Cisco Firepower on ASA 6.2 Proof of Value v1 최종업데이트 : 2017 년 3 월 1 일 이데모정보 Cisco GSSO(Global Security Sales Organization) 에서 FP on ASA(Firepower on ASA) POV(Proof of Value) 를발간합니다. 이자료에서는 POV 프로세스, 교육, 소프트웨어다운로드, 설치, 라이선싱, 최초컨피그레이션, 고객구축, 위험보고서생성, 디바이스무결성유지에대해설명합니다. 가장대표적인구축유형을다루며성공적인 POV에필요한정보를제공합니다. 다양한구축옵션또는추가세부사항이궁금할경우 https://communities.cisco.com/docs/doc-65405 에서다른 POV 자료를검토할수있습니다. 이가이드에는다음섹션이포함되어있습니다. 필요조건 토폴로지 시작하기 POV 프로세스 교육 구축 소프트웨어다운로드 설치 FMC 컨피그레이션 디바이스무결성유지 다음단계 부록 A: 성공조건 부록 B: 데이터수집워크시트 부록 C: POV 결과 필요조건 다음표에는사전구성된데모의필요조건이요약되어있습니다. 표 1. 필요조건 필수 옵션 노트북컴퓨터 Cisco AnyConnect 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 1/34 페이지
토폴로지 이콘텐츠에는원고가작성된시나리오와솔루션의기능을설명하기위해사전구성된사용자및구성요소가포함되어있습니다. 대부분의구성요소는사전정의된관리자계정으로충분히환경설정할수있습니다. 사용중인세션의 Topology( 토폴로지 ) 메뉴또는사용을필요로하는시나리오단계에서구성요소아이콘을클릭하면해당구성요소에액세스하는데사용할 IP 주소와사용자계정크리덴셜을볼수있습니다. 그림 1. dcloud 토폴로지 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 2/34 페이지
시작하기 프레젠테이션하기전 Cisco dcloud에서는실제청중앞에서프레젠테이션하기전에활성세션에서이문서의작업을먼저실행해보는것을강력하게권장합니다. 이렇게하면이문서의구조와내용을충분히익힐수있습니다. 환경을원래구성으로재설정하려면이가이드를따라순서대로실행한후새세션을예약해야할수있습니다. 철저한준비가성공적인프레젠테이션의비결입니다. 콘텐츠세션을예약하는각단계를실행하고프레젠테이션환경을설정하시기바랍니다. 1. dcloud 세션을시작합니다. [ 방법보기 ] 참고 : 세션이활성화되기까지최대 10분이상이소요될수있습니다. 2. 최상의성능을유지하려면 Cisco AnyConnect VPN[ 방법알아보기 ] 과노트북컴퓨터의로컬 RDP 클라이언트 [ 방법알아보기 ] 를사용하여 Active Directory에연결합니다. Active Directory: 198.18.133.36, 사용자이름 : administrator, 비밀번호 : C1sco12345 참고 : Cisco dcloud Remote Desktop 클라이언트 [ 방법알아보기 ] 를사용하여 Active Directory 에연결할수도있습니다. 추가적인 작업없이활성세션에접근하기위해서는 dcloud Remote Desktop 클라이언트가가장좋습니다. 그러나이방법을사용하는 많은사용자들이연결및성능문제를겪습니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 3/34 페이지
POV 프로세스 POV는현장업무시고유한비즈니스가치를보여주고고객참여를유도하는것을말합니다. POV 프로세스에서는고객의성공조건을정의하기위해범위지정작업이필요합니다. 현장업무시해당고객에게가장중요한솔루션요소에초점을맞추는데성공조건을사용합니다. 부록 A에는 FP on ASA POV에대한성공조건마련을위한범위지정에사용할질문이수록되어있습니다. 대부분의파트너는 FP on ASA 및 dcloud 호스팅 FMC(Firepower Management Center) 를사용하여전술적 POV를실행합니다. 모든고객컨피그레이션은네트워크관리, SPAN 포트, 전력등미리정의된고객평가데이터를토대로현장에도착하기전에구현되어야합니다. 이런정보를수집하는데필요한워크시트는부록 B에있습니다. 다음섹션에서는파트너가실행한 POV의시스템설치및구성단계를다룹니다. 모든항목을함께완성해야고객참여단계에서시스템이제대로작동할수있습니다. POV를마치고부록 C의 POV 결과워크시트를작성하면 POV 정보를추적하는데도움이되며효과적인 POV 결정및성공률증가로이어질수있습니다. 아래의설명을주의깊게따르고피드백은 asaassess@external.cisco.com 으로보내주시기바랍니다. 교육 Cisco는파트너프리세일즈보안 SE가데모및 POV를통해규모지정, 범위지정, 설계에서고객의참여를이끌수있도록전문성을개발하는 Fire Jumper 프로그램을제공합니다. 고객 FP on ASA POV를제공하기전에파트너는 NGFW & NGIPS 전문성영역에대해 Fire Jumper 프로그램의 4단계를수행하는것이좋습니다. 프로그램및교육정보는다음보안파트너커뮤니티포스트에있습니다. Fire Jumper 프로그램 https://communities.cisco.com/docs/doc-55046 NGFW & NGIPS 전문성영역 https://communities.cisco.com/docs/doc-57815 구축 전술적 POV의대부분에서는 FP on ASA를실행하는 Cisco ASA를사용합니다. 고객의기존인프라에대한영향도또는 POV를진행하는데있어서의불편함을최소화하면서최대의가치를제공하기위해패시브형태의구축이권장됩니다. 이를위해고객환경의 Cisco 스위치에 SPAN 포트를구성하고 FP on ASA에패시브인터페이스를구성합니다. FP on ASA에트래픽을보내는데여러옵션이있으며, 최상의구축은인터넷연결세그먼트와내부세그먼트모두에대한가시성을제공하는것입니다. 전술적 POV에서는고객스위치에여러개의 SPAN 포트를구성하여인터넷트래픽과내부트래픽을모두수집하는것이좋습니다. http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-seriesswitches/10570-41.html 에서고객의스위치유형에부합하는 SPAN 컨피그레이션예를참조하십시오. 전술적 POV에서는파트너가 https://dcloud.cisco.com 에서제공하는 Cisco Firepower Management Center POV를활용하는것이좋습니다. dcloud 사용시 dcloud 설치옵션에는엔드포인트라우터와 FP on ASA 또는독립형 FP on ASA가포함됩니다. 여기서는독립형 FP on ASA 옵션을다룹니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 4/34 페이지
소프트웨어다운로드 아래에서는 ASA 5515-X에필요한소프트웨어를다운로드하는방법을소개합니다. 이글을쓰는시점에서는통합위험보고서지원때문에권장되는 FP on ASA 버전이 6.1.0입니다. dcloud Firepower Management Center Proof of Value의이름을참조하여현재지원되는버전을확인합니다. 아래의내용은일반적인 POV 컨피그레이션의예입니다. 필요하다면하드웨어사양에맞게프로세스를조정하십시오. CCO계정권한으로인해소프트웨어다운로드가불가능한경우 Cisco 제휴관리자의도움을받고회사에 CCO 계정을연결하여파트너레벨 CCO 액세스권한을받으시기바랍니다. 그래도소프트웨어에액세스할수없다면 https://communities.cisco.com/docs/doc-55301 링크의프로세스에따라특별파일게시프로세스를통해파트너지원팀에액세스를요청하십시오. 마이그레이션경로및업그레이드종속성에대한자세한내용은 http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/ upgrade/upgrade95.html 링크를참조하십시오. 최신기능의지원을위해 Firepower Services for ASA에서는시스템소프트웨어 9.5(1) 이상이필요합니다. 마이그레이션경로및업그레이드종속성에대한자세한내용은 http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/upgrade/upgrade95.html 링크를참조하십시오. 단계 참고 : ASA 5515-X에필요한소프트웨어를다운로드하고 POV 준비에사용하는방법에대한설명은필요하다면다른 ASA 모델에서도참조할수있습니다. 1. ASA 시스템소프트웨어는 http://software.cisco.com/download/navigator.html 에서다운로드하십시오. 2. 그러면 Downloads Home( 다운로드홈 ) > Products( 제품 ) 창이열립니다. 3. 계속해서 Downloads Home( 다운로드홈 ) > Products( 제품 ) > Security( 보안 ) > Firewalls( 방화벽 ) > Adaptive Security Appliances(ASA) > ASA 5500-X Series Firewall > ASA 5515-X Adaptive Security Appliance > Software on Chassis( 섀시소프트웨어 ) 로이동합니다. 그림 2. 소프트웨어다운로드 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 5/34 페이지
4. 다음옵션을선택하여표시된버전또는그이상을다운로드합니다. Adaptive Security Appliance(ASA) Device Manager: 7.6.2.150(asdm-762-150.bin) Adaptive Security Appliance(ASA) Software: 9.6.2(asa962-smp-k8.bin) 그림 3. ASA 5515-X Adaptive Security Appliance 5. 이제방화벽영역을선택합니다. 계속해서 Downloads Home( 다운로드홈 ) > Products( 제품 ) > Security( 보안 ) > Firewalls( 방화벽 ) > Next-Generation Firewalls(NGFW) > ASA 5500-X with FirePOWER Services > ASA 5515-X with FirePOWER Services > Firepower Services Software for ASA 로이동합니다. 그림 4. Firepower Services Software for ASA 6. 다음옵션을선택하여표시된버전또는그이상을다운로드합니다. Cisco ASA with Firepower Services 부트이미지 (asasfr-5500x-boot-6.1.0-330.img) Cisco ASA with Firepower Services 설치패키지 (asasfr-sys-6.1.0-330.pkg) 그림 5. ASA 5515-X with Firepower Services 다운로드 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 6/34 페이지
설치 SSD(Solid State Drive) 상태확인 설치에앞서 5515-X에있는 SSD의상태를확인합니다. 1. ASA 전원을켜고명령행에액세스합니다. show inventory 명령을입력하고 SSD 스토리지디바이스가있는지확인합니다. ciscoasa# show inventory Name: "Chassis", DESCR: "ASA 5515-X with SW, 6 GE Data, 1 GE Mgmt, AC" PID: ASA5515, VID: V01, SN: FGH123456A1 Name: "Storage Device 1", DESCR: "Unigen 128 GB SSD MLC, Model Number: Micron_M550_MTFDDAK123MAY" PID: N/A, VID: N/A, SN: 12345678900 2. SSD가인식되지않을경우다음사항을확인합니다. SSD 드라이브가제대로삽입되지않았을수있습니다. SSD 드라이브가제대로삽입되었고핸들에고정되었는지확인합니다. ASA 전원을끈상태에서 SSD 드라이브를꺼내다시넣습니다. SSD 드라이브고장일수있습니다. 정상적인 SSD 드라이브는 SSD 옆에녹색 LED가켜져있습니다. 장애가발생한경우 Cisco TAC에연락하여대체품을받으시기바랍니다. 기존 IPS 또는 CX 소프트웨어제거 ( 필요한경우 ) ASA에서레거시 IPS 또는 CX를실행하는경우기존서비스를제거한다음 FP on ASA를설치해야합니다. 1. ASA 명령행에액세스하고아래의절차를따릅니다. 이명령은 IPS 모듈을종료하고 IPS 소프트웨어를제거한다음 ASA를다시로드합니다. CX를제거해야하는경우동일한단계를수행하되각명령에서 ips 대신 csc를사용합니다. ciscoasa# sw-module module ips shutdown ciscoasa# sw-module module ips uninstall ciscoasa# reload ROMMON 이미지확인및업그레이드 ( 필요한경우 ) ASA 5506-X 시리즈, ASA 5508-X, ASA 5516-X 모델에한해시스템의 ROMMON 버전이 1.1.8 이상이어야 Firepower Threat Defense 소프트웨어를다시재설정할수있습니다. 아래의단계에따라 ROMMON 버전을확인하고필요하다면 ROMMON 이미지를업그레이드합니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 7/34 페이지
2. 명령행에액세스하고 show module 명령을입력합니다. MAC 주소테이블에서 Mod 1에대한출력중 Fw 버전을확인합니다. ciscoasa# show module Name: "Chassis", DESCR: "ASA 5506-X with SW, 6 GE Data, 1 GE Mgmt, AC" [ ] Mod MAC Address Range Hw Version Fw Version Sw Version ---- -------------------------- ---------- ---------- ---------- 1 7426.aceb.ccea to 7426.aceb.ccf2 1.0 1.1.1 9.3(2)2 sfr 7426.aceb.cce9 to 7426.aceb.cce9 N/A N/A 참고 : 예시된 ASA5506-X의 Fw 버전은 1.1.1이므로업그레이드해야합니다. ASA 5506-X 시리즈, ASA 5508-X, ASA 5516-X의 Fw 버전이 1.1.8 이상이아닐경우아래의단계에따라 ROMMON을업그레이드합니다. 다음예는 ASA5506-X를대상으로하지만동일한펌웨어가 ASA5508-X 및 ASA5516-X 플랫폼도지원합니다. 3. ROMMON 소프트웨어는 http://software.cisco.com/download/navigator.html 에서다운로드하십시오. Home( 다운로드홈 ) > Products( 제품 ) 창이열립니다. 계속해서 Downloads Home( 다운로드홈 ) > Products( 제품 ) > Security( 보안 ) > Firewalls( 방화벽 ) > Next-Generation Firewall(NGFW) > ASA 5500-X with FirePOWER Services > ASA 5506-X with FirePOWER Services > ASA Rommon Software로이동합니다. 그림 6. 소프트웨어다운로드 4. 다음옵션을선택하여표시된버전또는그이상을다운로드합니다. ASA Rommon Software(asa5500-firmware-1108.SPA) 그림 7. ASA 5506-X with Firepower Services 5. ASA ROMMON 을업그레이드하려면 ASA 에연결하고컨피그레이션모드로에스컬레이션합니다. management1/1 인터페이스에서필요한 ROMMON 소프트웨어를소싱할수있는 TFTP 서버와연결되는 IP 주소를구성합니다. ping 명령을 사용하여연결을확인합니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 8/34 페이지
ciscoasa# config t ciscoasa (config)# interface management1/1 ciscoasa (config)# ip address 10.10.200.3 255.255.255.0 ciscoasa (config)# ping 10.10.200.2 6. copy 명령을사용하여 ASA 플래시메모리에 ROMMON 이미지를복사합니다. upgrade rommon 명령으로 ROMMON 이미지를업그레이드합니다. 컨피그레이션을저장하고 ASA에서 ROMMON 이미지를업그레이드하고완료되면다시로드하도록확인합니다. ciscoasa (config)# copy tftp://10.10.200.2:/asa5500-firmware-1108.spa disk0:asa5500-firmware-1108.spa Address or name of remote host [10.10.200.2]? Source filename [asa5500-firmware-1108.spa]? Destination filename [asa5500-firmware-1108.spa]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [ ]!!!!!!!!!!!!!!!!!!! 9241408 bytes copied in 10.240 secs (924140 bytes/sec) ciscoasa (config)# upgrade rommon disk0:asa5500-firmware-1108.spa Computed Hash SHA2: d824bdeecee1308fc64427367fa559e9 [ ] Verification successful. System config has been modified. Save? [Y]es/[N]o: Y Cyrptochecksum: 3ba071b1 6fdc7ca1 1ba8e23d 200c580f 6788 bytes copied in 0.230 secs Proceed with reload? [confirm] 7. 시스템이다시로드되면명령행에액세스하고 show module 명령을입력합니다. MAC 주소테이블에서 Mod 1에대한출력중 Fw 버전을확인합니다. 로드된 ROMMON 버전 1.1.8 이상과일치해야합니다. ciscoasa# show module Name: "Chassis", DESCR: "ASA 5506-X with SW, 6 GE Data, 1 GE Mgmt, AC" [ ] Mod MAC Address Range Hw Version Fw Version Sw Version ---- -------------------------- ---------- ---------- ----------1 7426.aceb.ccea to 7426.aceb.ccf2 1.0 1.1.8 9.3(2)2 sfr 7426.aceb.cce9 to 7426.aceb.cce9 N/A N/A 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 9/34 페이지
ASA 5500-X 시스템소프트웨어설치 일관성을위해공장기본구성으로 ASA 5515-X 시스템소프트웨어를설치합니다. 1. ASA에서공장기본구성을실행하지않을경우다음명령을입력합니다. ciscoasa# copy /noconfirm running-config disk0:/backup.config ciscoasa# config t ciscoasa(config)# config factory-default POV에서는맞춤형모니터링전용모드를사용합니다. 이는구축을대폭간소화하고네트워크장애의가능성을줄입니다. 2. 방화벽을 transparent 모드로놓고고객이제공한네트워크컨피그레이션정보에따라관리인터페이스및기본경로를구성합니다. ciscoasa(config)# firewall transparent ciscoasa(config)# interface management0/0 ciscoasa(config-if)# nameif management ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address <ASA Management IP> <Netmask> ciscoasa(config-if)# no shutdown ciscoasa(config)# exit ciscoasa(config)# route management 0 0 <Default Gateway> 3. 추가컨피그레이션항목에서시스템비밀번호를설정하고완전한네트워크연결을보장합니다. ciscoasa(config)# enable password <Password> ciscoasa(config)# clock timezone <Timezone> <Hours offset from UTC> ciscoasa(config)# clock set <hh:mm:ss> <Day> <Month> <Year> ciscoasa(config)# sysopt noproxyarp management ciscoasa(config)# dns domain-lookup management ciscoasa(config)# dns server-group DefaultDNS ciscoasa(configs-dns-server-group)# name-server <DNS IP> ciscoasa(configs-dns-server-group)# exit ciscoasa(config)# http server enable ciscoasa(config)# http 0 0 management 이단계를마치면 ASA와의 IP 연결이이루어져야합니다. 이는 ASA Management IP를 ping하여확인할수있습니다. 4. 이제 ASA에대한 SSH 액세스를구성합니다. ciscoasa(config)# username <user> password <pass> privilege 15 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# ssh 0.0.0.0 0.0.0.0 management ciscoasa(config)# ssh timeout 60 ciscoasa(config)# crypto key generate rsa general-keys 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 10/34 페이지
5. 마지막으로, SPAN 트래픽을수신하여 FirePOWER 모듈에전달하도록인터페이스를구성합니다. 이기능은 Firepower POV를위한것이며프로덕션 ASA에서활성화되어서는안됩니다. ciscoasa(config)# interface gigabitethernet0/0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# no nameif ciscoasa(config-if)# traffic-forward sfr monitor-only ciscoasa(config-if)# exit ciscoasa(config)# write memory 6. 앞서다운로드한소프트웨어이미지를 ASA와통신가능한 TFTP 또는 FTP 서버가실행되고있는관리 PC에복사합니다. 다음명령을입력하여 ASA에파일을업로드합니다. ciscoasa# copy /noconfirm tftp://<tftp IP>/asdm-762-150.bin disk0:/asdm-762-150.bin ciscoasa# copy /noconfirm tftp://<tftp IP>/asa962-smp-k8.bin disk0:/asa962-smp-k8.bin ciscoasa# copy /noconfirm tftp://<tftp IP>/asasfr-5500x-boot-6.1.0-330.img disk0:/asasfr-5500x-boot-6.1.0-330.img 7. show flash 명령을사용하여 3개의파일이제대로업로드되었는지확인합니다. 부트시스템및 asdm 이미지파일을변경하고구성을저장합니다. ciscoasa# show flash ciscoasa# boot system disk0:/asa962-smp-k8.bin ciscoasa# asdm image disk0:/asdm-762-150.bin ciscoasa# write memory 8. ASA를다시로드해야변경사항이적용됩니다. 그런다음 show version 명령을사용하여 ASA에서올바른소프트웨어가실행되고있는지확인합니다. ciscoasa# reload noconfirm... ciscoasa# show version include Software Cisco Adaptive Security Appliance Software Version 9.6(2) Firepower Services on ASA 설치 1. ASA에 FP on ASA 부트이미지를업로드했습니다. 계속해서 ASA에서모듈부트위치를설정하고이미지를로드합니다. ciscoasa# sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-6.1.0-330.img ciscoasa# sw-module module sfr recover boot Module sfr will be recovered. This may erase all configuration and all data on that device and attempt to download/install a new image for it. This may take several minutes. Recover module sfr? [confirm] Recover issued for module sfr. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 11/34 페이지
2. ASA Firepower 모듈이부팅될때까지약 5분 ~10분기다립니다. 3. Firepower Services 부트이미지에대한콘솔세션을엽니다. 4. Enter를눌러로그인프롬프트를표시합니다. 버전 6.0부터기본사용자이름은 admin, 기본비밀번호는 Admin123입니다. 버전 5.x 이하에서는기본사용자이름이 admin, 기본비밀번호가 Sourcefire입니다. 참고 : 모듈이완전히로드되지않은경우 session 명령이실패하고 ttys1을통해연결할수없다는메시지또는 ERROR: Failed opening console session with module sfr. Module is in Recover state. Please try again later. 가표시됩니다. 그러면몇분후에다시해보십시오. ciscoasa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape sequence is 'CTRL-^X'. Cisco ASA SFR Boot Image 6.1.0 asasfr login: admin Password: Admin123 5. setup을입력하고관리인터페이스에서시스템소프트웨어다운로드및설치를위해 HTTP 또는 FTP 서버와의임시연결을설정하도록네트워크설정을구성합니다. asasfr-boot> setup Welcome to SFR Setup [hit Ctrl-C to abort] Default values are inside [] Enter a hostname [asasfr]: <asasfr> Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]: N Enter an IPv4 address [192.168.8.8]: <FP on ASA Management IP> Enter the netmask [255.255.255.0]: <Netmask> Enter the gateway [192.168.8.1]: <Default Gateway> Do you want to configure static IPv6 address on management interface?(y/n) [N]: N Stateless autoconfiguration will be enabled for IPv6 addresses. Enter the primary DNS server IP address: <DNS Server> Do you want to configure Secondary DNS Server? (y/n) [n]: N Do you want to configure Local Domain Name? (y/n) [n]: N Do you want to configure Search domains? (y/n) [n]: N Do you want to enable the NTP service? [Y]: Y Enter the NTP servers separated by commas: <NTP Server> Do you want to enable the NTP symmetric key authentication? [N]: N Please review the final configuration: Hostname: asasfr 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 12/34 페이지
Management Interface Configuration IPv4 Configuration: IP Address: Netmask: Gateway: static X.X.X.X X.X.X.X X.X.X.X [ ] Apply the changes?(y,n) [Y]: Y Configuration saved successfully! Applying... Restarting network services... Done. Press ENTER to continue... asasfr-boot> 6. system install과 FP on ASA 시스템소프트웨어경로를입력합니다. HTTP 및 FTP가지원되며아래의예에서는 FTP 설치를보여줍니다. ciscoasa-boot>system install ftp://10.10.200.2/asasfr-sys-6.1.0-330.pkg Verifying Downloading Extracting Package Detail Description: Cisco ASA-SFR 5.4.0-764 System Install Requires reboot: Yes Do you want to continue with upgrade? [y]: Y Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. Upgrading Starting upgrade process... Populating new system image Reboot is required to complete the upgrade. Press Enter to reboot the system 7. 설치가완료되면 y 를입력하여업그레이드를계속합니다. 8. 프롬프트에서 Enter 를눌러시스템을재부팅합니다. 참고 : FP on ASA 설치후처음으로재부팅할경우 30 분이상이걸립니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 13/34 페이지
9. 애플리케이션구성요소가설치되는동안 20 분정도기다리고프롬프트에따라 ASA 를재부팅합니다. 10. 모듈에대한세션을열고로그인합니다. 버전 6.0 부터기본사용자이름은 admin, 기본비밀번호는 Admin123 입니다. 버전 5.x 이하에서는기본사용자이름이 admin, 기본비밀번호가 Sourcefire 입니다. 참고 : 완전한작동하는모듈에로그인하므로다른로그인프롬프트가표시됩니다. ciscoasa# session sfr asasfr login: admin Opening command session with module sfr. Connected to module sfr. Escape sequence is 'CTRL-^X'. SFR ASA5515 v6.1.0 SFR login: admin Password: Admin123 자세한내용은 Cisco ASA 또는 Firepower 위협방어디바이스재설정문서 (http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html) 를참조하십시오. 부트스트랩 Firepower on ASA 1. 재부팅이완료되면기본사용자이름 admin 및비밀번호 Admin123 으로 FP on ASA CLI 에로그인합니다. 2. EULA 에액세스하고비밀번호를변경하고데이터수집워크시트에따라부트스트랩정보를입력합니다. 참고 : 로컬에서디바이스를관리할지물으면 no 를선택해야합니다. 위험보고서는온박스매니지먼트형플랫폼 Firepower Device Manager 에서는지원되지않습니다. Please enter YES or press <ENTER> to AGREE to EULA:YES System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: Y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: <FP on ASA Management IP> Enter an IPv4 netmask for the management interface [255.255.255.0]: <Netmask> Enter the IPv4 default gateway for the management interface []: 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 14/34 페이지
<Default Gateway> Enter a fully qualified hostname for this system [Sourcefire3D]: <hostname> Enter a comma-separated list of DNS servers or 'none' []: <DNS Server> Enter a comma-separated list of search domains or 'none' [example.net]: If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' This sensor must be managed by a Firepower Management Center. A unique alphanumeric registration key is always required. In most cases, to register a sensor to a Defense Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname ip address ] [registration key ]' However, if the sensor and the Firepower Management Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]' Later, using the web interface on the Firepower Management Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Defense Center. FMC 컨피그레이션 FP on ASA 는 AVC(Application Visibility and Control), URL 필터링, AMP(Advanced Malware Protection) 와같은 NGFW 및 NGIPS 서비스를제공합니다. FMC 는 FP on ASA 를구성하는데선택사항이지만, 위험보고서를생성하려면필요합니다. dcloud 는 POV 모범사례를따르는호스팅및미리구성된 FMC 를제공하며여기에는 POV 에최적화된맞춤형대시보드가포함되어있습니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 15/34 페이지
dcloud POV 예약 1. dcloud POV 를예약하려면 http://dcloud.cisco.com 을방문하여 CCO 크리덴셜로로그인합니다. 프롬프트에서가장가까운 지역을선택하여기본데이터센터로설정합니다. 그림 8. Cisco dcloud 2. 툴바에서 Catalog( 카탈로그 ) 를선택하고 Firepower POV 를검색합니다. 알맞은카탈로그항목을찾아 Schedule( 예약 ) 을 클릭하여 dcloud POV 세션을설정합니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 16/34 페이지
그림 9. 카탈로그 3. POV 타임프레임을입력하고 Next( 다음 ) 를클릭합니다. dcloud POV는기본적으로 5일로제한됩니다. Extend session for longer than 5 days(5일을초과하도록세션연장 ) 를선택하고프롬프트에서추가근거를입력하여 POV에대해최대 30일로연장할수있습니다. 30일을초과하여연장하는것은케이스별로처리하며추가고객기회정보가필요합니다. 위험보고서는 5일간의고객트래픽을기반으로하며, 추가시간은수신네트워크트래픽또는기타항목의문제해결에필요한경우에만사용해야합니다. 그림 10. 세션예약 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 17/34 페이지
4. Primary Use( 기본용도 ) 로 Customer Pilot/POC 라고입력하고 Revenue Impact( 매출효과 ) 를선택한다음관련고객및 파트너정보를제공합니다. 모두마쳤으면 Next( 다음 ) 를클릭합니다. 그림 11. 기본용도및매출효과 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 18/34 페이지
FMC 에 FTD 연결 1. dcloud 에액세스하고 Dashboard( 대시보드 ) 를선택합니다. 현재예약된세션이반영되어있습니다. Firepower POV 에대해 View( 보기 ) 를선택합니다. 그림 12. 대시보드 > 내세션 2. Details( 세부사항 ) 를선택하고 FMC 에대한 Public Address( 공인아이피주소 ) 를확인합니다. 그림 13. 공인아이피주소 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 19/34 페이지
3. FP on ASA CLI로돌아가센서를관리할 FMC를명시화하여컨피그레이션을완료합니다. dcloud에서호스팅되는 FMC를사용할경우네트워크관리포트는 8443으로변경되어야합니다. dcloud session 세부사항의공인아이피주소가 Firepower MC IP가됩니다. 기본등록키는 C1sco12345, 기본 nat-id는 12345입니다. 등록키및 nat-id는임의적이지만 FMC 설정중에생성되는키와일치해야합니다. > configure network management-port 8443 Management port changed to 8443. > configure manager add <FMC Public IP> <Registration Key> <nad-id> Manager successfully configured. FP on ASA 에 FMC 연결 1. dcloud Session Details( 세션세부사항 ) 로돌아가 Owner( 소유자 ) 및 Session ID( 세션 ID) 를확인합니다. 그림 14. 소유자및세션 ID 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 20/34 페이지
2. 웹브라우저를열고 dcloud 세션세부사항에있는공인아이피에 https 로연결하는방법으로 FMC 에연결합니다. FMC 사용자이름으로소유자를, 비밀번호로세션 ID 를사용하여로그인합니다. 그림 15. FMC 326411 3. FMC 에 FP on ASA 를추가하려면 Devices( 디바이스 ) > Device Management( 디바이스관리 ) 로이동합니다. 오른쪽상단에서 Add( 추가 ) > Add Device( 디바이스추가 ) 를선택합니다. 그림 16. 디바이스 > 디바이스관리 4. dcloud 로부터디바이스를추가할때호스트 DONTRESOLVE, 등록키 C1sco12345 를선택하고 Access Control Policy( 액세스 제어정책 ) 드롭다운에서 Cisco PoV Access Control Policy 를선택합니다. 5. 보호, 제어, 악성코드, URL 필터링라이선싱옵션을선택합니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 21/34 페이지
6. 고급설정을확장하고고유 NAT ID 12345 를입력합니다. 완료했으면 Register( 등록 ) 를클릭합니다. 그림 17. 디바이스추가 7. FMC 에서 FP on ASA 에연결하고관리대상디바이스로추가합니다. 디바이스가제대로추가되지않은경우등록키가 일치하는지, 소프트웨어버전이호환되는것인지, 네트워크디바이스가연결을차단하지않는지확인합니다. FP on ASA CLI 에서 show managers 명령을실행하면 FMC IP 주소를확인하고현재상태를표시합니다. 참고 : 이미 FMC에스마트라이선싱서버를등록했거나평가모드를활성화한경우디바이스가추가된후 System( 시스템 ) > Licenses( 라이선스 ) > Classic Licenses( 클래식라이선스 ) 화면에서직접라이선스를추가해야합니다. FMC는 FP on ASA 센서에대해클래식라이선싱을사용합니다. dcloud POV는대부분의어플라이언스유형에대한클래식라이선스를기본적으로제공합니다. dcloud에없는라이선스가필요할경우 https://communities.cisco.com/docs/doc-55301 의안내에따라파트너지원팀에 POV 라이선스를요청하십시오. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 22/34 페이지
8. 사용가능한라이선스를확인하려면 System( 시스템 ) > Licenses( 라이선스 ) > Classic Licenses( 클래식라이선스 ) 로 이동합니다. 그림 18. 시스템 > 라이선스 > 클래식라이선스 초기컨피그레이션 개체관리 1. 변수집합은모니터링대상네트워크에맞게조정해야합니다. FMC 에서 Objects( 개체 ) > Object Management( 개체 관리 ) 로이동합니다. 왼쪽에서 Variable Set( 변수집합 ) 을선택하고을선택하여기본집합을수정합니다. 2. HOME_NET 옆의을선택합니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 23/34 페이지
그림 19. 변수집합수정 3. 새네트워크개체를생성하기위해을클릭합니다. 이름을제공하고고객환경에부합하는네트워크정보를입력합니다. 완료되면 Save( 저장 ) 를클릭하십시오. 그림 20. 새네트워크개체생성 4. Include( 포함 ) 를클릭하여 HOME_NET 변수에새네트워크개체를추가합니다. 계속해서 Save( 저장 ), Save( 저장 ), Yes( 예 ) 를 클릭합니다. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 24/34 페이지
그림 21. 변수수정 5. 오른쪽상단의 Deploy( 구축 ) 버튼을클릭하여 FP on ASA 에인터페이스컨피그레이션을푸시합니다. 그림 22. 정책 > 구축 6. FP on ASA 옆의확인란을선택하고 Deploy( 구축 ) 를클릭합니다. 그림 23. 정책구축 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 25/34 페이지
7. 구축이완료되면패시브인터페이스에대한인터페이스상태는녹색이됩니다. 그림 24. 인터페이스상태 8. Analysis( 분석 ) > Connections( 연결 ) > Events( 이벤트 ) 로이동합니다. 이벤트가채워지지않을경우인터페이스가연결되어 활성화되었고 SPAN 포트또는탭이작동하는지확인합니다. 그림 25. 분석 > 연결 > 이벤트 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 26/34 페이지
위험보고서생성 시스템에서 5일이상에대한고객데이터를수집하도록허용한다음위험보고서를생성할수있습니다. FMC 6.1에서는위험보고서가 FMC에통합되어있습니다. 1. 보고서를생성하려면 Overview( 개요 ) > Reporting( 보고 ) 으로이동하고 Report Templates( 보고서템플릿 ) 탭을선택합니다. 2. 그런다음지능형악성코드, 공격, 네트워크위험보고서를생성합니다. 이는고객트래픽을바탕으로실행가능한정보를제공합니다. 그림 26. 보고서템플릿 완료했으면 FMC에서이 PDF 보고서에액세스하고클라우드기반스토리지솔루션또는이메일클라이언트를통해로컬시스템으로전송할수있습니다. 이보고서와결과를 POV 종료회의에서고객과공유합니다. 회의중에는초기에정한성공조건및 Cisco 솔루션의차별화된가치에집중합니다. 알맞은 FP on ASA 라이선싱기능을포지셔닝하는 BOM(bill of materials) 을제공합니다. 3. 완료되면 ( 지원되는경우 ) SIRE를통해기업인센티브를받을수있도록 POV를제출합니다 (www.cisco-sire.com). 필수수행증거항목이있어야합니다. 성공기준 : 부록 A 데이터수집워크시트 : 부록 B POV 결과 : 부록 C 위험보고서또는고객용보고서 BOM(Microsoft Excel 형식 ): 이프로그램을적용할수있는 1만달러이상의기회가있음을확인합니다. 자세한내용은 Cisco Funded Network Assessment Post를참조합니다 (https://communities.cisco.com/docs/doc-65405). 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 27/34 페이지
디바이스무결성유지 파트너실행 POV가성공적으로끝났으면고객데이터를지워다음 POV에대비해야합니다. dcloud는자동으로 FMC VM 및모든고객정보를삭제합니다. 1. 파일시스템을지우고다시포맷할경우 FP on ASA의고객데이터가삭제됩니다. 다음명령을입력하여프로세스를완료합니다. > erase /noconfirm disk0: 2. 다음 POV를준비하려면본설명서에서앞서설명한대로 FP on ASA 소프트웨어를재설치합니다. 다음단계 이것으로 Cisco FP on ASA POV 가이드를마치겠습니다. 추가지원이필요할경우 asa-assess@external.cisco.com 으로 요청하십시오. 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 28/34 페이지
부록 A. 성공조건 고객이름 POV를시작하기에앞서성공요건을사전에정의해야온사이트프로젝트에서고객에게고유한비즈니스가치를신속하게입증할수있습니다. 이프로세스는고객에게가장중요한솔루션요소의구현에초점을두고있습니다. 아래의워크시트는전략적파트너실행 POV의성공조건을마련하는데출발점이되며, 필요하다면고객과의상담에따라조정할수있습니다. 각성공조건에대해고객의우선순위에따라 1~8의우선순위를부여합니다. 가장중요도가높으면 1, 낮으면 8입니다. 가시성네트워크에있는디바이스의유형및그디바이스에서실행되는애플리케이션을더자세히파악하길원하십니까? 위협귀사환경의위험한사용자와이들이다른내부시스템에미칠위협에대해우려하십니까? 자동화보안분석가의부담을줄이면서침입정보를더신속하게확인할수있기를바라십니까? 평판인터넷에서위험하다고확인된웹사이트및사용자의트래픽을제한하는데도움이되는강력한평판서비스를중요하게생각하십니까? 악성코드탐지파일평판, 샌드박싱, 회귀분석을갖춘네트워크악성코드탐지기능을구현하길원하십니까? 파일차단공격이일어나기전에유형, 프로토콜또는전송방향에따라파일을차단하는기능으로귀사의환경에진입하는파일유형에대한가시성을확보하는것을중요하게여기십니까? 애플리케이션제어생산성을극대화하고공격표면을줄이기위해애플리케이션을세부적으로제어하는데관심있으십니까? 제품통합 estreamer API를사용하여호스트및이벤트데이터를외부파트너애플리케이션 ( 예 : SIEM) 과공유하고 Cisco ISE와같은시스템과통합하는데관심있으십니까? 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 29/34 페이지
이번프로젝트를추진하는데중요하게작용하는동인은무엇입니까? 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 30/34 페이지
부록 B. 데이터수집워크시트 고객이름 Cisco 에서 Firepower on ASA 를사용하여귀사의네트워크보안상황을검증할기회를주셔서감사합니다. 평가를준비하기위해아래의정보를제공해주시기바랍니다. 네트워크범위 1. 평가에포함할네트워크범위 : CIDR 형식으로가능한최소 NETMASK( 예 : 10.100.1.0/24, 10.100.2.0/24 등이아닌 10.100.0.0/16) 2. 이범위에속하지만위에서제외해야할네트워크 ( 비침해적관찰시스템이므로귀사의어떤호스트도 점유하지않습니다.) 표준시간대 3. 현지표준시간대 POV 용 IP 주소 4. 모두동일한로컬서브넷에있어야합니다. 형식 : x.x.x.x ASA 센서에서 POV FP 를위한관리 IP 넷마스크 기본게이트웨이 DNS 서버 ( 선택사항 ) POV Firepower MC 를위한관리 IP ( 선택사항 )POV ESXi Server 를위한관리 IP 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 31/34 페이지
SPAN 포트컨피그레이션 5. 평가대상네트워크로부터의트래픽을인식할수있는 SPAN 이설정되어있습니까? 예 아니요어떤포트입니까? 시스템은어떤스위치유형으로부터 SPAN 트래픽을수집합니까? (Cisco 3850, Cisco Catalyst 4K 등 ) SPAN 은소스인터페이스또는소스 VLAN 을사용하여구성됩니다. 아래에소스를나열하십시오 (VLAN 10, 20 등 ). 평가기간 6. 원하는평가기간 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 32/34 페이지
부록 C. POV 결과 POV 결과 파트너 SE 이름 파트너 SE 이메일 파트너 Fire Jumper 중요이벤트 경쟁업체 POV 기간 기술적성패 기술적결정의사유 비즈니스성패 비즈니스결정의사유 Cisco 거래 ID Cisco PO 또는 SO # Cisco Security 수익 참고 2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 33/34 페이지
2017 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 34/34 페이지