisco User Agent to soft na windowsa, ktory laczy sie z AD i pobiera grupy, integracje konfiguruje sie z poziomu FPR.

W razie czego zapraszam na moje szkolenie, wielu otwiera oczy bo przejscie z tradycyjnej ASA na Firepower wbrew pozorom nie jest takie latwe.

Pozdruffka!
Never stop exploring :)

https://iverion.de

ODPOWIEDZ