SOURCEFIRE

Wiadomość

piter1789 · #1

Cześć,

mam taki problem,

Sourcefire Linux OS v5.3.0 (build 73)
Sourcefire Virtual Defense Center 64bit v5.3.1 (build 152)

i ASA 5512-x

Cisco Adaptive Security Appliance Software Version 9.2(2)4
Device Manager Version 7.2(2)1

ni nie mogę połaćzyć asy z softtem do zarządzania sourcefir'em.

pomysł?

#2

Masz uruchomione ASA Firepower Services, i to próbujesz podpiąć pod Defense Center, czy też to jest jakiś inny setup?

piter1789 · #3

grze · #4

A co już zrobiłeś? Tutaj jest link step by step:

http://www.thesecurityblogger.com/how-t ... -home-lab/

piter1789 · #5

zrobiłem tak i nie działa.

dlatego wkleiłem dokładnie jakie wersje mam. bo może coś z tym jest jeszcze nie tak.

grze · #6

A masz conectivity Defense Center z ASA? Defense Center jest za NAT?

#7

Jak wygląda konfiguracja interfejsu Management? Jeśli masz tam "nameif" i adres IP, to czy jest to ta sama podsieć co moduł SFR?

r3solved · #8

Zalecenie aby poniższe interfejsy były w tej samej podsieci:
- SFR
- FireSIGHT Defense Center
- ASA MGN

"ni nie mogę połaćzyć asy z softtem do zarządzania sourcefir'em. "
- pingasz IP SFR z DefenseCenter?
- poprawnie wprowadziłeś key?

#9

Czy w ASDM lub w CLI widzisz, że moduł Firepower wstał poprawnie?

Kod: Zaznacz cały

show module sfr

Aby zobaczyć mniej więcej coś takiego:

Kod: Zaznacz cały

---output omitted ---

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------
 sfr ASA FirePOWER                  Up               5.3.1-152

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
 sfr Up                 Up

Dodatkowo jak wygląda kwestia synchronizacji czasu, między Firepower Services i stacją zarządzającą?

mihu · #10

podepnę się pod temat.

mam w labie wirtualny DC (najnowszy soft) i ASA z FirePower services. Oba urzadzenia w tej samej sieci.

Manager utknął na dodawaniu ASA SFR. Czy jest jakaś opcja żeby odpiąć sensor is sprobowac raz jeszcze?

Dodam, że już probowałem:
- ASA i DC reboot
- DC upgrade (nie ma nowszego softu), downgrade (nie można bo sensor w trakcie rejstracji)
- zmiana adresu IP ASA SFR - sprawdza hash sensora i mówi że taki jest już w DC.

mihu · #11

mysle o re-image FireSIGHT, ale to może unieważnic trialową licencje jaką na niego mam..

eljot · #12

Nie próbowałem, ale z installation guide'a wynika, że license key jest generowany na podstawie mac addresu wirtualnej karty sieciowej:

"Manually assign the MAC address to your virtual device to avoid MAC
address changes or conflicts from other systems in the dynamic pool.
Additionally, for virtual Defense Centers, setting its MAC address
manually ensures that you will not have to re-request licenses from
Sourcefire if you ever have to reimage the appliance."

PS. Pojawia Ci się wogóle ten sensor w DEVICES-> DEVICE MANAGMENT ?

mihu · #13

tak i nie da sie go ustawic na sztywno z poziomu VMware (VMware vendor part MAC adresu :
00:50:56:XX:YY:ZZ).

ASA FP rejestruje sie od 3 dni i sie nie poddaje

. Wyglada na to ze ASA FP i SFR sa osobno licencjonowane, licencji na FP wyglada na to ze nie mam.

nie mam pojecia jak przerawac resjstracje FP ale daje sie podpiac vSFR wiec cos bedzie mozna przeklikac.