ASA 5512 - reguły firewall per grupa w AD
ASA 5512 - reguły firewall per grupa w AD
Szanowni,
Czy ASA 5512 ma możliwość integracji z Microsoft Active Directory aby tworzyć reguły dostępu per grupa w Active Directory?
Czy taka funkcjonalność dostępna jest z pudełka czy trzeba coś dokupić?
Będę wdzięczny za wsparcie.
Czy ASA 5512 ma możliwość integracji z Microsoft Active Directory aby tworzyć reguły dostępu per grupa w Active Directory?
Czy taka funkcjonalność dostępna jest z pudełka czy trzeba coś dokupić?
Będę wdzięczny za wsparcie.
Re: ASA 5512 - reguły firewall per grupa w AD
Hej,
sama "stara" ASA 5512 nie ma takiej funkcjonalnosci, natomiast ASA 5512-X z modulem Firepower tak. Integracja z LDAP wymaga instalacji Cisco User Agent na serwerze i zasysania grup/uzytkownikow do Firepower, na ktorym mozna wowczas zdefiniowac polityke dostepu (Access Control Policy) w oparciu o sciagniete i regularnie aktualizowane grupy AD.
Wiecej na ten temat tutaj: https://www.cisco.com/c/en/us/td/docs/s ... urces.html
Pozdruffka!
sama "stara" ASA 5512 nie ma takiej funkcjonalnosci, natomiast ASA 5512-X z modulem Firepower tak. Integracja z LDAP wymaga instalacji Cisco User Agent na serwerze i zasysania grup/uzytkownikow do Firepower, na ktorym mozna wowczas zdefiniowac polityke dostepu (Access Control Policy) w oparciu o sciagniete i regularnie aktualizowane grupy AD.
Wiecej na ten temat tutaj: https://www.cisco.com/c/en/us/td/docs/s ... urces.html
Pozdruffka!
Re: ASA 5512 - reguły firewall per grupa w AD
Jak 'show version' zwraca mi poniższy wynik:
Cisco Adaptive Security Appliance Software Version 9.8(3)18
Firepower Extensible Operating System Version 2.2(2.111)
Device Manager Version 7.9(1)151
To mogę zaczynać pracę nad konfiguracją?
Jeżeli powyższe jest prawdziwe i skonfiguruję FirePower, to czy obecne reguły sieciowe jakie mam dalej będą działały, a reguły per grupa/użytkownik będą kolejnymi regułami i razem to wszystko zagra, czy może mnie coś zaskoczyć?
Dzięki bardzo za info!
Cisco Adaptive Security Appliance Software Version 9.8(3)18
Firepower Extensible Operating System Version 2.2(2.111)
Device Manager Version 7.9(1)151
To mogę zaczynać pracę nad konfiguracją?
Jeżeli powyższe jest prawdziwe i skonfiguruję FirePower, to czy obecne reguły sieciowe jakie mam dalej będą działały, a reguły per grupa/użytkownik będą kolejnymi regułami i razem to wszystko zagra, czy może mnie coś zaskoczyć?
Dzięki bardzo za info!
Re: ASA 5512 - reguły firewall per grupa w AD
Jak jestes pewny ze to -x to zaczynaj
sciagnij sobie
firepower service
management centera
zainstaluj agenty na stacjach .
i smigaj
Generalnie zabawa bez ampa i urla tylko po to aby miec integracje z AD jest dziadowska
sciagnij sobie
firepower service
management centera
zainstaluj agenty na stacjach .
i smigaj
Generalnie zabawa bez ampa i urla tylko po to aby miec integracje z AD jest dziadowska
Re: ASA 5512 - reguły firewall per grupa w AD
@chunkpunk - to jeżeli 'show version' nie pokazuje, że to jest wersje '.....-X' to znaczy, że nie ma co zaczynać?
'show inventory' pokazuje mi:
Name: "Chassis", DESCR: "ASA 5512-X with SW, 6 GE Data, 1 GE Mgmt, AC"
Nie robię tego dla samej integracji z AD, efekt jaki chcę osiągnąć to tworzenie reguł sieciowych per grupa w AD, a nie per IP.
Rozumiem, że 'AMP i URL' to extra płatne usługi?
'show inventory' pokazuje mi:
Name: "Chassis", DESCR: "ASA 5512-X with SW, 6 GE Data, 1 GE Mgmt, AC"
Nie robię tego dla samej integracji z AD, efekt jaki chcę osiągnąć to tworzenie reguł sieciowych per grupa w AD, a nie per IP.
Rozumiem, że 'AMP i URL' to extra płatne usługi?
Re: ASA 5512 - reguły firewall per grupa w AD
Hej,
masz ASA 5512-X z firepower, na to wskazuje output. Kwestia czy wiesz co i jak skonfigurowac, sadze ze bedziesz rwal wlosy jak sie najpierw nie "doedukujesz". Poczytaj najpierw dokumentacje, latwiej Ci pojdzie z wdrozeniem, lub doszkol sie w tym zakresie. AMP i URL to dodatkowe sprawy wymagajace licencji. Do samego filtrowania na podstawie grup AD zamiast adresow IP nie potrzebujesz tego, aczkolwiek dzisiejszy NGFW powinien takie rzeczy miec. Anyway, jesli masz kontrakt serwisowy (a powinienes) to sciagnij Cisco User Agent, zrob update SW na module SFR do aktualnego 6.2.3.14-36 i skonfiguruj co potrzebujesz... Oczywiscie istniejace reguly powinny byc jakos zintegorwane - nalezy zastanowic sie czy ustawiasz ACL na ASA i dodatkowo na Firepower, czy tylko na module FPR... kwestia smaku i skomplikowania (niektorzy lubia, niektorzy nie...).
Pozdruffka!
masz ASA 5512-X z firepower, na to wskazuje output. Kwestia czy wiesz co i jak skonfigurowac, sadze ze bedziesz rwal wlosy jak sie najpierw nie "doedukujesz". Poczytaj najpierw dokumentacje, latwiej Ci pojdzie z wdrozeniem, lub doszkol sie w tym zakresie. AMP i URL to dodatkowe sprawy wymagajace licencji. Do samego filtrowania na podstawie grup AD zamiast adresow IP nie potrzebujesz tego, aczkolwiek dzisiejszy NGFW powinien takie rzeczy miec. Anyway, jesli masz kontrakt serwisowy (a powinienes) to sciagnij Cisco User Agent, zrob update SW na module SFR do aktualnego 6.2.3.14-36 i skonfiguruj co potrzebujesz... Oczywiscie istniejace reguly powinny byc jakos zintegorwane - nalezy zastanowic sie czy ustawiasz ACL na ASA i dodatkowo na Firepower, czy tylko na module FPR... kwestia smaku i skomplikowania (niektorzy lubia, niektorzy nie...).
Pozdruffka!
Re: ASA 5512 - reguły firewall per grupa w AD
Wydając polecenie 'show module sfr' otrzymuję wynik
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr Unknown N/A -----------
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr ----------- to --------- N/A N/A
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr Unknown No Image Present Not Applicable
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Unresponsive Not Applicable
Czyli moduł nie jest zainstalowany.
Czy dobrze sprawdziłem, żeby używać FirePower, to należy wgrać binaria na ASA-ę, przygotować obraz i 'przestawić' ASĘ w tryb startowania z obrazu FirePower?
@drake - piszesz o Cisco User Agent, czy to nadal jest ta sama nazwa czy już "Firepower User Agent Configuration"?
Czy do tego nie potrzebuję FirePower Management Center?
Czy faktyczy faktycznie potrzebuję mieć SSD w ASA?
Dzięki Panowie za wyjaśnienia, małymi krokami zbieram kompletuję informacje.
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr Unknown N/A -----------
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr ----------- to --------- N/A N/A
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr Unknown No Image Present Not Applicable
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Unresponsive Not Applicable
Czyli moduł nie jest zainstalowany.
Czy dobrze sprawdziłem, żeby używać FirePower, to należy wgrać binaria na ASA-ę, przygotować obraz i 'przestawić' ASĘ w tryb startowania z obrazu FirePower?
@drake - piszesz o Cisco User Agent, czy to nadal jest ta sama nazwa czy już "Firepower User Agent Configuration"?
Czy do tego nie potrzebuję FirePower Management Center?
Czy faktyczy faktycznie potrzebuję mieć SSD w ASA?
Dzięki Panowie za wyjaśnienia, małymi krokami zbieram kompletuję informacje.
Re: ASA 5512 - reguły firewall per grupa w AD
Musisz miec SSD, a te ASA maja inny image (OS) niz tradycyjne. Nie wiem co tam masz dokladnie, powinien bc SSD jesli ASA zostala sprzedana jako Firepower. Jesli nie, to musisz dokupic dysk, zainstalowac odpowiedni Image na ASA oraz odpowiedni na module Firepower. Skontaktuj sie z partnerem Cisco od ktorego macie ten sprzet.
Do tego co potrzebujesz nie musisz miec FMC. A Cisco User Agent to soft na windowsa, ktory laczy sie z AD i pobiera grupy, integracje konfiguruje sie z poziomu FPR.
W razie czego zapraszam na moje szkolenie, wielu otwiera oczy bo przejscie z tradycyjnej ASA na Firepower wbrew pozorom nie jest takie latwe.
Pozdruffka!
Do tego co potrzebujesz nie musisz miec FMC. A Cisco User Agent to soft na windowsa, ktory laczy sie z AD i pobiera grupy, integracje konfiguruje sie z poziomu FPR.
W razie czego zapraszam na moje szkolenie, wielu otwiera oczy bo przejscie z tradycyjnej ASA na Firepower wbrew pozorom nie jest takie latwe.
Pozdruffka!