Next-Generation Firewall

Какие решения Next-Generation Firewall (NGFW) предлагает компания Cisco?

NGFW (Next-Generation Firewall) – межсетевой экран (МСЭ), который обеспечивает глубокую инспекцию пакетов, предотвращение вторжений (IPS), и проверку трафика на уровне приложений. Большинство NGFW также поддерживают фильтрацию веб-сайтов, антивирусную проверку, проверку зашифрованного трафика TLS/SSL, интеграцию со сторонними системами управления идентификацией (LDAP, RADIUS и Active Directory).

В портфолио компании Cisco присутствует четыре решения с функциональностью NGFW:

  • Cisco ASA с сервисами FirePOWER;
  • Firepower Treat Defense (FTD);
  • Управляемые из облака устройства Meraki MX серии, на текущий момент (июнь 2019) решение в России не продаётся;
  • Программно-определяемое решение SD-WAN.

Рассмотрим первые два решения. Они оба обеспечивают идентичный функционал. Отличие заключается в архитектуре решения.

Cisco ASA с сервисами FirePOWER – это классический МСЭ под управлением операционной системы ASA OS с сервисами FirePOWER, запущенными в виде виртуальной машины. В этом решении отдельно настраивается функционал Cisco ASA и отдельно Firepower. В случае FTD, мы имеем одну операционную систему, которая выполняет всю функциональность решения. Варианты ОС и интерфейсы управления.

Каждое из этих решений состоит из следующих компонентов:

  1. Аппаратная или виртуальная* платформа. В качестве современной аппаратной платформы могут быть модели Cisco ASA 5508 и выше, Cisco Firepower 1000/2100/4100/9000.
  2. Подписки на функционал: IPS, фильтрацию веб-сайтов, антивирусная проверка. Подписки могут быть на 1/3/5 лет.
  3. Опционально - система управления Firepower Management Center (FMC) в виде виртуальной или аппаратной платформы. Для обеспечения полной функциональности решения, FMC является обязательным компонентом.

* только для решения FTD.

Какие варианты операционных систем используются на решениях Cisco ASA и Cisco Firepower?

Решения Cisco ASA5500-X и новейшие решения Cisco Firepower (FPR) серии 1000/2100/4100/9000 входят в нишу сразу двух класс устройств: межсетевой экран нового поколения (NGFW) и система предотвращения вторжений нового поколения (NGIPS).

Наследственные решения Cisco FirePOWER серии 7000 и 8000 позиционируются в классе NGIPS. Существует несколько вариантов программного обеспечения, которые могут быть запущены на перечисленных платформах:

  • ASA OS – классическая операционная система ASA.
  • FirePOWER Services on ASA – программный модуль FirePOWER для Cisco ASA.
  • FirePOWER NGIPS – классическая операционная система IPS-сенсора FirePOWER.
  • Firepower Treat Defence (FTD) – консолидированная операционная система включающая в себя как функциональность ASA, так и модуля FirePOWER для Cisco ASA.

Устройства и соответствующие им варианты программного обеспечения удобно представить в табличном виде:

  Cisco ASA5500-X Cisco ASA5585 Cisco Firepower серии 1000/2100/4100/9000 Cisco FirePOWER серии 7000 и 8000
ASA OS + + + -
FirePOWER Services on ASA + + - -
FirePOWER NGIPS - - - +
Firepower Treat Defence (FTD) + - + -

Замечание 1: помимо перечисленных решений Cisco для классов NGFW и NGIPS существуют также виртуальные решения для VMWare, KVM и AWS: NGFW Virtual на базе FTDv, NGIPS Virtual Appliance. Кроме того виртуальное решение FTDv может быть запущено на базе UCS E-Series блейд-серверов, которыми могу быть укомплектованы маршрутизаторы ISR G2 и ISR4K. Таким образом, функциональность Firepower может быть добавлена в том числе и на маршрутизаторы Cisco.

Замечание 2: Cisco Firepower серии 2100/4100/9000 используют операционную систему Cisco Firepower eXtensible Operating System (FXOS) как оркестратор и для низкоуровневого управления шасси. ASA OS или FTD являются гостевыми операционными системами относительно FXOS.

Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco Firepower?

Существуют следующие варианты управления:

  • ASA CLI – классическая командная строка Cisco ASA.
  • ASDM – графический интерфейс для управления Cisco ASA и частично сервисами FirePOWER, запущенными на Cisco ASA.
  • FMC (Firepower Management Center) – бывший Defence Center или FireSIGHT. Отдельно стоящая система управления решениями Firepower, включая Firepower Threat Defence.
  • FDM (Firepower Device Manager) – новейшая легковесная система управления, которая работает «из коробки», то есть по умолчанию встроена в образ Firepower Threat Defence.

Некоторые системы управления для некоторых вариантов программного обеспечения предоставляют ограниченные возможности настройки. Например, для ASA с сервисами FirePOWER с помощью ASDM можно настраивать полный функционал ASA, но ограниченный функционал Firepower (подробнее).

Устройства и соответствующие им варианты систем управления удобно представить в табличном виде. Обозначения в таблице:

  • ASA + полное управление ASA;
  • ASA ± ограниченное управление ASA;
  • ASA – управление ASA невозможно;
  • FP + полное управление функционалом Firepower;
  • FP ± ограниченное управление функционалом Firepower;
  • FP – управление Firepower не возможно.
  ASA CLI ASDM FMC FDM
Cisco ASA5500-X + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco ASA5500-X FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco ASA5585 + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco Firepower серии 2100 FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco Firepower серии 4100/9000 FTD image - - ASA ±
FP +
-
Cisco FirePOWER серии 7000 и 8000 - - FP + -

Замечание 1: ячейки таблицы, в которых отсутствуют красные поля, описывают единую систему управления. То есть настройка как сервисов ASA, так и Firepower может осуществляться из единой консоли управления. Единые системы управления:

  • ASDM - полная ASA, частичная Firepower;
  • FMC - частичная ASA, полная Firepower, должен использоваться софт FTD;
  • FDM – частичная ASA, частичная Firepower, должен использоваться софт FTD.

Замечание 2: в таблице отсутствуют полностью зелёные ячейки. То есть, любая единая система управления на настоящий момент имеет некоторые ограничения.

Замечание 3: если требуется управлять как ASA, так и Firepower без ограничений, на данный момент необходимо использовать различный варианты управления: CLI или ASDM для ASA и FMC для функционала Firepower.

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

Сервис FirePOWER становится незаменимым инструментом IT-специалиста, сотрудника отдела информационной безопасности и т.д. Данное решение способно надёжно защищать корпоративную сеть от информационных угроз «из вне». Firepower устойчиво занимает лидирующие позиции в области систем предотвращения вторжений по результатам отчётов Gartner, LSS Labs и других.

Преимущества Firepower:

  • Надёжная система предотвращения вторжений нового поколения (NG IPS). Обеспечивает максимальный уровень защиты внутренних ресурсов компании от атак «из вне».
  • Полное видение сети. Технология Network visibility позволяет получать максимально полную информацию об устройствах, участвующих в сетевом взаимодействии. К такой информации относится версия операционной системы устройства, версия программного агента, участвующего в сетевом взаимодействии (браузер, клиент Skype и т.д.), пользователи, работающие на данном устройстве, вероятные уязвимости с точки зрения сетевой безопасности и многие другие параметры. Пример отображения параметров конечного оборудования представлен на рисунке ниже:

  • Распознавание файлов различных типов и проверка файлов на наличии вредоносного кода. Устройство способно распознавать более сотни различных типов файлов (mp3, mp4, bmp, rar, pdf и т.д.). Кроме того, технология Advanced Malware Protection (AMP) позволяет проверять скачиваемые/выгружаемые файлы на наличие вредоносного кода.
  • Ретроспективный анализ. Обеспечивается реакция системы не только до момента атаки или во время атаки, но и после её прохождения. Реакция системы после проведения атаки крайне важна для поддержания необходимого уровня безопасности. Ведь вредоносный код может попасть на конечное оборудование не только через сеть, но и простым подключением зараженного носителя. При таком прохождении атаки Firepower безусловно не может заблокировать вредоносный код на конечном оборудовании. Однако, если занесённый вирус проявит себя в сетевом взаимодействии, например, пытаясь распространиться на другие устройства, Firepower вычислит вирус, проследит заражённый код и пути его распространения по сети.
  • Межсетевой экран нового поколения. Позволяет настраивать гибкие политики доступа. Возможна настройка фильтрации по Интернет-приложениям, URL и категориям URL, репутации сайтов.
  • Интеграция с Active Directory. Политики доступа могут быть применены к конкретным пользователям или группам пользователей AD вне зависимости от клиентского устройства, с которого осуществляется сетевое взаимодействие.
  • Широчайшие возможности мониторинга, создания гибких отчётов. Пример предлагаемых отчётов представлен на рисунке ниже:

  • Гибкие возможности интеграции в сетевую инфраструктуру. Сервис FirePOWER может быть запущен как программный блейд на межсетевом экране Cisco ASA серии 5500, как виртуальная машина для гипервизора VMWare ESXi или как отдельное физическое устройство. В последнем случае предлагается широчайший спектр моделей устройств, рассчитанных на различные требования по производительности. Сервис FirePOWER может быть запущен как в режиме мониторинга, так и в режиме «inline».
Как запустить сервисы FirePOWER на ASA 5500-X?

Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:

  1. Наличие SSD-диска на Cisco ASA. Если в наличие уже имеется Cisco ASA, SSD-диск можно заказать отдельным парномером ASA5500X-SSD120=. Модели ASA5506, 5508 и 5516 оснащены SSD-диском по умолчанию.
  2. Версия программного обеспечения ASA начиная с версии 9.2.2.
  3. Наличие SmartNet для соответствующей модели, покрывающего сервисы FirePOWER. Например: CON-SNT-A12FPK9.
  4. Наличие позиции Control License. Данная позиция является бесплатной, однако должна быть включена в спецификацию. Пример партномера: ASA5516-CTRL-LIC. Control License позволяет применять правила контроля доступа (разрешение/запрет) для пользователей и приложений. Например, запретить доступ для приложения Skype. Запретить пользователю доступ на конкретный URL (для работы с категориями URL, а также репутациями требуется лицензия URL). И пр.
  5. Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:

    Где IPS (также называется Protection) – система предотвращения вторжений, файловый контроль (разрешение/запрет на передачу файлов) и Security Intelligence фильтрация (использование динамических баз вредоносных хостов в сети интернет);
    URL - URL-фильтрация по репутации и категориям сайтов;
    AMP – борьба с вредоносным кодом и угрозами нулевого дня.

    Пример партномера подписки на 3 года для ASA5516: L-ASA5516-TAMC-3Y

    При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.

    Подписки доступны на 1, 3 и 5 лет для новых моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше. Для ASA5512 и ASA5515 – подписки только на 1 год.

  6. Системы управления сервисами FirePOWER. Для полноценного управления сервисами FirePOWER необходимо заказать систему управления Firepower Management Center (FMC). Самый доступный вариант – в виде виртуальной машины. Виртуальная машина может быть скачана бесплатно с сайта cisco.com, однако, для её активации необходимо наличие лицензии:
    • FS-VMW-2-SW-K9 на 2 устройства ASA with FirePOWER services
    • FS-VMW-10-SW-K9 на 10 устройств ASA with FirePOWER services
    • FS-VMW-SW-K9 на 25 устройств FirePOWER или ASA with FirePOWER services
    С версии ASA OS IOS 9.4(2) заказ системы управления FMC является опциональным. Настройка сервисов FirePOWER может быть осуществлена посредством ASDM. FMC необходим при некоторых требованиях, в частности, для построения отчётов, работы IPS и пр. Отличия между управлением сервисами FirePOWER на ASA через ASDM и Firepower Management Center рассмотрены здесь.

В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия. Для моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор), то есть, содержащие в ПО алгоритмы 3DES/AES.

Из-за ограничений в производительности ASA 5506 запуск сервисов FirePOWER или же FTD начиная с версии 6.3 на данной платформе невозможен.

В чём отличие между использованием ASDM и Firepower Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?

С выходом версии Firepower 6.0.0.0 появилась возможность управления Firepower с помощью стандартного графического интерфейса Cisco ASA ASDM на всех моделях Cisco ASA серии 5500-X. До этого сервисы FirePOWER на моделях Cisco ASA 5512, 5515, 5525, 5545 и 5555 можно было настраивать только с помощью выделенной системы управления Firepower Management Center (далее FMC, другие названия Defence Center, FireSIGHT).

Однако, на настоящий момент времени (май 2019) ASDM имеет некоторые ограничения при настройке и управлении Firepower, по сравнению с FMC. Перечислим наиболее существенным ограничениям ASDM:

  1. Не поддерживается функциональность Network Discovery (автоматическое обнаружение хостов в сети, составление профилей для каждого обнаруженного хоста, включающего ОС хоста, пользователей хоста, открытые порты, индикаторы компрометации, уязвимости и т.д).
  2. Не поддерживается функциональность Next Generation IPS. Так как нет возможности обнаружения хостов в сети и составление профилей хостов (см. пункт 1), поддерживается только классический IPS.
  3. Не поддерживается автоматическое создание политик IPS. Требуемые для защиты сети сигнатуры IPS необходимо включать вручную. В то время как при использовании FMC система автоматически генерирует политики IPS (FireSIGHT Recommendations) на основании информации о сети, профилей хостов, сетевых транзакций, корреляции и т.д.
  4. Не поддерживается автоматизация обработки событий IPS. Не поддерживается автоматическое составление индикаторов компрометаций, корреляция событий, определение релевантности сигнатур атаки в соответствии с контекстом.
  5. Не поддерживается динамический анализ файлов в рамках функциональности Advanced Malware Protection (AMP), т.е. отправка всего файла в облако для расширенного анализа в файловой
  6. Не поддерживается захват файлов.
  7. Система построения отчётов. ASDM ограничен по возможности построения отчётов по сравнению с FMC. Кроме того, нет возможности экспортировать отчёты в разных форматах (HTML, PDF, CSV).

Управление сервисами FirePOWER на Cisco ASA через ASDM идеально подходит при использовании Cisco ASA в небольших офисах для подключения к Сети Интернет, когда основная задача сводится к настройке функциональности межсетевого экрана нового поколения (NGFW). ASDM предоставляет всё необходимое, чтобы настроить ограничения доступа к сайтам по категориям, ограничения по использованию Интернет-приложений (Skype, Torrent, TeamViewer), реализации политик на основании информации из MS Active Directory, ограничения по скачиванию выгрузки файлов. При этом, ASDM предоставляет средства отчётности начального уровня в виде преднастроенных панелей (Dashboards), на которые выводятся виджеты, отображающие необходимую информацию.

Наличие выделенной системы управления FMC требуется в случаях, когда необходимо обеспечить сервисы «продвинутой» безопасность для корпоративной сети. В частности, при необходимости запуска сервисов системы предотвращения вторжений нового поколения (NGIPS) настоятельно рекомендуется использование FMC. Кроме того, FMC необходим, когда существуют требования к созданию настраиваемых отчётов различного уровня сложности. Например, отчёты по посещению Интернет-ресурсов для конкретных пользователей, отчёты по загрузке Интернет-каналов различными Интернет-приложениями и т.д.

Что такое Firepower Threat Defense?

Firepower Threat Defense (FTD) – это новый образ программного обеспечения для Cisco ASA 5500-X и нового модельного ряда устройств Firepower (FPR) 1000/2100/4100/9000. FTD включает в себя функционал классического ПО Cisco ASA и ПО модуля Firepower. Управление и тем и другим происходит через Firepower Management Centre (FMC). Таким образом мы получаем единую консоль для централизованного управления сервисами Firepower и функционалом Cisco ASA.

Помимо доступа через FMC, на FTD можно попасть и через CLI по SSH. В CLI отсутствует возможность по настройке устройства, но присутствуют команды для мониторинга и траблшутинга. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п.

Ещё одним вариантом управления FTD является «on-board» система Firepower Device Manger. Это легковесная система управления, встроенная в образ FTD. Обеспечивает базовые настройки устройства и предлагаем необходимый минимум для запуска устройства в небольшом офисе/филиале.

FTD так же доступен в виде виртуальной машины – vFTD. В этом случае, функции Cisco ASA выполняет ASAv30, сравнимая по производительности с Cisco ASA 5525-X.

Лицензирование FTD, в любых исполнениях, выполняется по новой схеме – Cisco Smart Software Licensing. Схема лицензирования FTD схожа со схемой для сервисов FirePOWER, основное отличие в наименовании лицензий:

Threat Система предотвращения вторжений, файловый контроль (разрешение/запрет на  передачу файлов)
Malware Борьба с вредоносным кодом и угрозами нулевого дня (файловая проверка)
URL Filtering URL-фильтрация по репутации и категориям сайтов
Что такое Cisco Firepower 1000/2100/4100/9000?

Данные устройства представляют собой новую платформу Cisco Firepower (FPR), которая пришла на замену популярным межсетевым экранам Cisco ASA. Они относятся к классу межсетевых экранов нового поколения (NGFW).

Основные особенности данного класса устройств:

  • фильтрация по Интернет-приложениям (более 4000 приложений),
  • фильтрация по URL и категориям URL (более 80 категорий),
  • фильтрация по IP, DNS, репутация сайтов,
  • система предотвращения вторжений нового поколения (NG IPS),
  • проверка файлов на наличии вредоносного кода (Cisco AMP),
  • построение защищённых VPN туннелей: site-to-site (IKEv1 и IKEv2), remote-access (Anyconnect),
  • работа в отказоустойчивом режиме (active/standby, active/active) и кластеризация*,
  • централизованное управление,
  • глубокий мониторинг и создание гибких отчётов,
  • операционная система: Firepower Threat Defense (FTD) или Cisco Adaptive Security Appliance (ASA) OS,
  • защита от DDoS*,

* только для линеек 4100/9000

Модель

NGFW (1024B)

NGIPS (1024B)

IPSec VPN

Интерфейсы

1010 650 Мбит/с 650 Мбит/с 300 Мбит/с 8 x RJ45*
1120 1.5 Гбит/с 1.5 Гбит/с 1 Гбит/с 8 x RJ45, 4 x SFP
1140 2.2 Гбит/с 2.2 Гбит/с 1.2 Гбит/с 8 x RJ45, 4 x SFP
2110 2.3 Гбит/с 2.3 Гбит/с 800 Мбит/с 12 x RJ45, 4 x SFP
2120 3 Гбит/с 3 Гбит/с 1 Гбит/с 12 x RJ45, 4 x SFP
2130 5 Гбит/с 5 Гбит/с 1.6 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
2140 9 Гбит/с 9 Гбит/с 3.2 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
4110 11 Гбит/с 15 Гбит/с 6 Гбит/с 8 x SFP+, 2 x NM-модуль
4115 26 Гбит/с 27 Гбит/с 8 Гбит/с 8 x SFP+, 2 x NM-модуль
4120 19 Гбит/с 27 Гбит/с 10 Гбит/с 8 x SFP+, 2 x NM-модуль
4125 35 Гбит/с 41 Гбит/с 14 Гбит/с 8 x SFP+, 2 x NM-модуль
4140 27 Гбит/с 38 Гбит/с 13 Гбит/с 8 x SFP+, 2 x NM-модуль
4145 45 Гбит/с 55 Гбит/с 18 Гбит/с 8 x SFP+, 2 x NM-модуль
4150 39 Гбит/с 52 Гбит/с 14 Гбит/с 8 x SFP+, 2 x NM-модуль
9300 до 153 Гбит/с до 175 Гбит/с до 81 Гбит/с шасси: до 24 x SFP+, до 8 x QSFP+, до 8 x QSFP28+

* RJ45 - 10/100/1000Base-T

В чём отличие между Firepower Device Management (FDM) и Firepower Management Console (FMC)?

Оба решения используются для управления решением FTD (Firepower Threat Defense). Ниже представлена информация о доступной функциональности решения FTD при управлении через FDM и FMC.

FDM FMC
Стоимость Бесплатно, встроен в FTD Приобретается отдельно
Количество управляемых FTD Один Один и более
Интерфейс Максимально интуитивно понятный Интуитивно понятный
DHCP, NAT, Site to Site VPN, Remote Access VPN Да Да
QoS (ограничение скорости) Нет Да
Интеграция с AD Да Да
Дешифрация SSL Да Да
Фильтрация на основе L3/L4 заголовков, приложений, URL, пользователей/групп AD Да Да
NG IPS Базовый, выбор профиля Расширенный, настройка сигнатур на основе типа трафика
Network discovery (обнаружение и анализ хостов в сети) Нет Да
Расширенный инструментарий анализа инцидентов (хранение пакетов, файлов, быстрый доступ к различным внешним базам и пр.) Нет Да
Отчёты Нет Да
Корреляция событий Нет Да
Интеграция со сторонними решениями (ISE и пр.) Нет Да
Cisco Firepower или ASA?

Компания Cisco начала продажи устройства Firepower 1000. Это самая младшая линейка относительно нового класса устройств Firepower (FPR).

Данные устройства примечательны очень хорошей производительностью. Как мы помним, сервисы Firepower/FTD можно запустить на аппаратной платформе Cisco ASA начиная с ASA 5508. И если сравнить платформы Cisco ASA c FPR 1000, новые устройства получаются намного интереснее, особенно FPR 1010.

Устройство Производительность NGFW и NGIPS Цена устройства с подпиской TMC* на 3 года** Стоимость 1 Мбит/с
FPR 1010 650 Мбит/с 3 176.40 4,88
FPR 1120 1.5 Гбит/с 11 932.50 7,95
ASA 5508 250 Мбит/с 9 709.40 38,8
ASA 5516 450 Мбит/с 16 193.60 36
* TMC – IPS, URL, AMP
** цена GPL, актуальная на сентябрь 2019 года.

Начиная с версии FTD 6.5/ASA 9.13.1 на всех устройствах FPR (1000/2100/4100/9000) можно запустить как образ FTD, так и ASA OS (классический МСЭ). Поэтому, даже если не планируется использовать Cisco FTD, можно установить образ ASA OS и получить на базе решений FPR (1000/2100/4100/9000) привычный классический МСЭ с очень хорошей производительностью.

По производительности линейка устройств Cisco Firepower полностью закрывает линейку устройств Cisco ASA.

Firepower Management Center 6.X. Что нового?

Firepower Management Center (FMC, предыдущие названия Defence Center, FireSIGHT) – система управления решениями Firepower (сервисы FirePOWER, FTD).

Firepower Management Center 6.2

Версия FMC 6.2 стала доступна в начале 2017 года.
Среди наиболее заметных нововведений:

  • Поддержка TS Agent. Это агент для терминальных серверов, который поможет с аутентификацией пользователей. Подробнее можно почитать в нашем блоге на хабре.

Другие важные доработки касаются в основном Firepower Threat Defence (FTD - что это такое?):

  • Поддержка удобнейших инструментов Cisco ASA – Packet Tracer и Packet Capture. Packet Tracer запускает прохождение виртуального пакета с задаваемыми характеристиками через FTD. Позволяет проверять корректность настроек: будет ли пакет пропущен или отброшен, если отброшен, то каким правилом, какой выходной интерфейс будет выбран, какое правило NAT отработает и т.д.

    Packet Capture позволяет захватывать определяемые шаблоны трафика. Крайне удобно в процессе отладки. Например, можно понять, блокируются ли пакеты нашим устройством, или они даже не доходят до него.
  • Integrated Routing and Bridging (IRB). Теперь можно объединить физические L3 интерфейсы в bridge-группу. То есть, интерфейсы будут делать L2-switching и могут быть помещены в один vlan. Это крайне полезно в первую очередь для ASA5506, у которой 8 физических L3-инетфейсов. Теперь при установке ASA5506 в миниофисе нет необходимости докупать дополнительный коммутатор.

  • Site-to-Site VPN. Поддержка Site-to-Site IPsec была внедрена уже в версии 6.1. Но в той версии VPN можно было настроить только между двумя ASA (с софтом FTD или с обычным софтом). VPN между ASA и маршрутизатором не поддерживался. Авторизация VPN точек поддерживалась только по PSK. В версии 6.2 добавили аутентификацию по сертификатам, вместе с этим стал работать IPsec c маршрутизаторами.

  • URL Lookups. Часто встаёт вопрос, где посмотреть, будет ли знать Firepower категорию и репутацию того или иного сайта. Ранее, для этого необходимо было вручную проверять каждый URL через сайт brightcloud. Теперь это можно сделать непосредственно через FMC сразу для нескольких URL:

  • FlexConfig. Позволяет деплоить с помощью FMC некоторые шаблоны CLI-команд ASA. FlexConfig помогает, если на ASA с софтом FTD нужно использовать функциональность, который пока не возможно настроить через FMC. Например:
    • Routing (EIGRP, PBR, and IS-IS);
    • Netflow (NSEL) export;
    • WCCP;
    • И т.д.
  • Remote Access VPN (с версии 6.2.3). Появилась возможность использовать Cisco AnyConnect для удалённого подключения через протокол SSL или IPsec IKEv2.

Firepower Management Center 6.3

Версия FMC 6.3 стала доступна в декабре 2018 года.
Наиболее заметные нововведения:

  • Новая Specific лицензия: позволяет использовать FMC в изолированных сетях. До этого было только два способа использовать smart-лицензии: разрешить FMC доступ в интернет для связи с Cisco Smart Software Manager или настроить связь через специализированный прокси (Satellite License) внутри сети. Теперь же можно установить лицензию на определенный период времени без необходимости доступа куда-либо.
  • FTD устройства теперь поддерживают аппаратное ускорение SSL для платформ Firepower 2100, 4100, 9300.
  • FTD поддерживает двухфакторную аутентификацию для пользователей Anyconnect. Второй фактор: токены RSA или DUO-пароли передаются на мобильное устройство.

Firepower Management Center 6.4

Версия FMC 6.4 стала доступна в апреле 2019 года.
Наиболее заметные нововведения:

  • FMCv может быть развернут на Microsoft Azure.
  • Site-to-site VPN:
    • Можно настроить VPN-соединения между площадками, использующими динамический IP-адрес.
    • Стали доступны для использования динамические крипто карты для топологий point-to-point, hub-and-spoke.
    • Можно настроить VPN-подключение с использованием сертификатов вместо общего ключа.
  • Cisco Threat Response (CTR) можно интегрировать с FTD. Это позволит коррелировать данные о событиях в Firepower с данными из других источников для единого представления угроз в сети.
  • Диспетчер объектов (Object Manager) теперь позволяет просматривать политики, параметры и другие объекты, в которых используется существующий объект network, port, VLAN или URL, что значительно упрощает администрирование.

FirePOWER Management Center 6.5

Версия FMC 6.5 стала доступна в сентябре 2019 года.
Наиболее заметные нововведения:

  • Поддержка VMware vSphere/ESXi 6.7.
  • FMCv поддерживает подключение до 250 сенсоров.
  • Возможность установить ASA OS вместо FTD на новый модельный ряд FPR1010/1120/1140/1150.
  • Firepower 1010:
    • Режим работы внутренних портов: восьми портовый коммутатор или восемь маршрутизируемых портов.
    • Поддержка PoE+ на двух портах.
  • Фильтрация тегов ISE SGT как по источнику, так и по назначению в ACP.
  • Новая версия Firepower User Agent 2.5, которая может интегрироваться с FMC 6.4 и 6.5.
  • Можно использовать бэкап для переноса конфигурации FMC, даже если они не одной модели. Переход можно осуществить только с младших моделей к старшим, но не наоборот.
  • Расширенные возможности командной строки FTD. Получения статистики о количестве обработанных пакетов Prefilter политикой, Snort процессом и т.д.
Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?

Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.

Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:

Функционал Применение Для чего нужен доступ к облачным сервисам
AMP for Networks Management Center Выполняет поиск диспозиции файла в облаке на основе хэш суммы.
Динамический анализ: отправка FMC и SFR модуль Отправляет файлы в облако Threat Grid для динамического анализа.
Динамический анализ: запрос Management Center Запрашивает оценку файловой угрозы у облака AMP, ранее представленной для динамического анализа облаку Threat Grid.
Обновление IPS сигнатур, VDB и GeoDB Management Center Загружает IPS сигнатуры, GeoDB или VDB на устройство.
Локальный анализ вредоносных программ и обновление сигнатур для предварительной классификации файлов Management Center Загружает обновления сигнатур для локальных механизмов анализа вредоносных программ и предварительной классификации.
Security Intelligence фильтрация Management Center Загружает данные службы Security Intelligence из внешних источников, включая предоставленные Cisco.
Обновление системы FMC и SFR модуль Загрузка обновлений системы непосредственно на устройство.
URL фильтрация Management Center Загружает данные о URL категориях и репутациях для ACP (Access Control Policy) и запрашивает неизвестные URL-адреса.

Рассмотрим работу некоторых технологий Firepower подробнее:

  • URL фильтрация
    Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается.
  • Проверка AMP
    Предположим на FMC настроена политика, которая производит динамический анализ файлов.
    1. На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
    2. Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
    3. Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
    4. TG проверяет его на наличие вредоносного кода.
    5. После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
    6. FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.
Что случится если откажет FMC?

Фактически FMC нужно рассматривать только как точку управления для SFR модуля. Конфигурация правил на SFR модуле сначала производится на FMC, и только после этого загружается на него. Если FMC выключен, на SFR модуль это никак не повлияет, и он продолжит работать с последней загруженной конфигурацией и последними загруженными базами. Но обновлять базы он не сможет.