Secure Firewall Threat Defense | Secure Firewall ASA | Firepower 1000 Series | Cisco Secure Firewall ASDM Mode d'emploi
Ajouter à Mes manuels198 Des pages
▼
Scroll to page 2
of
198
Guide de mise en route de l'appliance Cisco Firepower 1010 Première publication : 13 juin 2019 Dernière modification : 28 février 2022 Americas Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA http://www.cisco.com Tel: 408 526-4000 800 553-NETS (6387) Fax: 408 527-0883 CHAPITRE 1 Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ? Votre plateforme matérielle peut exécuter l'un des deux systèmes d'exploitation. Pour chaque système d'exploitation, vous pouvez sélectionner différents gestionnaires. Dans ce chapitre, nous décrivons les systèmes d'exploitation et gestionnaires disponibles. • Systèmes d'exploitation, à la page 1 • Gestionnaires, à la page 1 Systèmes d'exploitation Vous pouvez utiliser l'ASA Secure Firewall ou le système d'exploitation Secure Firewall Threat Defense (anciennement Firepower Threat Defense) sur votre plateforme matérielle : • ASA : ASA est une appliance qui associe un pare-feu et un concentrateur VPN classiques et avancés. Vous pouvez utiliser l'ASA si vous n'avez pas l'intention d'utiliser les fonctionnalités avancées du threat defense, ou si vous souhaitez disposer d'une fonctionnalité propre à l'ASA qui n'est pas encore disponible sur le threat defense. Cisco fournit des outils de migration ASA vers threat defense pour vous aider à convertir votre ASA en pare-feu threat defense si vous commencez par utiliser ASA, puis passez au pare-feu threat defense. • Threat Defense : Le Threat Defense est un pare-feu de nouvelle génération qui associe un pare-feu avancé avec état, un concentrateur VPN et un système de prévention des intrusions de nouvelle génération. En d'autres termes, le threat defense dispose des fonctionnalités avancées de l'ASA et les combine avec un pare-feu et un système de prévention des intrusions de nouvelle génération. Nous vous recommandons d'utiliser le threat defense via le système d'exploitation ASA, car il contient la plupart des fonctionnalités principales de l'ASA, ainsi que des fonctionnalités de pare-feu et de prévention des intrusions de nouvelle génération. Pour réinstaller l'image entre l'appliance ASA et le threat defense, reportez-vous au Guide de réinstallation de Cisco Secure Firewall ASA et Threat Defense. Gestionnaires Le threat defense et l'ASA prennent en charge plusieurs gestionnaires. Guide de mise en route de l'appliance Cisco Firepower 1010 1 Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ? Gestionnaires Threat Defense Gestionnaires Threat Defense Tableau 1 : Gestionnaires Threat Defense Gestionnaire Description Secure Firewall Management Center (anciennement Firepower Management Center) Le centre de gestion est un puissant gestionnaire multi-appareils basé sur le web qui s'exécute sur son propre serveur ou en tant qu'appareil virtuel sur un hyperviseur. Utilisez le centre de gestion si vous souhaitez disposer d'un gestionnaire multi-appareils et utiliser toutes les fonctionnalités du threat defense. Le centre de gestion est par ailleurs doté de puissantes fonctions d'analyse et de surveillance du trafic et des événements. Dans les versions 6.7 et ultérieures, le centre de gestion peut gérer les threat defense à partir de l'interface externe (ou d'une autre interface de données) plutôt que de l'interface de gestion standard. Cette fonctionnalité est utile pour les déploiements de succursales distantes. Remarque Le centre de gestion n'est pas compatible avec d'autres gestionnaires, car le centre de gestion détient la configuration du threat defense ; or, vous n'êtes pas autorisé à configurer le threat defense directement, c'est-à-dire en contournant le centre de gestion. Pour vous familiariser avec le centre de gestion sur le réseau de gestion, reportez-vous à la rubrique Déployer Threat Defense avec le Centre de gestion, à la page 5. Pour vous familiariser avec le centre de gestion sur un réseau distant, reportez-vous à la rubrique Déployer Threat Defense avec un Centre de gestion distant, à la page 49. Gestionnaire d'appareils Secure Firewall Le gestionnaire d'appareils est un gestionnaire web simplifié et intégré sur les appareils. (anciennement Firepower Device Manager) Dans la mesure où il s'agit d'un outil simplifié, certaines fonctionnalités du threat defense ne sont pas prises en charge dans le gestionnaire d'appareils. Vous devez utiliser le gestionnaire d'appareils si vous gérez uniquement un petit nombre d'appareils et n'avez pas besoin d'un gestionnaire multi-appareils. Remarque Le gestionnaire d'appareils et le CDO en mode FDM peuvent tous deux détecter la configuration sur le pare-feu. Vous pouvez donc utiliser le gestionnaire d'appareils ou le CDO pour gérer le même pare-feu. Le centre de gestion n'est pas compatible avec d'autres gestionnaires. Pour commencer avec le gestionnaire d'appareils, reportez-vous à la rubrique Déployer Threat Defense avec le Gestionnaire d'appareils, à la page 93. Guide de mise en route de l'appliance Cisco Firepower 1010 2 Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ? Gestionnaires ASA Gestionnaire Description Cisco Defense Orchestrator (CDO) Le CDO propose deux modes de gestion : • (7.2 et versions ultérieures) Mode de centre de gestion fourni dans le cloud avec toutes les fonctionnalités de configuration d'un centre de gestion sur site. Pour la fonctionnalité d'analyse, vous pouvez utiliser Secure Cloud Analytics dans le cloud ou un centre de gestion sur site. • Mode de gestionnaire de périphériques avec une expérience utilisateur simplifiée. Ce mode n'est pas abordé dans ce guide. Étant donné que le CDO est basé dans le cloud, aucune surcharge ne se produit lors de l'exécution du CDO sur vos propres serveurs. Le gestionnaire CDO gère également d'autres appareils de sécurité, notamment les appliances ASA, de sorte que vous pouvez utiliser un seul gestionnaire pour tous vos appareils de sécurité. Pour commencer à utiliser le provisionnement du gestionnaire CDO, reportez-vous à rubrique Déployer Threat Defense avec le CDO, à la page 121. API REST de Secure Firewall Threat Defense L'API REST Threat Defense vous permet d'automatiser la configuration directe du threat defense. Cette API est compatible avec le gestionnaire d'appareils et le CDO, car tous deux peuvent détecter la configuration sur le pare-feu. Vous ne pouvez pas utiliser cette API si vous gérez le threat defense à l'aide du centre de gestion. L'API REST Threat Defense n'est pas abordée dans ce guide. Pour obtenir plus d'informations, reportez-vous à la section Guide de l'API REST de Cisco Secure Firewall Threat Defense. API REST de Secure Firewall Management L'API REST du centre de gestion vous permet d'automatiser la configuration des Center politiques de centre de gestion, puis d'appliquer ces politiques aux threat defense. Cette API ne gère pas le threat defense directement. L'API REST du centre de gestion n'est pas abordée dans ce guide. Pour obtenir plus d'informations, reportez-vous à la section Guide de démarrage rapide de l'API REST de Secure Firewall Management Center. Gestionnaires ASA Tableau 2 : Gestionnaires ASA Gestionnaire Description Adaptive Security Device Manager (ASDM) ASDM est un gestionnaire d'appareils basé sur Java qui fournit des fonctionnalités ASA complètes. Utilisez ASDM si vous préférez recourir à une interface graphique plutôt qu'à une interface de ligne de commande, et devez gérer un petit nombre d'ASA. ASDM peut détecter la configuration sur le pare-feu, de sorte que vous pouvez également utiliser l'interface de ligne de commande, le CDO ou le CSM avec ASDM. Pour commencer à utiliser ASDM, reportez-vous à la rubrique Déployer l'ASA avec le gestionnaire ASDM, à la page 173. Guide de mise en route de l'appliance Cisco Firepower 1010 3 Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ? Gestionnaires ASA Gestionnaire Description CLI Vous devez utiliser l'interface de ligne de commande ASA si vous préférez les interfaces de ligne de commande aux interfaces graphiques. L'interface de ligne de commande n'est pas abordée dans ce guide. Pour en savoir plus, consultez les Guides de configuration de l'ASA. CDO CDO est un gestionnaire multi-appareils simplifié basé dans le cloud. Dans la mesure où il s'agit d'un outil simplifié, certaines fonctionnalités ASA ne sont pas prises en charge dans CDO. Utilisez CDO si vous souhaitez disposer d'un gestionnaire multi-appareils offrant une expérience de gestion simplifiée. Par ailleurs, étant donné que le CDO est basé dans le cloud, aucune surcharge ne se produit lors de l'exécution du CDO sur vos propres serveurs. CDO gère également d'autres périphériques de sécurité, notamment les threat defense, de sorte que vous pouvez utiliser un seul gestionnaire pour tous vos périphériques de sécurité. CDO peut détecter la configuration sur le pare-feu, de sorte que vous pouvez également utiliser l'interface de ligne de commande ou le gestionnaire ASDM. Le gestionnaire CDO n'est pas traité dans ce guide. Pour commencer à utiliser le CDO, consultez la page d'accueil du gestionnaire CDO. Cisco Security Manager (CSM) CSM est un puissant gestionnaire multi-appareils qui s'exécute sur son propre serveur. Vous devez utiliser le gestionnaire CSM si vous devez gérer un grand nombre d'ASA. CSM peut détecter la configuration sur le pare-feu, de sorte que vous pouvez également utiliser l'interface de ligne de commande ou le gestionnaire ASDM. Le gestionnaire CSM ne prend pas en charge la gestion des threat defense. Le gestionnaire CSM n'est pas traité dans ce guide. Pour en savoir plus, consultez le Guide d'utilisateur du gestionnaire CSM. API REST ASA L'API REST ASA vous permet d'automatiser la configuration de l'ASA. Cependant, cette API n'inclut pas toutes les fonctionnalités ASA et n'est plus mise à jour. L'API REST ASA n'est pas abordée dans ce guide. Pour obtenir plus d'informations, reportez-vous à la section Guide de démarrage rapide de l'API REST Cisco ASA Secure Firewall. Guide de mise en route de l'appliance Cisco Firepower 1010 4 CHAPITRE 2 Déployer Threat Defense avec le Centre de gestion Ce chapitre vous concerne-t-il ? Pour connaître tous les systèmes d'exploitation et gestionnaires disponibles, reportez-vous à la rubrique Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ?, à la page 1. Ce chapitre s'applique au threat defense doté de centre de gestion. Dans ce chapitre, nous vous expliquons comment effectuer la configuration initiale de votre threat defense et comment enregistrer le pare-feu sur le centre de gestion situé sur votre réseau de gestion. Pour le déploiement dans une succursale distante, où le gestionnaire centre de gestion se trouve sur le siège central, reportez-vous à la rubrique Déployer Threat Defense avec un Centre de gestion distant, à la page 49. Dans un déploiement classique sur un réseau de grande envergure, vous installez plusieurs appareils gérés sur des segments de réseau. Chaque appareil contrôle, inspecte, surveille et analyse le trafic, puis envoie les informations recueillies à un gestionnaire centre de gestion. Le gestionnaire centre de gestion possède une console de gestion centralisée avec une interface web que vous pouvez utiliser pour effectuer des tâches d'administration, de gestion, d'analyse et de création de rapports afin de sécuriser votre réseau local. À propos du pare-feu L'appareil peut exécuter un logiciel threat defense ou un logiciel ASA. Pour basculer entre threat defense et ASA, vous devez reconfigurer l'appareil. Vous devez également recommencer l'installation si vous avez besoin d'une version logicielle différente de celle actuellement installée. Consultez la rubrique Réinstaller Cisco ASA ou Firepower Threat Defense. Le pare-feu exécute un système d'exploitation sous-jacent appelé Système d'exploitation Secure Firewall eXtensible (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense. Déclaration de confidentialité—Le pare-feu ne requiert ni ne collecte activement aucune information permettant de vous identifier. Vous pouvez néanmoins utiliser des informations d'identification personnelle au cours de la configuration, notamment des noms d'utilisateur. Dans ce cas, un administrateur peut accéder à ces informations lors de l'utilisation de la configuration ou de l'utilisation du protocole SNMP. • Avant de commencer, à la page 6 • Procédure de bout en bout, à la page 6 • Vérifier le déploiement du réseau, à la page 8 • Raccorder l'appareil (6.5 et versions ultérieures), à la page 10 Guide de mise en route de l'appliance Cisco Firepower 1010 5 Déployer Threat Defense avec le Centre de gestion Avant de commencer • Raccorder l'appareil (6.4), à la page 12 • Mettre le pare-feu sous tension, à la page 13 • (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 14 • Finaliser la configuration initiale de Threat Defense, à la page 15 • Se connecter au Centre de gestion, à la page 24 • Obtenir les licences du Centre de gestion, à la page 24 • Enregistrer le Threat Defense auprès du Centre de gestion, à la page 25 • Configurer une politique de sécurité de base, à la page 28 • Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 44 • Mettre le pare-feu hors tension, à la page 45 • Et après ?, à la page 46 Avant de commencer Déployez et effectuez la configuration initiale du centre de gestion. Reportez-vous à la rubrique Guide d'installation matérielle pour Cisco Firepower Management Center 1600, 2600 et 4600 ou Guide de mise en route de Cisco Secure Firewall Management Center Virtual. Procédure de bout en bout Reportez-vous aux tâches suivantes pour déployer le threat defense avec le centre de gestion sur votre châssis. Guide de mise en route de l'appliance Cisco Firepower 1010 6 Déployer Threat Defense avec le Centre de gestion Procédure de bout en bout Configuration préalable Installez le pare-feu. Reportez-vous au guide d'installation matérielle. Configuration préalable Vérifier le déploiement du réseau, à la page 8. Configuration préalable Raccorder l'appareil (6.5 et versions ultérieures), à la page 10 Configuration préalable Mettre le pare-feu sous tension, à la page 13. Raccorder l'appareil (6.4), à la page 12. Guide de mise en route de l'appliance Cisco Firepower 1010 7 Déployer Threat Defense avec le Centre de gestion Vérifier le déploiement du réseau Interface de ligne de (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 14 commande ou Gestionnaire d'appareils Interface de ligne de Finaliser la configuration initiale de Threat Defense, à la page 15. commande ou Gestionnaire d'appareils Centre de gestion Se connecter au Centre de gestion, à la page 24. Cisco Commerce Workspace Obtenir les licences du Centre de gestion, à la page 24 : acheter des licences de fonctionnalités. Smart Software Manager Obtenir les licences du Centre de gestion, à la page 24 : générer un jeton de licence pour le centre de gestion. Centre de gestion Obtenir les licences du Centre de gestion, à la page 24 : enregistrer le centre de gestion sur Smart Licensing Server. Centre de gestion Enregistrer le Threat Defense auprès du Centre de gestion, à la page 25 Centre de gestion Configurer une politique de sécurité de base, à la page 28 Vérifier le déploiement du réseau 6.5 et versions ultérieures L'interface de gestion 1/1 dédiée est une interface spéciale qui dispose de ses propres paramètres réseau. Par défaut, l'interface de gestion 1/1 est activée et configurée en tant que client DHCP. Si votre réseau n'inclut pas de serveur DHCP, vous pouvez configurer l'interface de gestion pour qu'elle utilise une adresse IP statique lors de la configuration initiale sur le port de console. Vous pouvez configurer d'autres interfaces après avoir connecté threat defense au centre de gestion. Notez que les ports Ethernet 1/2 à 1/8 sont activés en tant que ports de commutateur par défaut. Remarque Dans les versions 6.5 et antérieures, l'interface de gestion est configurée avec une adresse IP (192.168.45.45). La figure suivante illustre le déploiement réseau recommandé pour le Firepower 1010. Le centre de gestion peut communiquer uniquement avec threat defense sur l'interface de gestion. En outre, le centre de gestion et threat defense nécessitent un accès Internet via l'interface de gestion pour l'octroi de licences et les mises à jour. Dans le schéma suivant, le Firepower 1010 fait office de passerelle Internet pour l'interface de gestion et le centre de gestion en connectant l'interface de gestion 1/1 directement à un port de commutateur interne, et en Guide de mise en route de l'appliance Cisco Firepower 1010 8 Déployer Threat Defense avec le Centre de gestion Vérifier le déploiement du réseau connectant le centre de gestion et l'ordinateur de gestion à d'autres ports de commutateur internes. (Cette connexion directe est autorisée, car l'interface de gestion est séparée des autres interfaces sur threat defense.) Illustration 1 : Déploiement réseau suggéré Déploiement 6.4 L'interface de gestion 1/1 dédiée est une interface spéciale qui dispose de ses propres paramètres réseau. Par défaut, seule l'interface de gestion 1/1 est activée et configurée avec une adresse IP (192.168.45.45). Par ailleurs, cette interface exécute initialement un serveur DHCP ; après avoir sélectionné centre de gestion comme gestionnaire lors de la configuration initiale, le serveur DHCP est désactivé. Vous pouvez configurer d'autres interfaces après avoir connecté threat defense à centre de gestion. La figure suivante illustre le déploiement réseau recommandé pour le Firepower 1010. Le centre de gestion peut communiquer uniquement avec threat defense sur l'interface de gestion. En outre, le centre de gestion et threat defense nécessitent un accès Internet via l'interface de gestion pour l'octroi de licences et les mises à jour. Dans le schéma suivant, le Firepower 1010 fait office de passerelle Internet pour l'interface de gestion et le centre de gestion en connectant l'interface de gestion 1/1 à une interface interne via un commutateur de couche 2 et en connectant le centre de gestion et l'ordinateur de gestion au commutateur. (Cette connexion directe est autorisée, car l'interface de gestion est séparée des autres interfaces sur threat defense.) Guide de mise en route de l'appliance Cisco Firepower 1010 9 Déployer Threat Defense avec le Centre de gestion Raccorder l'appareil (6.5 et versions ultérieures) Illustration 2 : Déploiement réseau suggéré Raccorder l'appareil (6.5 et versions ultérieures) Pour raccorder l'appareil Firepower 1010 selon le schéma recommandé, reportez-vous à l'illustration suivante, qui présente un exemple de topologie utilisant Ethernet 1/1 comme interface externe et les autres interfaces comme ports de commutateur sur le réseau interne. Remarque Vous pouvez utiliser d'autres topologies, et votre déploiement varie en fonction de vos besoins. Par exemple, vous pouvez convertir les ports de commutateur en interfaces de pare-feu. Guide de mise en route de l'appliance Cisco Firepower 1010 10 Déployer Threat Defense avec le Centre de gestion Raccorder l'appareil (6.5 et versions ultérieures) Illustration 3 : Raccorder le Firepower 1010 Remarque Pour les versions 6.5 et antérieures, l'adresse IP par défaut de l'interface de gestion 1/1 est 192.168.45.45. Procédure Étape 1 Installez le châssis. Reportez-vous au guide d'installation matérielle. Étape 2 Connectez directement l'interface de gestion 1/1 à l'un des ports de commutateur, Ethernet 1/2 à 1/8. Étape 3 Raccordez les câbles suivants aux ports de commutateur, Ethernet 1/2 à 1/8 : • Centre de gestion • Ordinateur de gestion • Terminaux supplémentaires Étape 4 Connectez l'ordinateur de gestion au port de console. Vous devez utiliser le port de console pour accéder à l'interface de ligne de commande pour la configuration initiale si vous n'utilisez pas SSH pour l'interface de gestion ou utilisez le gestionnaire d'appareils pour la configuration initiale. Étape 5 Connectez Ethernet 1/1 à votre routeur externe. Guide de mise en route de l'appliance Cisco Firepower 1010 11 Déployer Threat Defense avec le Centre de gestion Raccorder l'appareil (6.4) Raccorder l'appareil (6.4) Pour raccorder l'appareil Firepower 1010 selon le schéma recommandé, reportez-vous à l'illustration suivante, qui présente un exemple de topologie utilisant un commutateur de couche 2. Remarque Vous pouvez utiliser d'autres topologies, et votre déploiement varie en fonction de vos besoins. Illustration 4 : Raccorder le Firepower 1010 Procédure Étape 1 Installez votre matériel et apprenez à l'utiliser à l'aide du guide d'installation matérielle. Étape 2 Raccordez les composants suivants à un commutateur Ethernet de couche 2 : • Interface interne (par exemple, Ethernet 1/2) • Interface de gestion 1/1 • Centre de gestion • Ordinateur de gestion Remarque L'appareil Firepower 1010 et le centre de gestion possèdent tous deux la même adresse IP de gestion par défaut, à savoir 192.168.45.45. Dans ce guide, nous partons du principe que vous définissez des adresses IP différentes pour vos appareils lors de la configuration initiale. Notez que le gestionnaire centre de gestion sur les versions 6.5 et ultérieures utilise par défaut un client DHCP pour l'interface de gestion ; cependant, en l'absence de serveur DHCP, il utilise l'adresse par défaut 192.168.45.45. Guide de mise en route de l'appliance Cisco Firepower 1010 12 Déployer Threat Defense avec le Centre de gestion Mettre le pare-feu sous tension Étape 3 Connectez l'ordinateur de gestion au port de console. Vous devez utiliser le port de console pour accéder à l'interface de ligne de commande pour la configuration initiale si vous n'utilisez pas SSH pour l'interface de gestion. Étape 4 Connectez l'interface externe (par exemple, Ethernet 1/1) à votre routeur externe. Étape 5 Connectez les autres réseaux aux interfaces restantes. Mettre le pare-feu sous tension L'alimentation du système est contrôlée par le cordon d'alimentation. Il n'y a pas de bouton d'alimentation. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Avant de commencer Il est important que vous utilisiez une source d'alimentation fiable pour alimenter votre appareil (à l'aide d'un système d'alimentation sans coupure, par exemple). Une panne de courant sans arrêt préalable peut endommager gravement le système de fichiers. De nombreux processus s'exécutent en arrière-plan en permanence, et une panne de courant ne permet pas l'arrêt normal de votre système. Procédure Étape 1 Raccordez le câble d'alimentation à l'appareil et branchez-le à une prise électrique. L'appareil se met automatiquement sous tension dès que vous le branchez. Étape 2 Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Étape 3 Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. Guide de mise en route de l'appliance Cisco Firepower 1010 13 Déployer Threat Defense avec le Centre de gestion (Facultatif) Vérifier le logiciel et installer une nouvelle version (Facultatif) Vérifier le logiciel et installer une nouvelle version Pour vérifier la version du logiciel et, si nécessaire, installer une autre version, procédez comme suit. Nous vous recommandons d'installer votre version cible avant de configurer le pare-feu. Vous pouvez également effectuer une mise à niveau une fois que vous êtes opérationnel, mais la mise à niveau, qui préserve votre configuration, peut prendre plus de temps que cette procédure. Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique https://www.cisco.com/c/en/us/products/collateral/security/firewalls/ bulletin-c25-743178.html ; par exemple, ce bulletin décrit la numérotation des versions à court terme (avec les dernières fonctionnalités), la numérotation des versions à long terme (versions de maintenance et correctifs pour une période plus longue) ou la numérotation des versions à très long terme (versions de maintenance et correctifs pour la période la plus longue, pour la certification gouvernementale). Procédure Étape 1 Connectez-vous à l'interface de ligne de commande. Pour plus d'informations, reportez-vous à la rubrique Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 44. Cette procédure illustre l'utilisation du port de console, mais vous pouvez utiliser SSH si vous le souhaitez. Connectez-vous avec l'utilisateur admin et le mot de passe par défaut, Admin123. Vous vous connectez à la CLI FXOS. Lors de la première connexion, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si vous avez modifié le mot de passe, mais que vous l'avez oublié, vous devez réinitialiser l'appareil pour rétablir le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure pour rétablir les paramètres d'usine. Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Étape 2 Dans l'interface de ligne de commande de la console FXOS, affichez la version en cours d'exécution. scope ssa show app-instance Guide de mise en route de l'appliance Cisco Firepower 1010 14 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense Exemple : Firepower# scope ssa Firepower /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- ----------------------------- -----------------ftd 1 Enabled Online 7.2.0.65 7.2.0.65 Not Applicable Étape 3 Si vous souhaitez installer une nouvelle version, procédez comme suit. a) Si vous devez définir une adresse IP statique pour l'interface de gestion, reportez-vous à la rubrique Finaliser la configuration initiale de Threat Defense à l'aide de l'interface de ligne de commande, à la page 20. Par défaut, l'interface de gestion utilise DHCP. Vous devrez télécharger la nouvelle image à partir d'un serveur accessible depuis l'interface de gestion. b) Suivez la procédure de réinstallation du guide de dépannage de la console FXOS. Finaliser la configuration initiale de Threat Defense Vous pouvez finaliser la configuration initiale de threat defense à l'aide de l'interface de ligne de commande ou du gestionnaire d'appareils. Finaliser la configuration initiale de Threat Defense à l'aide de l'interface du Gestionnaire d'appareils Connectez-vous au gestionnaire d'appareils pour effectuer la configuration initiale du threat defense. Lorsque vous effectuez la configuration initiale à l'aide du gestionnaire d'appareils, toutes les configurations d'interface effectuées dans le gestionnaire d'appareils sont conservées lorsque vous passez au centre de gestion pour la gestion, en plus des paramètres d'interface de gestion et d'accès du gestionnaire. Notez que les autres paramètres de configuration par défaut, tels que la politique de contrôle d'accès ou les zones de sécurité, ne sont pas conservés. Lorsque vous utilisez l'interface de ligne de commande, seuls les paramètres de l'interface de gestion et d'accès au gestionnaire sont conservés (par exemple, la configuration par défaut de l'interface interne n'est pas conservée). Avant de commencer • Déployez et effectuez la configuration initiale du centre de gestion. Reportez-vous à la section Guide d'installation matérielle pour Cisco Firepower Management Center 1600, 2600 et 4600. Vous devez connaître l'adresse IP ou le nom d'hôte du centre de gestion avant de configurer le threat defense. • Utilisez une version actuelle de Firefox, Chrome, Safari, Edge ou Internet Explorer. Guide de mise en route de l'appliance Cisco Firepower 1010 15 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface du Gestionnaire d'appareils Procédure Étape 1 Connectez-vous au gestionnaire d'appareils. a) Saisissez l'une des URL suivantes dans votre navigateur. • Interne (Ethernet1/2 à 1/8)—https://192.168.95.1.Vous pouvez vous connecter à l'adresse interne sur n'importe quel port de commutateur interne (Ethernet 1/2 à 1/8). • Gestion—https://ip_gestion. Dans la mesure où l'interface de gestion est un client DHCP, l'adresse IP dépend de votre serveur DHCP. Vous devrez peut-être définir l'adresse IP de gestion sur une adresse statique dans le cadre de cette procédure. Nous vous recommandons donc d'utiliser l'interface interne afin de ne pas être déconnecté. b) Connectez-vous avec le nom d'utilisateur admin et le mot de passe par défaut Admin123. c) Vous êtes invité à lire et à accepter le contrat de licence de l'utilisateur final et à modifier le mot de passe admin. Étape 2 Utilisez l'assistant de configuration lors de votre première connexion au gestionnaire d'appareils pour terminer la configuration initiale. Vous pouvez éventuellement ignorer l'assistant de configuration en cliquant sur Ignorer la configuration de l'appareil au bas de la page. Une fois l'assistant de configuration terminé, outre la configuration par défaut de l'interface interne (Ethernet 1/2 à 1/8, qui sont des ports de commutateur sur le VLAN1), la configuration d'une interface externe (Ethernet 1/1) sera conservée lorsque vous passerez à la gestion du centre de gestion. a) Configurez les options suivantes pour les interfaces externes et de gestion, puis cliquez sur Suivant. 1. Adresse de l'interface externe : cette interface est généralement la passerelle Internet et peut être utilisée comme interface d'accès au gestionnaire. Vous ne pouvez pas sélectionner une autre interface externe lors de la configuration initiale de l'appareil. La première interface de données est l'interface externe par défaut. Si vous souhaitez utiliser une interface différente depuis l'interface externe (ou interne) pour l'accès au gestionnaire, vous devez la configurer manuellement après avoir terminé l'assistant de configuration. Configurer IPv4 : adresse IPv4 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un masque de sous-réseau et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv4. Vous ne pouvez pas configurer PPPoE à l'aide de l'assistant de configuration. Le protocole PPPoE peut être nécessaire si l'interface est connectée à un modem ADSL, un modem câble ou une autre connexion à votre FAI et que votre FAI utilise PPPoE pour fournir votre adresse IP. Vous pouvez configurer PPPoE après avoir terminé l'assistant. Configurer IPv6 : adresse IPv6 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un préfixe et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv6. 2. Interface de gestion Les paramètres de l'interface de gestion ne sont pas visibles si vous avez effectué la configuration initiale dans l'interface de ligne de commande. Notez que la configuration de l'adresse IP de l'interface de gestion ne fait pas partie de l'assistant de configuration. Reportez-vous à l'étape Étape 3, à la page 17 pour définir l'adresse IP de gestion. Serveurs DNS : serveur DNS pour l'interface de gestion du pare-feu. Saisissez une ou plusieurs adresses de serveurs DNS pour la résolution de noms. La valeur par défaut est Serveurs DNS publics Guide de mise en route de l'appliance Cisco Firepower 1010 16 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface du Gestionnaire d'appareils OpenDNS. Si vous modifiez les champs et souhaitez rétablir les paramètres par défaut, cliquez sur Utiliser OpenDNS pour recharger les adresses IP appropriées dans les champs. Nom d'hôte du pare-feu : nom d'hôte de l'interface de gestion du pare-feu. b) Configurez les Paramètres relatifs au temps (NTP) et cliquez sur Suivant. 1. Fuseau horaire : sélectionnez le fuseau horaire du système. 2. Serveur de temps NTP : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes. c) Sélectionnez Démarrer la période d'évaluation de 90 jours sans enregistrement. N'enregistrez pas le threat defense auprès de Smart Software Manager ; toutes les licences sont octroyées sur le centre de gestion. d) Cliquez sur Terminer. e) Vous êtes invité à sélectionner Gestion du cloud ou Autonome. Pour la gestion du centre de gestion, sélectionnez Autonome, puis J'ai compris. Étape 3 (Peut être obligatoire) Configurez une adresse IP statique pour l'interface de gestion. Sélectionnez Appareil, puis cliquez sur le lien Paramètres système > Accès de gestion. Si vous souhaitez configurer une adresse IP statique, veillez à définir également la passerelle par défaut sur une passerelle unique au lieu des interfaces de données. Si vous utilisez DHCP, vous n'avez rien à configurer. Étape 4 Si vous souhaitez configurer des interfaces supplémentaires, notamment une interface autre que l'interface externe ou interne, sélectionnez Appareil, puis cliquez sur le lien dans le récapitulatif Interfaces. Reportez-vous à la rubrique Configurer le pare-feu dans le Gestionnaire d'appareils, à la page 113 pour plus d'informations sur la configuration des interfaces dans le gestionnaire d'appareils. Les autres configurations du gestionnaire d'appareils ne sont pas conservées lorsque vous enregistrez l'appareil auprès du centre de gestion. Étape 5 Sélectionnez Appareil > Paramètres système > Centre de gestion, et cliquez sur Continuer pour configurer la gestion du centre de gestion. Étape 6 Configurez les Détails du centre de gestion/CDO. Guide de mise en route de l'appliance Cisco Firepower 1010 17 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface du Gestionnaire d'appareils Illustration 5 : Détails du centre de gestion/CDO a) Pour le champ Connaissez-vous le nom d'hôte ou l'adresse IP du Centre de gestion/CDO, cliquez sur Oui si vous pouvez accéder au centre de gestion à l'aide d'une adresse IP ou d'un nom d'hôte, ou sur Non si le centre de gestion est derrière la NAT ou n'a pas d'adresse IP ou de nom d'hôte public. Guide de mise en route de l'appliance Cisco Firepower 1010 18 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface du Gestionnaire d'appareils Au moins l'un des appareils, soit le centre de gestion soit le threat defense, doit disposer d'une adresse IP accessible pour établir le canal de communication bidirectionnel chiffré SSL entre les deux appareils. b) Si vous avez choisi Oui, saisissez le Nom d'hôte/adresse IP du Centre de gestion/CDO. c) Spécifiez la Clé d'enregistrement du Centre de gestion/CDO. Cette clé est une clé d'enregistrement unique de votre choix, que vous devez également spécifier sur le centre de gestion lorsque vous enregistrez l'appareil threat defense. La clé d'enregistrement ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le trait d'union (-). Il est possible d'utiliser cet ID pour plusieurs appareils qui s'enregistrent auprès du centre de gestion. d) Spécifiez un ID NAT. Cet ID est une chaîne unique de votre choix, que vous spécifiez également sur le centre de gestion. Ce champ est obligatoire si vous spécifiez uniquement l'adresse IP sur l'un des appareils ; nous vous recommandons cependant de spécifier l'ID NAT même si vous connaissez les adresses IP des deux appareils. L'ID NAT ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le trait d'union (-). Il est impossible d'utiliser cet ID pour d'autres appareils enregistrés auprès du centre de gestion. L'ID NAT est utilisé en combinaison avec l'adresse IP pour vérifier que la connexion provient de l'appareil correct ; ce n'est qu'après l'authentification de l'adresse IP/ID NAT que la clé d'enregistrement est vérifiée. Étape 7 Configurez la configuration de connectivité. a) Spécifiez le nom d'hôte du FTD. b) Spécifiez le groupe de serveurs DNS. Sélectionnez un groupe existant ou créez-en un nouveau. Le groupe DNS par défaut est appelé CiscoUmbrellaDNSServerGroup et inclut les serveurs OpenDNS. c) Pour Centre de gestion/Interface d'accès au CDO, choisissez gestion. Étape 8 Cliquez sur Connecter. La boîte de dialogue État d'enregistrement affiche l'état actuel du commutateur sur le centre de gestion. Après l'étape Sauvegarde des paramètres d'enregistrement du centre de gestion/CDO, accédez au centre de gestion, et ajoutez le pare-feu. Si vous souhaitez annuler le basculement sur centre de gestion, cliquez sur Annuler l'enregistrement. Sinon, ne fermez pas la fenêtre du navigateur gestionnaire d'appareils avant d'avoir terminé l'étape Sauvegarde des paramètres d'enregistrement du centre de gestion/CDO. Dans le cas contraire, le processus sera interrompu et ne reprendra que lorsque vous vous reconnecterez au gestionnaire d'appareils. Si vous restez connecté au gestionnaire d'appareils après l'étape Sauvegarde de l'enregistrement des paramètres du centre de gestion/CDO, la boîte de dialogue Connexion réussie avec le centre de gestion ou le CDO finit par d'afficher, puis vous êtes déconnecté du gestionnaire d'appareils. Guide de mise en route de l'appliance Cisco Firepower 1010 19 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface de ligne de commande Illustration 6 : Connexion réussie Finaliser la configuration initiale de Threat Defense à l'aide de l'interface de ligne de commande Connectez-vous à l'interface de ligne de commande de threat defense pour procéder à la configuration initiale, notamment à la configuration de l'adresse IP de gestion, de la passerelle et d'autres paramètres réseau de base à l'aide de l'assistant de configuration. L'interface de gestion dédiée est une interface spéciale disposant de ses propres paramètres réseau. Dans les versions 6.7 et ultérieures : si vous ne souhaitez pas utiliser l'interface de gestion pour l'accès au gestionnaire, vous pouvez utiliser l'interface de ligne de commande pour configurer une interface de données. Vous configurerez également les paramètres de communication du centre de gestion. Lorsque vous effectuez la configuration initiale à l'aide de gestionnaire d'appareils (7.1 et versions ultérieures), toutes les configurations d'interface effectuées dans le gestionnaire d'appareils sont conservées lorsque vous passez au centre de gestion pour la gestion, en plus des paramètres d'interface de gestion et d'accès du gestionnaire. Notez que les autres paramètres de configuration par défaut, tels que la politique de contrôle d'accès, ne sont pas conservés. Procédure Étape 1 Connectez-vous à l'interface de ligne de commande de threat defense, soit à partir du port de console soit à l'aide de SSH à l'interface de gestion, qui obtient une adresse IP d'un serveur DHCP par défaut. Si vous souhaitez modifier les paramètres réseau, nous vous recommandons d'utiliser le port de console pour éviter toute déconnexion. Le port de console se connecte à l'interface de ligne de commande de FXOS. La session SSH se connecte directement à l'interface de ligne de commande de threat defense. Étape 2 Connectez-vous avec le nom d'utilisateur admin et le mot de passe Admin123. Guide de mise en route de l'appliance Cisco Firepower 1010 20 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface de ligne de commande Sur le port de console, vous vous connectez à l'interface de ligne de commande de la console FXOS. Lors de la première connexion à FXOS, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si vous avez modifié le mot de passe, mais que vous l'avez oublié, vous devez reconfigurer l'appareil pour réinitialiser le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure de réinstallation. Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Étape 3 Si vous êtes connecté à FXOS sur le port de console, connectez-vous à l'interface de ligne de commande de threat defense. connect ftd Exemple : firepower# connect ftd > Étape 4 La première fois que vous vous connectez à threat defense, vous êtes invité à accepter le contrat de licence de l'utilisateur final (CLUF) et, si vous utilisez une connexion SSH, à modifier le mot de passe administrateur. Le script de configuration de la CLI vous est ensuite présenté. Remarque Vous ne pouvez pas répéter l'assistant de configuration de la CLI à moins d'avoir effacé la configuration, par exemple, via une réinitialisation. Vous pouvez cependant modifier tous les paramètres ultérieurement dans l'interface de ligne de commande à l'aide des commandes configure network. Reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Les valeurs par défaut ou les valeurs saisies précédemment apparaissent entre crochets. Pour accepter les valeurs saisies précédemment, appuyez sur la touche Entrée. Reportez-vous aux instructions suivantes : • Saisissez la passerelle IPv4 par défaut pour l'interface de gestion : le paramètre data-interfaces s'applique uniquement au centre de gestion distant ou à la gestion du gestionnaire d'appareils ; vous devez définir une adresse IP de passerelle pour l'interface de gestion 1/1 lorsque vous utilisez le centre de gestion sur le réseau de gestion. Dans l'exemple de déploiement de périphérie illustré dans la section de déploiement du réseau, l'interface interne fait office de passerelle de gestion. Dans ce cas, vous devez Guide de mise en route de l'appliance Cisco Firepower 1010 21 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface de ligne de commande définir l'adresse IP de la passerelle en tant qu'adresse IP de l'interface interne prévue ; vous devez ensuite utiliser le centre de gestion pour définir l'adresse IP interne. • Si vos informations réseau ont changé, vous devrez vous reconnecter : si vous êtes connecté à SSH, mais que vous modifiez l'adresse IP lors de la configuration initiale, vous êtes déconnecté. Reconnectez-vous en utilisant une nouvelle adresse IP et un nouveau mot de passe. Les connexions de console restent actives. • Gérer l'appareil localement ? : saisissez non pour utiliser le centre de gestion. Si vous saisissez oui, vous utilisez le gestionnaire d'appareils. • Configurer le mode de pare-feu ? : nous vous recommandons de définir le mode de pare-feu lors de la configuration initiale. La modification du mode de pare-feu après la configuration initiale efface la configuration en cours. Exemple : You must accept the EULA to continue. Press <ENTER> to display the EULA: End User License Agreement [...] Please enter 'YES' or press <ENTER> to AGREE to the EULA: System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: ******** Confirm new password: ******** You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1 Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Manage the device locally? (yes/no) [yes]: no Configure firewall mode? (routed/transparent) [routed]: Configuring firewall mode ... Update policy deployment information - add device configuration - add network discovery - add system policy You can register the sensor to a Firepower Management Center and use the Firepower Management Center to manage it. Note that registering the sensor to a Firepower Management Center disables on-sensor Firepower Services management capabilities. When registering the sensor to a Firepower Management Center, a unique alphanumeric registration key is always required. In most cases, to register a sensor to a Firepower Management Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname | ip address ] [registration key ]' Guide de mise en route de l'appliance Cisco Firepower 1010 22 Déployer Threat Defense avec le Centre de gestion Finaliser la configuration initiale de Threat Defense à l'aide de l'interface de ligne de commande However, if the sensor and the Firepower Management Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]' Later, using the web interface on the Firepower Management Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Firepower Management Center. > Étape 5 Identifiez le centre de gestion qui gérera ce threat defense. configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id] • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} : spécifie le nom de domaine complet ou l'adresse IP du centre de gestion. Si le centre de gestion n'est pas directement adressable, utilisez DONTRESOLVE et spécifiez nat_id. Au moins l'un des appareils, soit le centre de gestion soit le threat defense, doit disposer d'une adresse IP accessible pour établir le canal de communication bidirectionnel chiffré SSL entre les deux appareils. Si vous spécifiez DONTRESOLVE dans cette commande, le threat defense doit disposer d'une adresse IP ou d'un nom d'hôte accessible. • reg_key : spécifie une clé d'enregistrement unique de votre choix, que vous devez également spécifier sur le centre de gestion lors de l'enregistrement du threat defense. La clé d'enregistrement ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le trait d'union (-). • nat_id : spécifie une chaîne unique de votre choix, que vous devez également spécifier sur le centre de gestion lors de l'enregistrement du threat defense lorsqu'un côté ne spécifie pas une adresse IP ou un nom d'hôte accessible. Elle est obligatoire si vous définissez le centre de gestion sur DONTRESOLVE. L'ID NAT ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le trait d'union (-). Il est impossible d'utiliser cet ID pour d'autres appareils enregistrés auprès du centre de gestion. Exemple : > configure manager add MC.example.com 123456 Manager successfully configured. Si le centre de gestion se trouve derrière un appareil NAT, saisissez un ID NAT unique avec la clé d'enregistrement et spécifiez DONTRESOLVE au lieu du nom d'hôte, par exemple : Exemple : > configure manager add DONTRESOLVE regk3y78 natid90 Manager successfully configured. Si le threat defense se trouve derrière un appareil NAT, saisissez un ID NAT unique avec l'adresse IP ou le nom d'hôte du centre de gestion, par exemple : Exemple : > configure manager add 10.70.45.5 regk3y78 natid56 Manager successfully configured. Guide de mise en route de l'appliance Cisco Firepower 1010 23 Déployer Threat Defense avec le Centre de gestion Se connecter au Centre de gestion Que faire ensuite Enregistrez votre pare-feu sur le centre de gestion. Se connecter au Centre de gestion Utilisez le centre de gestion pour configurer et surveiller le threat defense. Avant de commencer Pour en savoir plus sur les navigateurs pris en charge, reportez-vous aux notes de version de la version que vous utilisez (consultez la rubrique https://www.cisco.com/go/firepower-notes). Procédure Étape 1 À l'aide d'un navigateur pris en charge, saisissez l'URL suivante. https://fmc_ip_address Étape 2 Saisissez votre nom d'utilisateur et votre mot de passe. Étape 3 Cliquez sur Log In. Obtenir les licences du Centre de gestion Toutes les licences sont fournies au threat defense via le centre de gestion. Vous pouvez acheter les licences suivantes : • Menace : sécurité adaptative et système de prévention des intrusions de nouvelle génération • Malware : protection contre les programmes malveillants • URL : filtrage des URL • RA VPN : AnyConnect Plus, AnyConnect Apex ou AnyConnect VPN uniquement Pour une présentation complète de Cisco Licensing, rendez-vous sur cisco.com/go/licensingguide. Avant de commencer • Veillez à disposer d'un compte principal sur Smart Software Manager. Si vous n'avez pas encore de compte, cliquez sur le lien pour configurer un nouveau compte. Smart Software Manager vous permet de créer un compte principal pour votre entreprise. • Votre compte Smart Software Licensing doit bénéficier de la licence de chiffrement renforcé (3DES/AES) pour utiliser certaines fonctionnalités (activées à l'aide de l'indicateur de conformité d'exportation). Guide de mise en route de l'appliance Cisco Firepower 1010 24 Déployer Threat Defense avec le Centre de gestion Enregistrer le Threat Defense auprès du Centre de gestion Procédure Étape 1 Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le champ de recherche Rechercher des produits et des solutions de Cisco Commerce Workspace. Recherchez les PID de licence suivants : Illustration 7 : Recherche de licences Remarque Si aucun PID n'est renvoyé, vous pouvez l'ajouter manuellement à votre commande. • Combinaison des licences Threat, Malware et URL : • L-FPR1010T-TMC= Lorsque vous ajoutez l'un des PID ci-dessus à votre commande, vous pouvez choisir un abonnement à durée limitée correspondant à l'un des PID suivants : • L-FPR1010T-TMC-1Y • L-FPR1010T-TMC-3Y • L-FPR1010T-TMC-5Y • VPN RA : consultez le Guide d'aide à la commande Cisco AnyConnect. Étape 2 Si ce n'est pas déjà fait, enregistrez le centre de gestion auprès du serveur de licences Smart. Pour cela, vous devez générer un jeton d'enregistrement dans Smart Software Manager. Reportez-vous à au Guide d'administration de Cisco Secure Firewall Management Center pour obtenir des instructions détaillées. Enregistrer le Threat Defense auprès du Centre de gestion Enregistrez le threat defense auprès du centre de gestion manuellement à l'aide de l'adresse IP ou du nom d'hôte de l'appareil. Avant de commencer • Collectez les informations suivantes que vous avez définies dans la de démarrage : • Adresse IP de gestion ou nom d'hôte du threat defense, et ID NAT Guide de mise en route de l'appliance Cisco Firepower 1010 25 Déployer Threat Defense avec le Centre de gestion Enregistrer le Threat Defense auprès du Centre de gestion • Clé d'enregistrement du centre de gestion Procédure Étape 1 Étape 2 Dans centre de gestion, sélectionnez Appareils > Gestion des appareils. Dans la liste déroulante Ajouter, sélectionnez Ajouter l'appareil. Définissez les paramètres suivants : • Hôte : saisissez l'adresse IP ou le nom d'hôte du threat defense que vous souhaitez ajouter. Vous pouvez laisser ce champ vide si vous avez spécifié à la fois l'adresse IP du centre de gestion et un ID NAT dans la configuration de initiale du threat defense. Remarque Dans un environnement haute disponibilité, lorsque les deux centres de gestionse trouvent derrière un NAT, vous pouvez enregistrer le threat defense sans adresse IP ni nom d'hôte dans le centre de gestion principal. Toutefois, pour enregistrer le threat defense dans un centre de gestion secondaire, vous devez fournir l'adresse IP ou le nom d'hôte du threat defense. • Nom d'affichage : saisissez le nom du threat defense tel que vous souhaitez l'afficher dans le centre de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010 26 Déployer Threat Defense avec le Centre de gestion Enregistrer le Threat Defense auprès du Centre de gestion • Clé d'enregistrement : saisissez la clé d'enregistrement que vous avez spécifiée dans la configuration de initiale du threat defense. • Domaine : attribuez l'appareil à un domaine Leaf si vous disposez d'un environnement multidomaine. • Groupe : attribuez-le à un groupe d'appareils si vous utilisez des groupes. • Politique de contrôle d'accès : sélectionnez une politique initiale. Sauf si vous disposez déjà d'une politique personnalisée que vous devez utiliser, sélectionnez Créer une nouvelle politique et sélectionnez Bloquer tout le trafic. Vous pourrez la modifier ultérieurement pour autoriser le trafic ; reportez-vous à la rubrique Autoriser le trafic de l'interface interne vers l'interface externe, à la page 41. Illustration 8 : Nouvelle politique • Smart Licensing: attribuez les licences Smart dont vous avez besoin pour les fonctionnalités que vous souhaitez déployer : Malware (si vous souhaitez utiliser l'inspection), Threat (si vous prévoyez d'utiliser la prévention contre les intrusions) et URL (si vous avez l'intention de mettre en œuvre le filtrage d'URL basé sur les catégories). Remarque : vous pouvez appliquer une licence VPN d'accès distant Client sécurisé après avoir ajouté l'appareil, via la page Système > Licences > Licences Smart. • ID NAT unique : spécifiez l'ID NAT que vous avez spécifié dans la configuration initiale du threat defense. • Transférer des paquets : permet à l'appareil de transférer des paquets vers le centre de gestion. Lorsque des événements comme IPS ou Snort sont déclenchés alors que cette option est activée, l'appareil envoie des informations de métadonnées d'événement et des données de paquet au centre de gestion à des fins d'inspection. Si vous désactivez cette option, seules les informations d'événement sont envoyées au centre de gestion ; les données de paquet ne sont pas envoyées. Étape 3 Cliquez sur S'enregistrer ou, si vous souhaitez ajouter un autre appareil, cliquez sur Enregistrer et ajouter un autre appareil et confirmez l'enregistrement. Si l'enregistrement réussit, l'appareil est ajouté à la liste. En cas d'échec, un message d'erreur s'affiche. Si l'enregistrement du threat defense échoue, vérifiez les points suivants : Guide de mise en route de l'appliance Cisco Firepower 1010 27 Déployer Threat Defense avec le Centre de gestion Configurer une politique de sécurité de base • Ping : accédez à la CLI du threat defense et envoyez une requête ping à l'adresse IP du centre de gestion à l'aide de la commande suivante : ping system ip_address Si la requête ping échoue, vérifiez les paramètres réseau à l'aide de la commande show network. Si vous devez modifier l'adresse IP de gestion du threat defense, utilisez la commande configure network {ipv4 | ipv6} manual. • Clé d'enregistrement, ID NAT et adresse IP du centre de gestion : assurez-vous d'utiliser la même clé d'enregistrement et, le cas échéant, l'ID NAT sur les deux appareils. Vous pouvez définir la clé d'enregistrement et l'ID NAT sur le centre de gestion à l'aide de la commande configure manager add. Pour plus d'informations sur le dépannage, consultez la page https://cisco.com/go/fmc-reg-error. Configurer une politique de sécurité de base Dans cette section, nous vous expliquons comment configurer une politique de sécurité de base avec les paramètres suivants : • Interfaces internes et externes : attribuez une adresse IP statique à l'interface interne et utilisez DHCP pour l'interface externe. • Serveur DHCP : utilisez un serveur DHCP sur l'interface interne pour les clients. • Route par défaut : ajoutez une route par défaut via l'interface externe. • NAT : utilisez l'interface PAT sur l'interface externe. • Contrôle d'accès : autorisez le trafic de l'interface interne vers l'interface externe. Pour configurer une politique de sécurité de base, procédez comme suit. Configurer les interfaces (6.5 et versions ultérieures), à la page 29 Configurer les interfaces (6.4), à la page 33. Configurer le serveur DHCP, à la page 36. Ajouter la route par défaut, à la page 37. Configuration du routage NAT, à la page 38. Autoriser le trafic de l'interface interne vers l'interface externe, à la page 41. Déployer la configuration, à la page 42. Guide de mise en route de l'appliance Cisco Firepower 1010 28 Déployer Threat Defense avec le Centre de gestion Configurer les interfaces (6.5 et versions ultérieures) Configurer les interfaces (6.5 et versions ultérieures) Ajoutez l'interface VLAN1 pour les ports de commutateur ou convertissez les ports de commutateur en interfaces de pare-feu, attribuez des interfaces aux zones de sécurité et définissez les adresses IP. En règle générale, vous devez configurer au moins deux interfaces pour qu'un système transmette un trafic significatif. Habituellement, vous disposez d'une interface externe face au routeur en amont ou à Internet, et d'une ou de plusieurs interfaces internes pour les réseaux de votre entreprise. Par défaut, Ethernet1/1 est une interface de pare-feu standard que vous pouvez utiliser à l'extérieur ; les autres interfaces sont des ports de commutateur sur le VLAN 1. Après avoir ajouté l'interface VLAN1, vous pouvez la convertir en interface interne. Vous pouvez également attribuer des ports de commutateur à d'autres VLAN ou convertir des ports de commutateur en interfaces de pare-feu. Un routage de périphérie classique consiste à obtenir l'adresse de l'interface externe via DHCP auprès de votre FAI, pendant que vous définissez des adresses statiques sur les interfaces internes. L'exemple suivant configure une interface interne en mode routé (VLAN1) avec une adresse statique et une interface externe en mode routé à l'aide de DHCP (Ethernet1/1). Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Cliquez sur Interfaces. Étape 3 (facultatif) Désactivez le mode de port de commutateur pour l'un des ports de commutateur (Ethernet 1/2 à 1/8) en cliquant sur le curseur dans la colonne SwitchPort pour le désactiver ( Étape 4 ) de l'appareil. ). Activez les ports de commutateur. a) Cliquez sur Modifier ( ) pour le port de commutateur. Guide de mise en route de l'appliance Cisco Firepower 1010 29 Déployer Threat Defense avec le Centre de gestion Configurer les interfaces (6.5 et versions ultérieures) b) Activez l'interface en cochant la case Activé. c) (facultatif) Modifiez l'ID de VLAN ; la valeur par défaut est 1. Vous devez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajoutez l'interface VLAN interne. a) Cliquez sur Ajouter des interfaces > Interface VLAN. L'onglet Général s'affiche. b) Saisissez un nom comportant maximum 48 caractères. Guide de mise en route de l'appliance Cisco Firepower 1010 30 Déployer Threat Defense avec le Centre de gestion Configurer les interfaces (6.5 et versions ultérieures) Par exemple, nommez l'interface interne. c) Cochez la case Activé. d) Laissez le champ Mode défini sur Aucun. e) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité interne existante ou ajoutez-en une nouvelle en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_interne. Chaque interface doit être affectée à une zone de sécurité et/ou à un groupe d'interfaces. Une interface peut appartenir à une seule zone de sécurité, mais peut également appartenir à plusieurs groupes d'interfaces. Vous appliquez votre politique de sécurité en fonction des zones ou des groupes. Par exemple, vous pouvez attribuer l'interface interne à la zone interne, et l'interface externe à la zone externe. Vous pouvez ensuite configurer votre politique de contrôle d'accès pour que le trafic transite de l'interface interne vers l'interface externe, mais pas de l'interface externe vers l'interface interne. La plupart des politiques ne prennent en charge que les zones de sécurité ; vous pouvez utiliser des zones ou des groupes d'interfaces dans les politiques NAT, les politiques de préfiltre et les politiques QoS. f) Définissez le champ ID de VLAN sur 1. Par défaut, tous les ports de commutateur sont définis sur l'ID de VLAN 1 ; si vous choisissez un autre ID de VLAN, vous devez également modifier chaque port de commutateur pour qu'il corresponde au nouvel ID de VLAN. Vous ne pouvez pas modifier l'ID de VLAN après avoir enregistré l'interface ; l'ID de VLAN est à la fois la balise de VLAN utilisée et l'ID d'interface de votre configuration. g) Cliquez sur l'onglet IPv4 et/ou IPv6. • IPv4 : sélectionnez Utiliser l'adresse IP statique dans la liste déroulante, et saisissez une adresse IP et un masque de sous-réseau en notation de barre oblique. Par exemple, saisissez 192.168.1.1/24. • IPv6 : cochez la case Configuration automatique pour la configuration automatique sans état. h) Cliquez sur OK. Étape 6 Cliquez sur Modifier ( ) pour l'interface Ethernet 1/1 que vous souhaitez utiliser comme interface externe. L'onglet Général s'affiche. Guide de mise en route de l'appliance Cisco Firepower 1010 31 Déployer Threat Defense avec le Centre de gestion Configurer les interfaces (6.5 et versions ultérieures) Remarque Si vous avez préconfiguré cette interface pour l'accès au gestionnaire, l'interface sera déjà nommée, activée et adressée. Vous ne devez modifier aucun de ces paramètres de base, car cela perturberait la connexion de gestion du centre de gestion. Vous pouvez cependant configurer la zone de sécurité sur cet écran pour les politiques de trafic en transit. a) Saisissez un nom comportant maximum 48 caractères. Par exemple, nommez l'interface externe. b) Cochez la case Activé. c) Laissez le champ Mode défini sur Aucun. d) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_externe. e) Cliquez sur l'onglet IPv4 et/ou IPv6. • IPv4 : sélectionnez Utiliser DHCP et configurez les paramètres facultatifs suivants : • Obtenir la route par défaut à l'aide de DHCP : permet d'obtenir la route par défaut à partir du serveur DHCP. • Métrique de routage DHCP : attribue une distance administrative à la route apprise, comprise entre 1 et 255. La distance administrative par défaut pour les routes apprises est 1. Guide de mise en route de l'appliance Cisco Firepower 1010 32 Déployer Threat Defense avec le Centre de gestion Configurer les interfaces (6.4) • IPv6 : cochez la case Configuration automatique pour la configuration automatique sans état. f) Cliquez sur OK. Étape 7 Cliquez sur Enregistrer. Configurer les interfaces (6.4) Activez les interfaces de threat defense, attribuez-les aux zones de sécurité et définissez les adresses IP. En règle générale, vous devez configurer au moins deux interfaces pour qu'un système transmette un trafic significatif. Habituellement, vous disposez d'une interface externe face au routeur en amont ou à Internet, et d'une ou de plusieurs interfaces internes pour les réseaux de votre entreprise. Certaines de ces interfaces peuvent être des « zones démilitarisées » (DMZ), dans lesquelles vous placez des ressources accessibles au public, comme votre serveur web. Un routage de périphérie classique consiste à obtenir l'adresse de l'interface externe via DHCP auprès de votre FAI, pendant que vous définissez des adresses statiques sur les interfaces internes. L'exemple suivant configure une interface interne en mode routé avec une adresse statique et une interface externe en mode routé à l'aide de DHCP. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Cliquez sur Interfaces. ) du pare-feu. Guide de mise en route de l'appliance Cisco Firepower 1010 33 Déployer Threat Defense avec le Centre de gestion Configurer les interfaces (6.4) Étape 3 Cliquez sur l'icône Modifier ( interne. ) correspondant à l'interface que vous souhaitez utiliser en tant qu'interface L'onglet Général s'affiche. a) Saisissez un nom comportant maximum 48 caractères. Par exemple, nommez l'interface interne. b) Cochez la case Activé. c) Laissez le champ Mode défini sur Aucun. d) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité interne existante ou ajoutez-en une nouvelle en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_interne. Chaque interface doit être affectée à une zone de sécurité et/ou à un groupe d'interfaces. Une interface peut appartenir à une seule zone de sécurité, mais peut également appartenir à plusieurs groupes d'interfaces. Vous appliquez votre politique de sécurité en fonction des zones ou des groupes. Par exemple, vous pouvez attribuer l'interface interne à la zone interne, et l'interface externe à la zone externe. Vous pouvez ensuite configurer votre politique de contrôle d'accès pour que le trafic transite de l'interface interne vers l'interface externe, mais pas de l'interface externe vers l'interface interne. La plupart des politiques ne prennent en charge que les zones de sécurité ; vous pouvez utiliser des zones ou des groupes d'interfaces dans les politiques NAT, les politiques de préfiltre et les politiques QoS. e) Cliquez sur l'onglet IPv4 et/ou IPv6. • IPv4 : sélectionnez Utiliser l'adresse IP statique dans la liste déroulante, et saisissez une adresse IP et un masque de sous-réseau en notation de barre oblique. Par exemple, saisissez 192.168.1.1/24. Guide de mise en route de l'appliance Cisco Firepower 1010 34 Déployer Threat Defense avec le Centre de gestion Configurer les interfaces (6.4) • IPv6 : cochez la case Configuration automatique pour la configuration automatique sans état. f) Cliquez sur OK. Étape 4 Cliquez sur l'icône Modifier ( ) correspondant à l'interface que vous souhaitez utiliser en externe. L'onglet Général s'affiche. Remarque Si vous avez préconfiguré cette interface pour l'accès au gestionnaire, l'interface sera déjà nommée, activée et adressée. Vous ne devez modifier aucun de ces paramètres de base, car cela perturberait la connexion de gestion du centre de gestion. Vous pouvez cependant configurer la zone de sécurité sur cet écran pour les politiques de trafic en transit. a) Saisissez un nom comportant maximum 48 caractères. Par exemple, nommez l'interface externe. b) Cochez la case Activé. c) Laissez le champ Mode défini sur Aucun. d) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_externe. Guide de mise en route de l'appliance Cisco Firepower 1010 35 Déployer Threat Defense avec le Centre de gestion Configurer le serveur DHCP e) Cliquez sur l'onglet IPv4 et/ou IPv6. • IPv4 : sélectionnez Utiliser DHCP et configurez les paramètres facultatifs suivants : • Obtenir la route par défaut à l'aide de DHCP : permet d'obtenir la route par défaut à partir du serveur DHCP. • Métrique de routage DHCP : attribue une distance administrative à la route apprise, comprise entre 1 et 255. La distance administrative par défaut pour les routes apprises est 1. • IPv6 : cochez la case Configuration automatique pour la configuration automatique sans état. f) Cliquez sur OK. Étape 5 Cliquez sur Enregistrer. Configurer le serveur DHCP Activez le serveur DHCP si vous souhaitez que les clients utilisent DHCP pour obtenir des adresses IP à partir du threat defense. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Sélectionnez DHCP > Serveur DHCP. Étape 3 Sur la page Serveur, cliquez sur Ajouter et configurez les options suivantes : • Interface : sélectionnez l'interface dans la liste déroulante. Guide de mise en route de l'appliance Cisco Firepower 1010 36 ) de l'appareil. Déployer Threat Defense avec le Centre de gestion Ajouter la route par défaut • Pool d'adresses : définissez la plage d'adresses IP (de la plus faible à la plus élevée) utilisée par le serveur DHCP. La plage d'adresses IP doit se trouver sur le même sous-réseau que l'interface sélectionnée et ne peut pas inclure l'adresse IP de l'interface proprement dite. • Activer le serveur DHCP : activez le serveur DHCP sur l'interface sélectionnée. Étape 4 Cliquez sur OK. Étape 5 Cliquez sur Enregistrer. Ajouter la route par défaut La route par défaut pointe normalement vers le routeur en amont accessible depuis l'interface externe. Si vous utilisez DHCP pour l'interface externe, votre appareil a peut-être déjà reçu une route par défaut. Si vous devez ajouter manuellement la route, procédez comme suit. Si vous avez reçu une route par défaut du serveur DHCP, elle s'affiche dans le tableau Routes IPv4 ou Routes IPv6 sur la page Appareils > Gestion des appareils > Routage > Route statique. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Sélectionnez Routage > Route statique, cliquez sur Ajouter une route, puis définissez les paramètres suivants : ) de l'appareil. • Type : cliquez sur la case d'option IPv4 ou IPv6 en fonction du type de route statique que vous ajoutez. Guide de mise en route de l'appliance Cisco Firepower 1010 37 Déployer Threat Defense avec le Centre de gestion Configuration du routage NAT • Interface : sélectionnez l'interface de sortie ; il s'agit généralement de l'interface externe. • Réseau disponible : sélectionnez any-ipv4 pour une route par défaut IPv4 ou any-ipv6 pour une route par défaut IPv6, puis cliquez sur Ajouter pour le déplacer vers la liste Réseau sélectionné. • Passerelle ou Passerelle IPv6 : saisissez ou choisissez le routeur de passerelle correspondant au tronçon suivant pour cette route. Vous pouvez fournir une adresse IP ou un objet Réseaux/Hôtes. • Métrique : saisissez le nombre de tronçons sur le réseau de destination. La plage valide est comprise entre 1 et 255 ; la valeur par défaut est 1. Étape 3 Cliquez sur OK. La route est ajoutée à la table des routes statiques. Étape 4 Cliquez sur Enregistrer. Configuration du routage NAT Une règle NAT classique convertit les adresses internes en ports sur l'adresse IP de l'interface externe. Ce type de règle NAT est appelé interface PAT (Port Address Translation). Procédure Étape 1 Sélectionnez Appareils > NAT, puis cliquez sur Nouvelle politique > NAT de protection contre les menaces. Étape 2 Donnez un nom à la politique, sélectionnez le ou les appareils que vous souhaitez utiliser, puis cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010 38 Déployer Threat Defense avec le Centre de gestion Configuration du routage NAT La politique est ajoutée au centre de gestion. Vous devez quand même ajouter des règles à la politique. Étape 3 Cliquez sur Ajouter une règle. La boîte de dialogue Ajouter une règle NAT apparaît. Étape 4 Configurez les options de règle de base : • Règle NAT : sélectionnez Règle NAT automatique. • Type : choisissez Dynamique. Étape 5 Sur la page Objets d'interface, ajoutez la zone externe de la section Objets d'interface disponibles à la section Objets d'interface de destination. Guide de mise en route de l'appliance Cisco Firepower 1010 39 Déployer Threat Defense avec le Centre de gestion Configuration du routage NAT Étape 6 Sur la page Traduction, configurez les options suivantes : • Source d'origine : cliquez sur Ajouter ( (0.0.0.0/0). ) pour ajouter un objet réseau pour tout le trafic IPv4 Remarque Vous ne pouvez pas utiliser l'objet any-ipv4 défini par le système, car les règles NAT automatiques ajoutent la fonction NAT à la définition d'objet et vous ne pouvez pas modifier les objets définis par le système. Guide de mise en route de l'appliance Cisco Firepower 1010 40 Déployer Threat Defense avec le Centre de gestion Autoriser le trafic de l'interface interne vers l'interface externe • Source traduite : sélectionnez Adresse IP de l'interface de destination. Étape 7 Cliquez sur Enregistrer pour ajouter la règle. La règle est enregistrée dans la table Règles. Étape 8 Cliquez sur Enregistrer sur la page NAT pour enregistrer vos modifications. Autoriser le trafic de l'interface interne vers l'interface externe Si vous avez créé une politique de contrôle d'accès de base Bloquer tout le trafic lorsque vous avez enregistré le threat defense, vous devez ajouter des règles à la politique pour autoriser le trafic via l'appareil. La procédure suivante ajoute une règle pour autoriser le trafic de la zone interne vers la zone externe. Si vous disposez d'autres zones, veillez à ajouter des règles autorisant le trafic vers les réseaux appropriés. Procédure Étape 1 Sélectionnez Politique > Politique d'accès > Politique d'accès, puis cliquez sur Modifier ( politique de contrôle d'accès attribuée à threat defense. Étape 2 Cliquez sur Ajouter une règle, puis définissez les paramètres suivants : ) pour la • Nom : donnez un nom à cette règle, par exemple interne_vers_externe. • Zones source : sélectionnez la zone interne dans Zones disponibles, puis cliquez sur Ajouter à la source. Guide de mise en route de l'appliance Cisco Firepower 1010 41 Déployer Threat Defense avec le Centre de gestion Déployer la configuration • Zones de destination : sélectionnez la zone externe dans Zones disponibles, puis cliquez sur Ajouter à la destination. Laissez les autres paramètres tels quels. Étape 3 Cliquez sur Ajouter. La règle est ajoutée au tableau Règles. Étape 4 Cliquez sur Enregistrer. Déployer la configuration Déployez les modifications de configuration sur le threat defense ; aucune modification n'est active sur l'appareil tant que vous ne l'avez pas déployée. Procédure Étape 1 Cliquez sur Déployer en haut à droite. Illustration 9 : Déployer Étape 2 Cliquez sur Tout déployer pour déployer sur tous les périphériques ou cliquez sur Déploiement avancé pour déployer sur les périphériques sélectionnés. Guide de mise en route de l'appliance Cisco Firepower 1010 42 Déployer Threat Defense avec le Centre de gestion Déployer la configuration Illustration 10 : Tout déployer Illustration 11 : Déploiement avancé Étape 3 Assurez-vous que le déploiement aboutit. Cliquez sur l'icône en regard du bouton Déployer dans la barre de menus pour afficher l'état des déploiements. Illustration 12 : État du déploiement Guide de mise en route de l'appliance Cisco Firepower 1010 43 Déployer Threat Defense avec le Centre de gestion Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS Utilisez l'interface de ligne de commande (CLI) pour configurer le système et résoudre les problèmes de base du système. Vous ne pouvez pas configurer les politiques via une session CLI. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console. Vous pouvez également accéder à la CLI FXOS à des fins de dépannage. Remarque Vous pouvez également vous connecter à l'interface de gestion de l'appareil threat defense. Contrairement à une session de console, la session SSH utilise par défaut l'interface de ligne de commande du threat defense, à partir de laquelle vous pouvez vous connecter à la CLI FXOS à l'aide de la commande connect fxos. Vous pourrez ensuite vous connecter à l'adresse sur une interface de données si vous ouvrez l'interface pour les connexions SSH. L'accès SSH aux interfaces de données est désactivé par défaut. Cette procédure décrit l'accès au port de console, qui est défini par défaut sur la CLI FXOS. Procédure Étape 1 Pour vous connecter à l'interface de ligne de commande, connectez votre ordinateur de gestion au port de console. L'appareil Firepower 1000 est livré avec un câble série USB A vers B. Veillez à installer les pilotes série USB nécessaires à votre système d'exploitation (consultez le guide matériel de l'appareil Firepower 1010). Le port de console est défini par défaut sur la CLI FXOS. Utilisez les paramètres série suivants : • 9 600 bauds • 8 bits de données • Aucune parité • 1 bit d'arrêt Vous vous connectez à la CLI FXOS. Connectez-vous à l'interface de ligne de commande à l'aide du nom d'utilisateur admin et du mot de passe que vous avez défini lors de la configuration initiale (la valeur par défaut est Admin123). Exemple : firepower login: admin Password: Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 1 firepower# Étape 2 Accédez à l'interface de ligne de commande du threat defense. connect ftd Exemple : Guide de mise en route de l'appliance Cisco Firepower 1010 44 Déployer Threat Defense avec le Centre de gestion Mettre le pare-feu hors tension firepower# connect ftd > Après vous être connecté, pour obtenir des informations sur les commandes disponibles dans l'interface de ligne de commande, saisissez help ou ?. Pour plus d'informations sur l'utilisation, reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Étape 3 Pour quitter l'interface de ligne de commande threat defense, saisissez la commande du exit ou logout. Cette commande vous renvoie à l'invite de la CLI FXOS. Pour plus d'informations sur les commandes disponibles dans la CLI FXOS, saisissez ?. Exemple : > exit firepower# Mettre le pare-feu hors tension Il est important que vous arrêtiez correctement votre système. Il ne suffit pas de débrancher le câble d'alimentation, car vous risquez d'endommager gravement le système de fichiers. N'oubliez pas que de nombreux processus s'exécutent en arrière-plan en permanence, et que débrancher ou couper l'alimentation ne permet pas un arrêt normal de votre système de pare-feu. Le châssis initial de l'appareil Firepower 1010 ne possède pas d'interrupteur d'alimentation.Vous pouvez mettre l'appareil hors tension à l'aide de la page de gestion des appareils du centre de gestion ou de l'interface de ligne de commande FXOS. Mettre le pare-feu hors tension à l'aide du Centre de gestion Il est important que vous arrêtiez correctement votre système. Il ne suffit pas de débrancher le câble d'alimentation ou d'appuyer sur l'interrupteur d'alimentation, car vous risquez d'endommager gravement le système de fichiers. N'oubliez pas que de nombreux processus s'exécutent en arrière-plan en permanence, et que débrancher ou couper l'alimentation ne permet pas un arrêt normal de votre pare-feu. Vous pouvez arrêter votre système correctement à l'aide du centre de gestion. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils. Étape 2 Cliquez sur l'icône Modifier ( Étape 3 Cliquez sur l'onglet Appareils. Étape 4 Cliquez sur l'icône d'arrêt de l'appareil ( Étape 5 Lorsque vous y êtes invité, confirmez que vous souhaitez arrêter l'appareil. ) en regard de l'appareil que vous souhaitez redémarrer. ) dans la section Système. Guide de mise en route de l'appliance Cisco Firepower 1010 45 Déployer Threat Defense avec le Centre de gestion Mettre l'appareil hors tension à l'aide de l'interface de ligne de commande Étape 6 Si vous disposez d'une connexion de console au pare-feu, observez les invites système lorsque le pare-feu s'arrête. L'invite suivante s'affiche : System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Si vous ne disposez pas d'une connexion de console, attendez environ 3 minutes pour vous assurer que le système s'est éteint. Étape 7 Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Mettre l'appareil hors tension à l'aide de l'interface de ligne de commande Vous pouvez utiliser l'interface de ligne de commande FXOS pour arrêter le système en toute sécurité et mettre l'appareil hors tension. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console ; reportez-vous à la rubrique Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 44. Procédure Étape 1 Dans la CLI FXOS, connectez-vous à l'interface de gestion locale : firepower # connect local-mgmt Étape 2 Exécutez la commande shutdown : firepower(local-mgmt) # shutdown Exemple : firepower(local-mgmt)# shutdown This command will shutdown the system. Continue? Please enter 'YES' or 'NO': yes INIT: Stopping Cisco Threat Defense......ok Étape 3 Observez les invites du système lorsque le pare-feu s'arrête. L'invite suivante s'affiche : System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Étape 4 Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Et après ? Pour poursuivre la configuration de votre threat defense, consultez les documents disponibles pour votre version logicielle dans Parcourir la documentation de Cisco Firepower. Guide de mise en route de l'appliance Cisco Firepower 1010 46 Déployer Threat Defense avec le Centre de gestion Et après ? Pour plus d'informations sur l'utilisation du centre de gestion, reportez-vous à la rubrique Guide de configuration de Firepower Management Center. Guide de mise en route de l'appliance Cisco Firepower 1010 47 Déployer Threat Defense avec le Centre de gestion Et après ? Guide de mise en route de l'appliance Cisco Firepower 1010 48 CHAPITRE 3 Déployer Threat Defense avec un Centre de gestion distant Ce chapitre vous concerne-t-il ? Pour connaître tous les systèmes d'exploitation et gestionnaires disponibles, reportez-vous à la rubrique Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ?, à la page 1. Ce chapitre s'applique au threat defense situé dans une succursale distante qui utilise un centre de gestion installé au siège central. Chaque threat defense contrôle, inspecte, surveille et analyse le trafic, puis envoie les informations recueillies à un centre de gestion central. Le gestionnaire centre de gestion possède une console de gestion centralisée avec une interface web que vous pouvez utiliser pour effectuer des tâches d'administration, de gestion, d'analyse et de création de rapports afin de sécuriser votre réseau local. • Un administrateur du siège central préconfigure le threat defense via l'interface de ligne de commande ou à l'aide du gestionnaire d'appareils, puis envoie le threat defense à la succursale distante. • L'administrateur de la succursale raccorde les câbles du threat defense et le met sous tension. • L'administrateur central termine la configuration du threat defense à l'aide du centre de gestion. Remarque Le déploiement d'une succursale à distance nécessite la version 6.7 ou une version ultérieure. À propos du pare-feu L'appareil peut exécuter un logiciel threat defense ou un logiciel ASA. Pour basculer entre threat defense et ASA, vous devez reconfigurer l'appareil. Vous devez également recommencer l'installation si vous avez besoin d'une version logicielle différente de celle actuellement installée. Consultez la rubrique Réinstaller Cisco ASA ou Firepower Threat Defense. Le pare-feu exécute un système d'exploitation sous-jacent appelé Système d'exploitation Secure Firewall eXtensible (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense. Déclaration de confidentialité—Le pare-feu ne requiert ni ne collecte activement aucune information permettant de vous identifier. Vous pouvez néanmoins utiliser des informations d'identification personnelle Guide de mise en route de l'appliance Cisco Firepower 1010 49 Déployer Threat Defense avec un Centre de gestion distant Mode de fonctionnement de la gestion à distance au cours de la configuration, notamment des noms d'utilisateur. Dans ce cas, un administrateur peut accéder à ces informations lors de l'utilisation de la configuration ou de l'utilisation du protocole SNMP. • Mode de fonctionnement de la gestion à distance, à la page 50 • Avant de commencer, à la page 51 • Procédure de bout en bout, à la page 51 • Configuration préalable de l'administrateur central, à la page 53 • Installation dans une succursale, à la page 66 • Configuration postérieure de l'administrateur central, à la page 68 Mode de fonctionnement de la gestion à distance Pour permettre au centre de gestion de gérer le threat defense sur Internet, utilisez l'interface externe pour la gestion du centre de gestion plutôt que l'interface de gestion. Dans la mesure où la plupart des succursales distantes ne disposent que d'une seule connexion Internet, l'accès au centre de gestion externe permet une gestion centralisée. Remarque Vous pouvez utiliser n'importe quelle interface de données pour l'accès FMC, par exemple l'interface interne si vous disposez d'un centre de gestion interne. Notez toutefois que ce guide couvre principalement l'accès aux interfaces externes, scénario le plus probable pour les succursales distantes. L'interface de gestion est une interface spéciale configurée séparément des interfaces de données du threat defense, et possède ses propres paramètres réseau. Les paramètres réseau de l'interface de gestion sont utilisés même si vous activez l'accès au gestionnaire sur une interface de données. L'ensemble du trafic de gestion provient toujours de l'interface de gestion ou est toujours acheminé vers cette interface. Lorsque vous activez l'accès au gestionnaire sur une interface de données, le threat defense transfère le trafic de gestion entrant via le fond de panier à l'interface de gestion. Pour le trafic de gestion sortant, l'interface de gestion transfère le trafic via le fond de panier vers l'interface de données. L'accès au gestionnaire à partir d'une interface de données présente les limitations suivantes : • Vous ne pouvez activer l'accès au gestionnaire que sur une seule interface de données physique. Vous ne pouvez pas utiliser de sous-interface ou EtherChannel. • Cette interface ne peut pas être une interface de gestion uniquement. • Mode de pare-feu routé uniquement, à l'aide d'une interface routée. • PPPoE n'est pas pris en charge. Si votre FAI nécessite un protocole PPPoE, vous devrez placer un routeur prenant en charge le protocole PPPoE entre le threat defense et le modem WAN. • L'interface doit se trouver dans le VRF global uniquement. • SSH n'est pas activé par défaut pour les interfaces de données. Vous devrez donc activer SSH ultérieurement avec le centre de gestion. Étant donné que la passerelle de l'interface de gestion sera remplacée par les interfaces de données, vous ne pouvez pas non plus accéder à l'interface de gestion depuis un réseau distant, sauf si vous ajoutez une route statique pour l'interface de gestion à l'aide de la commande configure network static-routes. Guide de mise en route de l'appliance Cisco Firepower 1010 50 Déployer Threat Defense avec un Centre de gestion distant Avant de commencer • La haute disponibilité n'est pas prise en charge. Dans ce cas, vous devez utiliser l'interface de gestion. La figure suivante illustre le centre de gestion au siège central et le threat defense avec accès au gestionnaire sur l'interface externe. Le threat defense ou le centre de gestion a besoin d'une adresse IP publique ou d'un nom d'hôte pour autoriser la connexion de gestion entrante ; il est nécessaire que vous connaissiez cette adresse IP pour la configuration initiale. Vous pouvez également configurer le DNS dynamique (DDNS) pour l'interface externe afin de pouvoir modifier les affectations d'adresses IP DHCP. Illustration 13 : Avant de commencer Déployez et effectuez la configuration initiale du centre de gestion. Reportez-vous à la rubrique Guide d'installation matérielle pour Cisco Firepower Management Center 1600, 2600 et 4600 ou Guide de mise en route de Cisco Secure Firewall Management Center Virtual. Procédure de bout en bout Reportez-vous aux tâches suivantes pour déployer le threat defense avec le centre de gestion sur votre châssis. Guide de mise en route de l'appliance Cisco Firepower 1010 51 Déployer Threat Defense avec un Centre de gestion distant Procédure de bout en bout Illustration 14 : Procédure de bout en bout Illustration 15 : Procédure de bout en bout Interface de ligne de commande ou Gestionnaire d'appareils (Administrateur central) • (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 54 • Effectuer la configuration préalable à l'aide de l'interface de ligne de commande, à la page 61 • Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils, à la page 55 Guide de mise en route de l'appliance Cisco Firepower 1010 52 Déployer Threat Defense avec un Centre de gestion distant Configuration préalable de l'administrateur central Configuration physique Installez le pare-feu. Reportez-vous au guide d'installation matérielle. (Administrateur de la succursale) Configuration physique Raccorder le pare-feu, à la page 66. (Administrateur de la succursale) Configuration physique Mettre l'appareil sous tension, à la page 67 (Administrateur de la succursale) Centre de gestion Administrateur central : Se connecter au Centre de gestion, à la page 24. (Administrateur central) Cisco Commerce Workspace Obtenir les licences pour le Centre de gestion, à la page 69 : acheter des licences de fonctionnalités. (Administrateur central) Smart Software Manager Obtenir les licences pour le Centre de gestion, à la page 69 : générer un jeton de licence pour le centre de gestion. (Administrateur central) Centre de gestion (Administrateur central) Centre de gestion Obtenir les licences pour le Centre de gestion, à la page 69 : enregistrer le centre de gestion sur Smart Licensing Server. Enregistrer le Threat Defense auprès du Centre de gestion, à la page 70. (Administrateur central) Centre de gestion Configurer une politique de sécurité de base, à la page 73. (Administrateur central) Configuration préalable de l'administrateur central Vous devez préconfigurer manuellement le threat defense avant de l'envoyer à la succursale. Guide de mise en route de l'appliance Cisco Firepower 1010 53 Déployer Threat Defense avec un Centre de gestion distant (Facultatif) Vérifier le logiciel et installer une nouvelle version (Facultatif) Vérifier le logiciel et installer une nouvelle version Pour vérifier la version du logiciel et, si nécessaire, installer une autre version, procédez comme suit. Nous vous recommandons d'installer votre version cible avant de configurer le pare-feu. Vous pouvez également effectuer une mise à niveau une fois que vous êtes opérationnel, mais la mise à niveau, qui préserve votre configuration, peut prendre plus de temps que cette procédure. Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique https://www.cisco.com/c/en/us/products/collateral/security/firewalls/ bulletin-c25-743178.html ; par exemple, ce bulletin décrit la numérotation des versions à court terme (avec les dernières fonctionnalités), la numérotation des versions à long terme (versions de maintenance et correctifs pour une période plus longue) ou la numérotation des versions à très long terme (versions de maintenance et correctifs pour la période la plus longue, pour la certification gouvernementale). Procédure Étape 1 Connectez-vous à l'interface de ligne de commande. Pour plus d'informations, reportez-vous à la rubrique Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 84. Cette procédure illustre l'utilisation du port de console, mais vous pouvez utiliser SSH si vous le souhaitez. Connectez-vous avec l'utilisateur admin et le mot de passe par défaut, Admin123. Vous vous connectez à la CLI FXOS. Lors de la première connexion, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si vous avez modifié le mot de passe, mais que vous l'avez oublié, vous devez réinitialiser l'appareil pour rétablir le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure pour rétablir les paramètres d'usine. Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Étape 2 Dans l'interface de ligne de commande de la console FXOS, affichez la version en cours d'exécution. scope ssa show app-instance Exemple : Guide de mise en route de l'appliance Cisco Firepower 1010 54 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils Firepower# scope ssa Firepower /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- ----------------------------- -----------------ftd 1 Enabled Online 7.2.0.65 7.2.0.65 Not Applicable Étape 3 Si vous souhaitez installer une nouvelle version, procédez comme suit. a) Si vous devez définir une adresse IP statique pour l'interface de gestion, reportez-vous à la rubrique Effectuer la configuration préalable à l'aide de l'interface de ligne de commande, à la page 61. Par défaut, l'interface de gestion utilise DHCP. Vous devrez télécharger la nouvelle image à partir d'un serveur accessible depuis l'interface de gestion. b) Suivez la procédure de réinstallation du guide de dépannage de la console FXOS. Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils Connectez-vous au gestionnaire d'appareils pour effectuer la configuration initiale du threat defense. Lorsque vous effectuez la configuration initiale à l'aide du gestionnaire d'appareils, toutes les configurations d'interface effectuées dans le gestionnaire d'appareils sont conservées lorsque vous passez au centre de gestion pour la gestion, en plus des paramètres d'interface de gestion et d'accès du gestionnaire. Notez que les autres paramètres de configuration par défaut, tels que la politique de contrôle d'accès ou les zones de sécurité, ne sont pas conservés. Lorsque vous utilisez l'interface de ligne de commande, seuls les paramètres de l'interface de gestion et d'accès au gestionnaire sont conservés (par exemple, la configuration par défaut de l'interface interne n'est pas conservée). Avant de commencer • Déployez et effectuez la configuration initiale du centre de gestion. Reportez-vous à la section Guide d'installation matérielle pour Cisco Firepower Management Center 1600, 2600 et 4600. Vous devez connaître l'adresse IP ou le nom d'hôte du centre de gestion avant de configurer le threat defense. • Utilisez une version actuelle de Firefox, Chrome, Safari, Edge ou Internet Explorer. Procédure Étape 1 Connectez votre ordinateur de gestion à l'interface interne (Ethernet1/2 à 1/8) interne. Étape 2 Mettez le pare-feu sous tension. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Étape 3 Connectez-vous au gestionnaire d'appareils. a) Saisissez l'URL suivante dans votre navigateur : https://192.168.95.1 Guide de mise en route de l'appliance Cisco Firepower 1010 55 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils b) Connectez-vous avec le nom d'utilisateur admin et le mot de passe par défaut Admin123. c) Vous êtes invité à lire et à accepter le contrat de licence de l'utilisateur final et à modifier le mot de passe admin. Étape 4 Utilisez l'assistant de configuration lors de votre première connexion au gestionnaire d'appareils pour terminer la configuration initiale. Vous pouvez éventuellement ignorer l'assistant de configuration en cliquant sur Ignorer la configuration de l'appareil au bas de la page. Une fois l'assistant de configuration terminé, outre la configuration par défaut de l'interface interne (Ethernet 1/2 à 1/8, qui sont des ports de commutateur sur le VLAN1), la configuration d'une interface externe (Ethernet 1/1) sera conservée lorsque vous passerez à la gestion du centre de gestion. a) Configurez les options suivantes pour les interfaces externes et de gestion, puis cliquez sur Suivant. 1. Adresse de l'interface externe : cette interface est généralement la passerelle Internet et peut être utilisée comme interface d'accès au gestionnaire. Vous ne pouvez pas sélectionner une autre interface externe lors de la configuration initiale de l'appareil. La première interface de données est l'interface externe par défaut. Si vous souhaitez utiliser une interface différente depuis l'interface externe (ou interne) pour l'accès au gestionnaire, vous devez la configurer manuellement après avoir terminé l'assistant de configuration. Configurer IPv4 : adresse IPv4 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un masque de sous-réseau et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv4. Vous ne pouvez pas configurer PPPoE à l'aide de l'assistant de configuration. Le protocole PPPoE peut être nécessaire si l'interface est connectée à un modem ADSL, un modem câble ou une autre connexion à votre FAI et que votre FAI utilise PPPoE pour fournir votre adresse IP. Vous pouvez configurer PPPoE après avoir terminé l'assistant. Configurer IPv6 : adresse IPv6 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un préfixe et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv6. 2. Interface de gestion Les paramètres de l'interface de gestion ne sont pas visibles si vous avez effectué la configuration initiale dans l'interface de ligne de commande. Les paramètres de l'interface de gestion sont utilisés même si vous activez l'accès au gestionnaire sur une interface de données. Par exemple, le trafic de gestion acheminé vers le fond de panier via l'interface de données résout les noms de domaine complets à l'aide des serveurs DNS de l'interface de gestion, et non des serveurs DNS de l'interface de données. Serveurs DNS : serveur DNS pour l'adresse de gestion du système. Saisissez une ou plusieurs adresses de serveurs DNS pour la résolution de noms. La valeur par défaut est Serveurs DNS publics OpenDNS. Si vous modifiez les champs et souhaitez rétablir les paramètres par défaut, cliquez sur Utiliser OpenDNS pour recharger les adresses IP appropriées dans les champs. Nom d'hôte du pare-feu : nom d'hôte de l'adresse de gestion du système. b) Configurez les Paramètres relatifs au temps (NTP) et cliquez sur Suivant. 1. Fuseau horaire : sélectionnez le fuseau horaire du système. 2. Serveur de temps NTP : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes. Guide de mise en route de l'appliance Cisco Firepower 1010 56 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils c) Sélectionnez Démarrer la période d'évaluation de 90 jours sans enregistrement. N'enregistrez pas le threat defense auprès de Smart Software Manager ; toutes les licences sont octroyées sur le centre de gestion. d) Cliquez sur Terminer. e) Vous êtes invité à sélectionner Gestion du cloud ou Autonome. Pour la gestion du centre de gestion, sélectionnez Autonome, puis J'ai compris. Étape 5 (Peut être obligatoire) Configurez l'interface de gestion. Reportez-vous à l'interface de gestion sur Appareil > Interfaces. La passerelle doit être définie sur les interfaces de données de l'interface de gestion. Par défaut, l'interface de gestion reçoit une adresse IP et une passerelle de DHCP. Si vous ne recevez pas de passerelle de DHCP (par exemple, vous n'avez pas connecté cette interface à un réseau), la passerelle utilise par défaut les interfaces de données et vous n'avez rien à configurer. Si vous avez reçu une passerelle de DHCP, vous devez configurer cette interface avec une adresse IP statique et définir la passerelle sur les interfaces de données. Étape 6 Si vous souhaitez configurer des interfaces supplémentaires, notamment une interface autre que l'interface externe ou interne que vous souhaitez utiliser pour l'accès au gestionnaire sélectionnez Appareil, puis cliquez sur le lien dans le récapitulatif Interfaces. Reportez-vous à la rubrique Configurer le pare-feu dans le Gestionnaire d'appareils, à la page 113 pour plus d'informations sur la configuration des interfaces dans le gestionnaire d'appareils. Les autres configurations du gestionnaire d'appareils ne sont pas conservées lorsque vous enregistrez l'appareil auprès du centre de gestion. Étape 7 Sélectionnez Appareil > Paramètres système > Centre de gestion, et cliquez sur Continuer pour configurer la gestion du centre de gestion. Étape 8 Configurer le Centre de gestion/Détails du CDO. Guide de mise en route de l'appliance Cisco Firepower 1010 57 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils Illustration 16 : Détails du centre de gestion/CDO a) Pour le champ Connaissez-vous le nom d'hôte ou l'adresse IP du Centre de gestion/CDO, cliquez sur Oui si vous pouvez accéder au centre de gestion à l'aide d'une adresse IP ou d'un nom d'hôte, ou sur Non si le centre de gestion est derrière la NAT ou n'a pas d'adresse IP ou de nom d'hôte public. Guide de mise en route de l'appliance Cisco Firepower 1010 58 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils Au moins l'un des appareils, soit le centre de gestion soit le threat defense, doit disposer d'une adresse IP accessible pour établir le canal de communication bidirectionnel chiffré SSL entre les deux appareils. b) Si vous avez choisi Oui, saisissez le Nom d'hôte/adresse IP du Centre de gestion/CDO. c) Spécifiez la Clé d'enregistrement du Centre de gestion/CDO. Cette clé est une clé d'enregistrement unique de votre choix, que vous devez également spécifier sur le centre de gestion lorsque vous enregistrez l'appareil threat defense. La clé d'enregistrement ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le trait d'union (-). Il est possible d'utiliser cet ID pour plusieurs appareils qui s'enregistrent auprès du centre de gestion. d) Spécifiez un ID NAT. Cet ID est une chaîne unique de votre choix, que vous spécifiez également sur le centre de gestion. Ce champ est obligatoire si vous spécifiez uniquement l'adresse IP sur l'un des appareils ; nous vous recommandons cependant de spécifier l'ID NAT même si vous connaissez les adresses IP des deux appareils. L'ID NAT ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le trait d'union (-). Il est impossible d'utiliser cet ID pour d'autres appareils enregistrés auprès du centre de gestion. L'ID NAT est utilisé en combinaison avec l'adresse IP pour vérifier que la connexion provient de l'appareil correct ; ce n'est qu'après l'authentification de l'adresse IP/ID NAT que la clé d'enregistrement est vérifiée. Étape 9 Configurez la configuration de connectivité. a) Spécifiez le nom d'hôte du FTD. Ce nom de domaine complet sera utilisé pour l'interface externe ou l'interface choisie pour l'interface d'accès au centre de gestion/CDO. b) Spécifiez le groupe de serveurs DNS. Sélectionnez un groupe existant ou créez-en un nouveau. Le groupe DNS par défaut est appelé CiscoUmbrellaDNSServerGroup et inclut les serveurs OpenDNS. Ce paramètre définit le serveur DNS de l'interface de données. Le serveur DNS de gestion que vous avez défini avec l'assistant de configuration est utilisé pour le trafic de gestion. Le serveur DNS de données est utilisé pour le DDNS (s'il est configuré) ou pour les politiques de sécurité appliquées à cette interface. Vous devrez probablement choisir le même groupe de serveurs DNS que celui que vous avez utilisé pour la gestion, car le trafic de gestion et de données atteint le serveur DNS via l'interface externe. Sur le centre de gestion, les serveurs DNS de l'interface de données sont configurés dans la politique Paramètres de la plateforme que vous attribuez à ce threat defense. Lorsque vous ajoutez le threat defense au centre de gestion, le paramètre local est conservé et les serveurs DNS ne sont pas ajoutés à une politique Paramètres de la plateforme. Toutefois, si vous attribuez ultérieurement une politique Paramètres de la plateforme au threat defense qui inclut une configuration DNS, cette configuration remplace le paramètre local. Nous vous suggérons de configurer activement les paramètres de la plateforme DNS pour qu'ils correspondent à ce paramètre afin de synchroniser le centre de gestion et le threat defense. En outre, les serveurs DNS locaux ne sont conservés par le centre de gestion que si les serveurs DNS ont été détectés lors de l'enregistrement initial. c) Pour l'interface d'accès au centre de gestion/CDO, choisissez externe. Bien que vous puissiez choisir n'importe quelle interface configurée, dans ce guide nous supposons que vous utilisez une interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010 59 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils Étape 10 Si vous avez choisi une interface de données externe différente, ajoutez une route par défaut. Un message s'affiche vous demandant de vérifier que vous disposez d'une route par défaut via l'interface. Si vous avez choisi une interface extérieure, vous avez déjà configuré cette route dans le cadre de l'assistant de configuration. Si vous avez choisi une autre interface, vous devez configurer manuellement une route par défaut avant de vous connecter au centre de gestion. Reportez-vous à la rubrique Configurer le pare-feu dans le Gestionnaire d'appareils, à la page 113 pour plus d'informations sur la configuration des routes statiques dans le gestionnaire d'appareils. Étape 11 Cliquez sur Ajouter une méthode DNS dynamique (DDNS). DDNS garantit que le centre de gestion peut atteindre le threat defense à son nom de domaine complet (FQDN) si l'adresse IP du threat defense change. Accédez à Appareil > Paramètres système > Service DDNS pour configurer DDNS. Si vous configurez DDNS avant d'ajouter le threat defense au centre de gestion, le threat defense ajoute automatiquement des certificats pour toutes les autorités de certification principales du bundle Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/). Étape 12 Cliquez sur Connecter. La boîte de dialogue État d'enregistrement affiche l'état actuel du commutateur sur le centre de gestion. Après l'étape Sauvegarde des paramètres d'enregistrement du centre de gestion/CDO, accédez au centre de gestion, et ajoutez le pare-feu. Si vous souhaitez annuler le basculement sur centre de gestion, cliquez sur Annuler l'enregistrement. Sinon, ne fermez pas la fenêtre du navigateur gestionnaire d'appareils avant d'avoir terminé l'étape Sauvegarde des paramètres d'enregistrement du centre de gestion/CDO. Dans le cas contraire, le processus sera interrompu et ne reprendra que lorsque vous vous reconnecterez au gestionnaire d'appareils. Si vous restez connecté au gestionnaire d'appareils après l'étape Sauvegarde de l'enregistrement des paramètres du centre de gestion/CDO, la boîte de dialogue Connexion réussie avec le centre de gestion ou le CDO finit par d'afficher, puis vous êtes déconnecté du gestionnaire d'appareils. Illustration 17 : Connexion réussie Guide de mise en route de l'appliance Cisco Firepower 1010 60 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide de l'interface de ligne de commande Effectuer la configuration préalable à l'aide de l'interface de ligne de commande Connectez-vous à l'interface de ligne de commande du threat defense pour effectuer la configuration initiale. Lorsque vous utilisez l'interface de ligne de commande pour la configuration initiale, seuls les paramètres de l'interface de gestion et de l'interface d'accès du gestionnaire sont conservés. Lorsque vous effectuez la configuration initiale à l'aide de gestionnaire d'appareils (7.1 et versions ultérieures), toutes les configurations d'interface effectuées dans le gestionnaire d'appareils sont conservées lorsque vous passez au centre de gestion pour la gestion, en plus des paramètres d'interface de gestion et d'accès du gestionnaire. Notez que les autres paramètres de configuration par défaut, tels que la politique de contrôle d'accès, ne sont pas conservés. Avant de commencer Déployez et effectuez la configuration initiale du centre de gestion. Reportez-vous à la section Guide d'installation matérielle pour Cisco Firepower Management Center 1600, 2600 et 4600. Vous devez connaître l'adresse IP ou le nom d'hôte du centre de gestion avant de configurer le threat defense. Procédure Étape 1 Mettez le pare-feu sous tension. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Étape 2 Connectez-vous à l'interface de ligne de commande du threat defense sur le port de console. Le port de console se connecte à l'interface de ligne de commande de FXOS. Étape 3 Connectez-vous avec le nom d'utilisateur admin et le mot de passe Admin123. Lors de la première connexion au FXOS, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si le mot de passe a déjà été modifié et que vous ne le connaissez pas, vous devez reconfigurer l'appareil pour réinitialiser le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure de réinstallation. Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Guide de mise en route de l'appliance Cisco Firepower 1010 61 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide de l'interface de ligne de commande Étape 4 Connectez-vous à l'interface de ligne de commande du threat defense. connect ftd Exemple : firepower# connect ftd > Étape 5 La première fois que vous vous connectez à threat defense, vous êtes invité à accepter le contrat de licence de l'utilisateur final (CLUF) et, si vous utilisez une connexion SSH, à modifier le mot de passe administrateur. Vous accédez ensuite au script de configuration de l'interface de ligne de commande pour les paramètres de l'interface de gestion. Les paramètres de l'interface de gestion sont utilisés même si vous activez l'accès au gestionnaire sur une interface de données. Remarque Vous ne pouvez pas répéter l'assistant de configuration de la CLI à moins d'avoir effacé la configuration, par exemple, via une réinitialisation. Vous pouvez cependant modifier tous les paramètres ultérieurement dans l'interface de ligne de commande à l'aide des commandes configure network. Reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Les valeurs par défaut ou les valeurs saisies précédemment apparaissent entre crochets. Pour accepter les valeurs saisies précédemment, appuyez sur la touche Entrée. Reportez-vous aux instructions suivantes : • Configurer IPv4 via DHCP ou manuellement ?—Sélectionnez manuel. Même si vous n'avez pas l'intention d'utiliser l'interface de gestion, vous devez définir une adresse IP, par exemple une adresse privée. Vous ne pouvez pas configurer une interface de données pour la gestion si l'interface de gestion est définie sur DHCP, car la route par défaut, qui doit être data-interfaces (reportez-vous au point suivant), peut être remplacée par une autre envoyée par le serveur DHCP. • Saisissez la passerelle IPv4 par défaut pour l'interface de gestion : définissez la passerelle sur data-interfaces. Ce paramètre transfère le trafic de gestion sur le fond de panier afin qu'il puisse être acheminé via l'interface de données d'accès au gestionnaire. • Si vos informations réseau ont changé, vous devrez vous reconnecter : si vous êtes connecté à SSH, vous serez déconnecté. Vous pouvez vous reconnecter avec la nouvelle adresse IP et le nouveau mot de passe si votre ordinateur de gestion se trouve sur le réseau de gestion. Vous ne pourrez pas vous reconnecter à partir d'un réseau distant suite à la modification de la route par défaut (via les interfaces de données). Les connexions de console restent actives. • Gérer l'appareil localement ? : saisissez non pour utiliser le centre de gestion. Si vous saisissez oui, vous utilisez le gestionnaire d'appareils. • Configurer le mode pare-feu ? : saisissez routé. L'accès au gestionnaire externe est uniquement pris en charge en mode pare-feu routé. Exemple : You must accept the EULA to continue. Press <ENTER> to display the EULA: End User License Agreement [...] Guide de mise en route de l'appliance Cisco Firepower 1010 62 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide de l'interface de ligne de commande Please enter 'YES' or press <ENTER> to AGREE to the EULA: System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: ******** Confirm new password: ******** You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Manage the device locally? (yes/no) [yes]: no Configure firewall mode? (routed/transparent) [routed]: Configuring firewall mode ... Update policy deployment information - add device configuration - add network discovery - add system policy You can register the sensor to a Firepower Management Center and use the Firepower Management Center to manage it. Note that registering the sensor to a Firepower Management Center disables on-sensor Firepower Services management capabilities. When registering the sensor to a Firepower Management Center, a unique alphanumeric registration key is always required. In most cases, to register a sensor to a Firepower Management Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname | ip address ] [registration key ]' However, if the sensor and the Firepower Management Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]' Later, using the web interface on the Firepower Management Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Firepower Management Center. > Étape 6 Configurez l'interface externe pour l'accès au gestionnaire. configure network management-data-interface Vous êtes ensuite invité à configurer les paramètres réseau de base de l'interface externe. Consultez les informations suivantes pour utiliser cette commande : • L'interface de gestion ne peut pas utiliser DHCP si vous souhaitez utiliser une interface de données pour la gestion. Si vous n'avez pas défini l'adresse IP manuellement lors de la configuration initiale, vous pouvez la définir à l'aide de la commande configure network {ipv4 | ipv6} manual. Si vous n'avez pas encore défini la passerelle d'interface de gestion sur data-interfaces, cette commande la définit maintenant. Guide de mise en route de l'appliance Cisco Firepower 1010 63 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide de l'interface de ligne de commande • Lorsque vous ajoutez le threat defense au centre de gestion, le centre de gestion détecte et conserve la configuration de l'interface, notamment les paramètres suivants : nom et adresse IP de l'interface, route statique vers la passerelle, serveurs DNS et serveur DDNS. Pour en savoir plus sur la configuration du serveur DNS, reportez-vous à la rubrique ci-dessous. Dans le centre de gestion, vous pouvez modifier ultérieurement la configuration de l'interface d'accès FMC, mais assurez-vous de ne pas apporter de modifications susceptibles d'empêcher le threat defense ou le centre de gestion de rétablir la connexion de gestion. Si la connexion de gestion est interrompue, le threat defense inclut la commande configure policy rollback permettant de restaurer le déploiement précédent. • Si vous configurez une URL de mise à jour du serveur DDNS, le threat defense ajoute automatiquement des certificats pour toutes les autorités de certification principales du bundle Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/). • Cette commande définit le serveur DNS de l'interface de données. Le serveur DNS de gestion que vous avez défini avec le script de configuration (ou à l'aide de la commande configure network dns servers) est utilisé pour le trafic de gestion. Le serveur DNS de données est utilisé pour le DDNS (s'il est configuré) ou pour les politiques de sécurité appliquées à cette interface. Sur le centre de gestion, les serveurs DNS de l'interface de données sont configurés dans la politique Paramètres de la plateforme que vous attribuez à ce threat defense. Lorsque vous ajoutez le threat defense au centre de gestion, le paramètre local est conservé et les serveurs DNS ne sont pas ajoutés à une politique Paramètres de la plateforme. Toutefois, si vous attribuez ultérieurement une politique Paramètres de la plateforme au threat defense qui inclut une configuration DNS, cette configuration remplace le paramètre local. Nous vous suggérons de configurer activement les paramètres de la plateforme DNS pour qu'ils correspondent à ce paramètre afin de synchroniser le centre de gestion et le threat defense. En outre, les serveurs DNS locaux ne sont conservés par le centre de gestion que si les serveurs DNS ont été détectés lors de l'enregistrement initial. Par exemple, si vous avez enregistré l'appareil à l'aide de l'interface de gestion, mais que vous avez ensuite configuré une interface de données à l'aide de la commande configure network management-data-interface, vous devez configurer manuellement tous ces paramètres dans le centre de gestion y compris les serveurs DNS, pour qu'ils correspondent à la configuration du threat defense. • Vous pouvez modifier l'interface de gestion après avoir enregistré le threat defense auprès du centre de gestion, soit en tant qu'interface de gestion, soit en tant qu'interface de données. • Le nom de domaine complet que vous avez défini dans l'assistant de configuration est utilisé pour cette interface. • Vous pouvez effacer la totalité de la configuration de l'appareil via cette commande ; vous pouvez utiliser cette option dans un scénario de récupération, mais nous vous déconseillons de l'utiliser pour la configuration initiale ou le fonctionnement normal. • Pour désactiver la gestion des données, saisissez la commande configure network management-data-interface disable. Exemple : > configure network management-data-interface Data interface to use for management: ethernet1/1 Specify a name for the interface [outside]: IP address (manual / dhcp) [dhcp]: DDNS server update URL [none]: https://deanwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a> Guide de mise en route de l'appliance Cisco Firepower 1010 64 Déployer Threat Defense avec un Centre de gestion distant Effectuer la configuration préalable à l'aide de l'interface de ligne de commande Do you wish to clear all the device configuration before applying ? (y/n) [n]: Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. > Exemple : > configure network management-data-interface Data interface to use for management: ethernet1/1 Specify a name for the interface [outside]: internet IP address (manual / dhcp) [dhcp]: manual IPv4/IPv6 address: 10.10.6.7 Netmask/IPv6 Prefix: 255.255.255.0 Default Gateway: 10.10.6.1 Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220 DDNS server update URL [none]: Do you wish to clear all the device configuration before applying ? (y/n) [n]: Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. > Étape 7 (facultatif) Limitez l'accès de l'interface de données au centre de gestion sur un réseau spécifique. configure network management-data-interface client ip_address netmask Par défaut, tous les réseaux sont autorisés. Étape 8 Identifiez le centre de gestion qui gérera ce threat defense. configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id] • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} : spécifie le nom de domaine complet ou l'adresse IP du centre de gestion. Si le centre de gestion n'est pas directement adressable, utilisez DONTRESOLVE. Au moins l'un des appareils, soit le centre de gestion soit le threat defense, doit disposer d'une adresse IP accessible pour établir le canal de communication bidirectionnel chiffré SSL entre les deux appareils. Si vous spécifiez DONTRESOLVE dans cette commande, le threat defense doit disposer d'une adresse IP ou d'un nom d'hôte accessible. • reg_key : spécifie une clé d'enregistrement unique de votre choix, que vous devez également spécifier sur le centre de gestion lors de l'enregistrement du threat defense. La clé d'enregistrement ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le trait d'union (-). • nat_id : spécifie la chaîne unique de votre choix, que vous spécifiez également sur le centre de gestion. Lorsque vous utilisez une interface de données pour la gestion, vous devez spécifier l'ID NAT sur le threat defense et le centre de gestion pour l'enregistrement. L'ID NAT ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le Guide de mise en route de l'appliance Cisco Firepower 1010 65 Déployer Threat Defense avec un Centre de gestion distant Installation dans une succursale trait d'union (-). Il est impossible d'utiliser cet ID pour d'autres appareils enregistrés auprès du centre de gestion. Exemple : > configure manager add fmc-1.example.com regk3y78 natid56 Manager successfully configured. Étape 9 Arrêtez le threat defense pour pouvoir envoyer l'appareil à la succursale distante. Il est important que vous arrêtiez correctement votre système. Il ne suffit pas de débrancher le câble d'alimentation ou d'appuyer sur l'interrupteur d'alimentation, car vous risquez d'endommager gravement le système de fichiers. N'oubliez pas que de nombreux processus s'exécutent en arrière-plan en permanence, et que débrancher ou couper l'alimentation ne permet pas un arrêt normal de votre système. a) Saisissez la commande shutdown. b) Observez les voyants d'alimentation et d'état pour vérifier que le châssis est hors tension (ils doivent être éteints). c) Une fois le châssis hors tension, vous pouvez le débrancher pour couper l'alimentation si nécessaire. Installation dans une succursale Une fois que vous avez reçu le pare-feu threat defense du siège social, il vous suffit de le raccorder et de le mettre sous tension en vue de le connecter à Internet depuis l'interface externe. L'administrateur central peut alors terminer la configuration. Raccorder le pare-feu Le centre de gestion et votre ordinateur de gestion se trouvent sur un site distant et peuvent accéder au threat defense via Internet. Pour raccorder l'appareil Firepower 1010, procédez comme suit. Guide de mise en route de l'appliance Cisco Firepower 1010 66 Déployer Threat Defense avec un Centre de gestion distant Mettre l'appareil sous tension Illustration 18 : Raccorder un déploiement de gestion à distance Procédure Étape 1 Installez le châssis. Reportez-vous au guide d'installation matérielle. Étape 2 Connectez l'interface externe (Ethernet 1/1) à votre routeur externe. Étape 3 Raccordez vos terminaux internes aux ports de commutateur, Ethernet 1/2 à 1/8. Étape 4 (facultatif) Connectez l'ordinateur de gestion au port de console. Dans la succursale, la connexion à la console n'est pas nécessaire pour une utilisation quotidienne ; elle peut cependant être nécessaire à des fins de dépannage. Mettre l'appareil sous tension L'alimentation du système est contrôlée par le cordon d'alimentation. Il n'y a pas de bouton d'alimentation. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Avant de commencer Il est important que vous utilisiez une source d'alimentation fiable pour alimenter votre appareil (à l'aide d'un système d'alimentation sans coupure, par exemple). Une panne de courant sans arrêt préalable peut endommager Guide de mise en route de l'appliance Cisco Firepower 1010 67 Déployer Threat Defense avec un Centre de gestion distant Configuration postérieure de l'administrateur central gravement le système de fichiers. De nombreux processus s'exécutent en arrière-plan en permanence, et une panne de courant ne permet pas l'arrêt normal de votre système. Procédure Étape 1 Raccordez le câble d'alimentation à l'appareil et branchez-le à une prise électrique. L'appareil se met automatiquement sous tension dès que vous le branchez. Étape 2 Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Étape 3 Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. Configuration postérieure de l'administrateur central Dès que l'administrateur de la succursale distante a câblé le threat defense pour qu'il dispose d'un accès Internet depuis l'interface externe, vous pouvez enregistrer le threat defense sur le centre de gestion et terminer la configuration de l'appareil. Se connecter au Centre de gestion Utilisez le centre de gestion pour configurer et surveiller le threat defense. Avant de commencer Pour en savoir plus sur les navigateurs pris en charge, reportez-vous aux notes de version de la version que vous utilisez (consultez la rubrique https://www.cisco.com/go/firepower-notes). Procédure Étape 1 À l'aide d'un navigateur pris en charge, saisissez l'URL suivante. https://fmc_ip_address Étape 2 Saisissez votre nom d'utilisateur et votre mot de passe. Guide de mise en route de l'appliance Cisco Firepower 1010 68 Déployer Threat Defense avec un Centre de gestion distant Obtenir les licences pour le Centre de gestion Étape 3 Cliquez sur Log In. Obtenir les licences pour le Centre de gestion Toutes les licences sont fournies au threat defense via le centre de gestion. Vous pouvez éventuellement acheter les licences de fonctionnalités suivantes : • Menace : sécurité adaptative et système de prévention des intrusions de nouvelle génération • Malware : protection contre les programmes malveillants • URL : filtrage des URL • RA VPN : AnyConnect Plus, AnyConnect Apex ou AnyConnect VPN uniquement Pour une présentation complète de Cisco Licensing, rendez-vous sur cisco.com/go/licensingguide. Avant de commencer • Veillez à disposer d'un compte principal sur Smart Software Manager. Si vous n'avez pas encore de compte, cliquez sur le lien pour configurer un nouveau compte. Smart Software Manager vous permet de créer un compte principal pour votre entreprise. • Votre compte Smart Software Licensing doit bénéficier de la licence de chiffrement renforcé (3DES/AES) pour utiliser certaines fonctionnalités (activées à l'aide de l'indicateur de conformité d'exportation). Procédure Étape 1 Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le champ de recherche Rechercher des produits et des solutions de Cisco Commerce Workspace. Recherchez les PID de licence suivants : Illustration 19 : Recherche de licences Remarque Si aucun PID n'est renvoyé, vous pouvez l'ajouter manuellement à votre commande. • Combinaison des licences Threat, Malware et URL : • L-FPR1010T-TMC= Guide de mise en route de l'appliance Cisco Firepower 1010 69 Déployer Threat Defense avec un Centre de gestion distant Enregistrer le Threat Defense auprès du Centre de gestion Lorsque vous ajoutez l'un des PID ci-dessus à votre commande, vous pouvez choisir un abonnement à durée limitée correspondant à l'un des PID suivants : • L-FPR1010T-TMC-1Y • L-FPR1010T-TMC-3Y • L-FPR1010T-TMC-5Y • VPN RA : consultez le Guide d'aide à la commande Cisco AnyConnect. Étape 2 Si cela n'est pas déjà fait, enregistrez le centre de gestion auprès du gestionnaire Smart Software Manager. Pour cela, vous devez générer un jeton d'enregistrement dans Smart Software Manager. Consultez le Guide de configuration de centre de gestion pour obtenir des instructions supplémentaires. Pour utiliser la fonction LTP, vous devez activer l'option Assistance cloud pour LTP, pendant ou après l'enregistrement auprès de Smart Software Manager. Consultez la page Système > Licences > Licences Smart. Enregistrer le Threat Defense auprès du Centre de gestion Enregistrez le threat defense auprès du centre de gestion. Avant de commencer • Collectez les informations suivantes que vous avez définies dans la configuration initiale du threat defense : • Adresse IP de gestion ou nom d'hôte du threat defense, et ID NAT • Clé d'enregistrement du centre de gestion Procédure Étape 1 Dans centre de gestion, sélectionnez Appareils > Gestion des appareils. Étape 2 Dans la liste déroulante Ajouter, sélectionnez Ajouter l'appareil. Guide de mise en route de l'appliance Cisco Firepower 1010 70 Déployer Threat Defense avec un Centre de gestion distant Enregistrer le Threat Defense auprès du Centre de gestion Définissez les paramètres suivants : • Hôte : saisissez l'adresse IP ou le nom d'hôte du threat defense que vous souhaitez ajouter. Vous pouvez laisser ce champ vide si vous avez spécifié à la fois l'adresse IP du centre de gestion et un ID NAT dans la configuration de initiale du threat defense. Remarque Dans un environnement haute disponibilité, lorsque les deux centres de gestionse trouvent derrière un NAT, vous pouvez enregistrer le threat defense sans adresse IP ni nom d'hôte dans le centre de gestion principal. Toutefois, pour enregistrer le threat defense dans un centre de gestion secondaire, vous devez fournir l'adresse IP ou le nom d'hôte du threat defense. • Nom d'affichage : saisissez le nom du threat defense tel que vous souhaitez l'afficher dans le centre de gestion. • Clé d'enregistrement : saisissez la clé d'enregistrement que vous avez spécifiée dans la configuration de initiale du threat defense. • Domaine : attribuez l'appareil à un domaine Leaf si vous disposez d'un environnement multidomaine. • Groupe : attribuez-le à un groupe d'appareils si vous utilisez des groupes. • Politique de contrôle d'accès : sélectionnez une politique initiale. Sauf si vous disposez déjà d'une politique personnalisée que vous devez utiliser, sélectionnez Créer une nouvelle politique et sélectionnez Guide de mise en route de l'appliance Cisco Firepower 1010 71 Déployer Threat Defense avec un Centre de gestion distant Enregistrer le Threat Defense auprès du Centre de gestion Bloquer tout le trafic. Vous pourrez la modifier ultérieurement pour autoriser le trafic ; reportez-vous à la rubrique Autoriser le trafic de l'interface interne vers l'interface externe, à la page 41. Illustration 20 : Nouvelle politique • Smart Licensing: attribuez les licences Smart dont vous avez besoin pour les fonctionnalités que vous souhaitez déployer : Malware (si vous souhaitez utiliser l'inspection), Threat (si vous prévoyez d'utiliser la prévention contre les intrusions) et URL (si vous avez l'intention de mettre en œuvre le filtrage d'URL basé sur les catégories). Remarque : vous pouvez appliquer une licence VPN d'accès distant Client sécurisé après avoir ajouté l'appareil, via la page Système > Licences > Licences Smart. • ID NAT unique : spécifiez l'ID NAT que vous avez spécifié dans la configuration initiale du threat defense. • Transférer des paquets : permet à l'appareil de transférer des paquets vers le centre de gestion. Lorsque des événements comme IPS ou Snort sont déclenchés alors que cette option est activée, l'appareil envoie des informations de métadonnées d'événement et des données de paquet au centre de gestion à des fins d'inspection. Si vous désactivez cette option, seules les informations d'événement sont envoyées au centre de gestion ; les données de paquet ne sont pas envoyées. Étape 3 Cliquez sur S'enregistrer ou, et confirmez l'enregistrement. Si l'enregistrement réussit, l'appareil est ajouté à la liste. En cas d'échec, un message d'erreur s'affiche. Si l'enregistrement du threat defense échoue, vérifiez les points suivants : • Ping : accédez à l'interface de ligne de commande du threat defense et envoyez une requête ping à l'adresse IP centre de gestion à l'aide de la commande suivante : ping system ip_address Si la requête ping échoue, vérifiez les paramètres réseau à l'aide de la commande show network. Si vous devez modifier l'adresse IP de gestion du threat defense, utilisez la commande configure network management-data-interface. Guide de mise en route de l'appliance Cisco Firepower 1010 72 Déployer Threat Defense avec un Centre de gestion distant Configurer une politique de sécurité de base • Clé d'enregistrement, ID NAT et adresse IP du centre de gestion : assurez-vous d'utiliser la même clé d'enregistrement et, le cas échéant, l'ID NAT sur les deux appareils. Vous pouvez définir la clé d'enregistrement et l'ID NAT sur le threat defense à l'aide de la commande configure manager add. Pour plus d'informations sur le dépannage, consultez la page https://cisco.com/go/fmc-reg-error. Configurer une politique de sécurité de base Dans cette section, nous vous expliquons comment configurer une politique de sécurité de base avec les paramètres suivants : • Interfaces internes et externes : attribuez une adresse IP statique à l'interface interne. Vous avez configuré les paramètres de base de l'interface externe dans le cadre de la configuration de l'accès du gestionnaire, mais vous devez toujours l'affecter à une zone de sécurité. • Serveur DHCP : utilisez un serveur DHCP sur l'interface interne pour les clients. • NAT : utilisez l'interface PAT sur l'interface externe. • Contrôle d'accès : autorisez le trafic de l'interface interne vers l'interface externe. • SSH : activez SSH sur l'interface d'accès du gestionnaire. Configurer les interfaces Ajoutez l'interface VLAN1 pour les ports de commutateur ou convertissez les ports de commutateur en interfaces de pare-feu, attribuez des interfaces aux zones de sécurité et définissez les adresses IP. En règle générale, vous devez configurer au moins deux interfaces pour qu'un système transmette un trafic significatif. Habituellement, vous disposez d'une interface externe face au routeur en amont ou à Internet, et d'une ou de plusieurs interfaces internes pour les réseaux de votre entreprise. Par défaut, Ethernet1/1 est une interface de pare-feu standard que vous pouvez utiliser à l'extérieur ; les autres interfaces sont des ports de commutateur sur le VLAN 1. Après avoir ajouté l'interface VLAN1, vous pouvez la convertir en interface interne. Vous pouvez également attribuer des ports de commutateur à d'autres VLAN ou convertir des ports de commutateur en interfaces de pare-feu. Un routage de périphérie classique consiste à obtenir l'adresse de l'interface externe via DHCP auprès de votre FAI, pendant que vous définissez des adresses statiques sur les interfaces internes. L'exemple suivant configure une interface interne en mode routé (VLAN1) avec une adresse statique et une interface externe en mode routé à l'aide de DHCP (Ethernet1/1). Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Cliquez sur Interfaces. ) de l'appareil. Guide de mise en route de l'appliance Cisco Firepower 1010 73 Déployer Threat Defense avec un Centre de gestion distant Configurer les interfaces Étape 3 (facultatif) Désactivez le mode de port de commutateur pour l'un des ports de commutateur (Ethernet 1/2 à 1/8) en cliquant sur le curseur dans la colonne SwitchPort pour le désactiver ( Étape 4 ). Activez les ports de commutateur. a) Cliquez sur Modifier ( ) pour le port de commutateur. b) Activez l'interface en cochant la case Activé. c) (facultatif) Modifiez l'ID de VLAN ; la valeur par défaut est 1. Vous devez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajoutez l'interface VLAN interne. a) Cliquez sur Ajouter des interfaces > Interface VLAN. L'onglet Général s'affiche. Guide de mise en route de l'appliance Cisco Firepower 1010 74 Déployer Threat Defense avec un Centre de gestion distant Configurer les interfaces b) Saisissez un nom comportant maximum 48 caractères. Par exemple, nommez l'interface interne. c) Cochez la case Activé. d) Laissez le champ Mode défini sur Aucun. e) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité interne existante ou ajoutez-en une nouvelle en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_interne. Chaque interface doit être affectée à une zone de sécurité et/ou à un groupe d'interfaces. Une interface peut appartenir à une seule zone de sécurité, mais peut également appartenir à plusieurs groupes d'interfaces. Vous appliquez votre politique de sécurité en fonction des zones ou des groupes. Par exemple, vous pouvez attribuer l'interface interne à la zone interne, et l'interface externe à la zone externe. Vous pouvez ensuite configurer votre politique de contrôle d'accès pour que le trafic transite de l'interface interne vers l'interface externe, mais pas de l'interface externe vers l'interface interne. La plupart des politiques ne prennent en charge que les zones de sécurité ; vous pouvez utiliser des zones ou des groupes d'interfaces dans les politiques NAT, les politiques de préfiltre et les politiques QoS. f) Définissez le champ ID de VLAN sur 1. Par défaut, tous les ports de commutateur sont définis sur l'ID de VLAN 1 ; si vous choisissez un autre ID de VLAN, vous devez également modifier chaque port de commutateur pour qu'il corresponde au nouvel ID de VLAN. Vous ne pouvez pas modifier l'ID de VLAN après avoir enregistré l'interface ; l'ID de VLAN est à la fois la balise de VLAN utilisée et l'ID d'interface de votre configuration. g) Cliquez sur l'onglet IPv4 et/ou IPv6. Guide de mise en route de l'appliance Cisco Firepower 1010 75 Déployer Threat Defense avec un Centre de gestion distant Configurer les interfaces • IPv4 : sélectionnez Utiliser l'adresse IP statique dans la liste déroulante, et saisissez une adresse IP et un masque de sous-réseau en notation de barre oblique. Par exemple, saisissez 192.168.1.1/24. • IPv6 : cochez la case Configuration automatique pour la configuration automatique sans état. h) Cliquez sur OK. Étape 6 Cliquez sur Modifier ( ) pour l'interface Ethernet 1/1 que vous souhaitez utiliser comme interface externe. L'onglet Général s'affiche. Vous avez déjà préconfiguré cette interface pour l'accès au gestionnaire, l'interface sera donc déjà nommée, activée et adressée. Vous ne devez modifier aucun de ces paramètres de base, car cela perturberait la connexion de gestion du centre de gestion. Vous devez cependant configurer la zone de sécurité sur cet écran pour les politiques de trafic en transit. a) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_externe. b) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010 76 Déployer Threat Defense avec un Centre de gestion distant Configurer le serveur DHCP Étape 7 Cliquez sur Enregistrer. Configurer le serveur DHCP Activez le serveur DHCP si vous souhaitez que les clients utilisent DHCP pour obtenir des adresses IP à partir du threat defense. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Sélectionnez DHCP > Serveur DHCP. Étape 3 Sur la page Serveur, cliquez sur Ajouter et configurez les options suivantes : ) de l'appareil. • Interface : sélectionnez l'interface dans la liste déroulante. • Pool d'adresses : définissez la plage d'adresses IP (de la plus faible à la plus élevée) utilisée par le serveur DHCP. La plage d'adresses IP doit se trouver sur le même sous-réseau que l'interface sélectionnée et ne peut pas inclure l'adresse IP de l'interface proprement dite. • Activer le serveur DHCP : activez le serveur DHCP sur l'interface sélectionnée. Étape 4 Cliquez sur OK. Étape 5 Cliquez sur Enregistrer. Configuration du routage NAT Configuration du routage NAT Une règle NAT classique convertit les adresses internes en ports sur l'adresse IP de l'interface externe. Ce type de règle NAT est appelé interface PAT (Port Address Translation). Procédure Étape 1 Sélectionnez Appareils > NAT, puis cliquez sur Nouvelle politique > NAT de protection contre les menaces. Étape 2 Donnez un nom à la politique, sélectionnez le ou les appareils que vous souhaitez utiliser, puis cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010 77 Déployer Threat Defense avec un Centre de gestion distant Configuration du routage NAT La politique est ajoutée au centre de gestion. Vous devez quand même ajouter des règles à la politique. Étape 3 Cliquez sur Ajouter une règle. La boîte de dialogue Ajouter une règle NAT apparaît. Étape 4 Configurez les options de règle de base : • Règle NAT : sélectionnez Règle NAT automatique. • Type : choisissez Dynamique. Étape 5 Sur la page Objets d'interface, ajoutez la zone externe de la section Objets d'interface disponibles à la section Objets d'interface de destination. Guide de mise en route de l'appliance Cisco Firepower 1010 78 Déployer Threat Defense avec un Centre de gestion distant Configuration du routage NAT Étape 6 Sur la page Traduction, configurez les options suivantes : • Source d'origine : cliquez sur Ajouter ( (0.0.0.0/0). ) pour ajouter un objet réseau pour tout le trafic IPv4 Remarque Vous ne pouvez pas utiliser l'objet any-ipv4 défini par le système, car les règles NAT automatiques ajoutent la fonction NAT à la définition d'objet et vous ne pouvez pas modifier les objets définis par le système. Guide de mise en route de l'appliance Cisco Firepower 1010 79 Déployer Threat Defense avec un Centre de gestion distant Autoriser le trafic de l'interface interne vers l'interface externe • Source traduite : sélectionnez Adresse IP de l'interface de destination. Étape 7 Cliquez sur Enregistrer pour ajouter la règle. La règle est enregistrée dans la table Règles. Étape 8 Cliquez sur Enregistrer sur la page NAT pour enregistrer vos modifications. Autoriser le trafic de l'interface interne vers l'interface externe Si vous avez créé une politique de contrôle d'accès de base Bloquer tout le trafic lorsque vous avez enregistré le threat defense, vous devez ajouter des règles à la politique pour autoriser le trafic via l'appareil. La procédure suivante ajoute une règle pour autoriser le trafic de la zone interne vers la zone externe. Si vous disposez d'autres zones, veillez à ajouter des règles autorisant le trafic vers les réseaux appropriés. Procédure Étape 1 Sélectionnez Politique > Politique d'accès > Politique d'accès, puis cliquez sur Modifier ( politique de contrôle d'accès attribuée à threat defense. Étape 2 Cliquez sur Ajouter une règle, puis définissez les paramètres suivants : ) pour la • Nom : donnez un nom à cette règle, par exemple interne_vers_externe. • Zones source : sélectionnez la zone interne dans Zones disponibles, puis cliquez sur Ajouter à la source. Guide de mise en route de l'appliance Cisco Firepower 1010 80 Déployer Threat Defense avec un Centre de gestion distant Configurer SSH sur l'interface de données d'accès du gestionnaire • Zones de destination : sélectionnez la zone externe dans Zones disponibles, puis cliquez sur Ajouter à la destination. Laissez les autres paramètres tels quels. Étape 3 Cliquez sur Ajouter. La règle est ajoutée au tableau Règles. Étape 4 Cliquez sur Enregistrer. Configurer SSH sur l'interface de données d'accès du gestionnaire Si vous avez activé l'accès au centre de gestion sur une interface de données, par exemple externe, vous devez activer SSH sur cette interface en suivant cette procédure. Dans cette section, nous vous expliquons comment activer les connexions SSH sur une ou plusieurs interfaces de données sur le threat defense. SSH n'est pas pris en charge par l'interface logique de diagnostic. Remarque SSH est activé par défaut sur l'interface de gestion ; cependant, cet écran n'a pas d'incidence sur l'accès SSH de gestion. L'interface de gestion est distincte des autres interfaces sur l'appareil. Elle permet de configurer et d'enregistrer l'appareil sur le gestionnaire du centre de gestion. SSH pour les interfaces de données partage la liste des utilisateurs internes et externes avec SSH pour l'interface de gestion. D'autres paramètres sont configurés séparément : pour les interfaces de données, activez SSH et accédez aux listes à l'aide de cet écran ; le trafic SSH pour les interfaces de données utilise la configuration de routage standard, et non les routes statiques définies lors de la configuration ou sur l'interface de ligne de commande. Sur l'interface de gestion, pour configurer une liste d'accès SSH, reportez-vous à la commande configure ssh-access-list de la rubrique Référence des commandes pour Secure Firewall Threat Defense. Pour configurer une route statique, consultez la commande configure network static-routes. Par défaut, vous configurez la route par défaut via l'interface de gestion lors de la configuration initiale. Pour utiliser SSH, il n'est pas nécessaire de disposer d'une règle d'accès autorisant l'adresse IP de l'hôte. Vous devez uniquement configurer l'accès SSH conformément à cette section. Vous pouvez uniquement utiliser le protocole SSH pour accéder à une interface accessible ; si votre hôte SSH se trouve sur l'interface externe, vous pouvez uniquement établir une connexion de gestion directement vers l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010 81 Déployer Threat Defense avec un Centre de gestion distant Configurer SSH sur l'interface de données d'accès du gestionnaire L'appareil autorise un maximum de 5 connexions SSH simultanées. Remarque Après trois tentatives infructueuses de connexion à l'interface de ligne de commande via SSH, l'appareil interrompt la connexion SSH. Avant de commencer • Vous pouvez configurer les utilisateurs internes SSH dans l'interface de ligne de commande à l'aide de la commande configure user add. Par défaut, il existe un utilisateur admin pour lequel vous avez configuré le mot de passe lors de la configuration initiale. Vous pouvez également configurer des utilisateurs externes sur LDAP ou RADIUS en configurant l'authentification externe dans les paramètres de la plateforme. • Vous devez disposer d'objets réseau qui définissent les hôtes ou les réseaux autorisés à établir des connexions SSH à l'appareil. Vous pouvez ajouter des objets dans le cadre de cette procédure, mais si vous souhaitez utiliser des groupes d'objets pour identifier un groupe d'adresses IP, assurez-vous que les groupes requis dans les règles existent déjà. Sélectionnez Objets > Gestion des objets pour configurer les objets. Remarque Vous ne pouvez pas utiliser l'objet réseau any fourni par le système. Utilisez plutôt any-ipv4 ou any-ipv6. Procédure Étape 1 Sélectionnez Appareils > Paramètres de la plateforme et créez ou modifiez la politique threat defense. Étape 2 Sélectionnez Secure Shell. Étape 3 Identifiez les interfaces et les adresses IP qui autorisent les connexions SSH. Utilisez ce tableau pour limiter les interfaces qui accepteront les connexions SSH et les adresses IP des clients autorisées à établir ces connexions. Vous pouvez utiliser des adresses réseau plutôt que des adresses IP individuelles. a) Cliquez sur Ajouter pour ajouter une nouvelle règle ou sur Modifier pour modifier une règle. b) Configurez les propriétés de la règle : • Adresse IP : objet ou groupe réseau qui identifie les hôtes ou les réseaux autorisés à établir des connexions SSH. Sélectionnez un objet dans le menu déroulant ou ajoutez un nouvel objet réseau en cliquant sur +. • Zones de sécurité : ajoutez les zones contenant les interfaces sur lesquelles vous autorisez les connexions SSH. Pour les interfaces ne faisant pas partie d'une zone, vous pouvez saisir le nom de l'interface dans le champ situé sous la liste Zone de sécurité sélectionnée, puis cliquer sur Ajouter. Ces règles seront appliquées à un appareil uniquement si celui-ci inclut les interfaces ou les zones sélectionnées. c) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010 82 Déployer Threat Defense avec un Centre de gestion distant Déployer la configuration Étape 4 Cliquez sur Enregistrer. Vous pouvez maintenant accéder à la page Déployer > Déploiement et déployer la politique sur les appareils affectés. Les modifications ne sont pas actives tant que vous ne les avez pas déployées. Déployer la configuration Déployez les modifications de configuration sur le threat defense ; aucune modification n'est active sur l'appareil tant que vous ne l'avez pas déployée. Procédure Étape 1 Cliquez sur Déployer en haut à droite. Illustration 21 : Déployer Étape 2 Cliquez sur Tout déployer pour déployer sur tous les périphériques ou cliquez sur Déploiement avancé pour déployer sur les périphériques sélectionnés. Illustration 22 : Tout déployer Illustration 23 : Déploiement avancé Guide de mise en route de l'appliance Cisco Firepower 1010 83 Déployer Threat Defense avec un Centre de gestion distant Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS Étape 3 Assurez-vous que le déploiement aboutit. Cliquez sur l'icône en regard du bouton Déployer dans la barre de menus pour afficher l'état des déploiements. Illustration 24 : État du déploiement Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS Utilisez l'interface de ligne de commande (CLI) pour configurer le système et résoudre les problèmes de base du système. Vous ne pouvez pas configurer les politiques via une session CLI. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console. Vous pouvez également accéder à la CLI FXOS à des fins de dépannage. Remarque Vous pouvez également vous connecter à l'interface de gestion de l'appareil threat defense. Contrairement à une session de console, la session SSH utilise par défaut l'interface de ligne de commande du threat defense, à partir de laquelle vous pouvez vous connecter à la CLI FXOS à l'aide de la commande connect fxos. Vous pourrez ensuite vous connecter à l'adresse sur une interface de données si vous ouvrez l'interface pour les connexions SSH. L'accès SSH aux interfaces de données est désactivé par défaut. Cette procédure décrit l'accès au port de console, qui est défini par défaut sur la CLI FXOS. Procédure Étape 1 Pour vous connecter à l'interface de ligne de commande, connectez votre ordinateur de gestion au port de console. L'appareil Firepower 1000 est livré avec un câble série USB A vers B. Veillez à installer les pilotes série USB nécessaires à votre système d'exploitation (consultez le guide matériel de l'appareil Firepower 1010). Le port de console est défini par défaut sur la CLI FXOS. Utilisez les paramètres série suivants : • 9 600 bauds • 8 bits de données • Aucune parité Guide de mise en route de l'appliance Cisco Firepower 1010 84 Déployer Threat Defense avec un Centre de gestion distant Résoudre les problèmes de connectivité de gestion sur une interface de données • 1 bit d'arrêt Vous vous connectez à la CLI FXOS. Connectez-vous à l'interface de ligne de commande à l'aide du nom d'utilisateur admin et du mot de passe que vous avez défini lors de la configuration initiale (la valeur par défaut est Admin123). Exemple : firepower login: admin Password: Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 1 firepower# Étape 2 Accédez à l'interface de ligne de commande du threat defense. connect ftd Exemple : firepower# connect ftd > Après vous être connecté, pour obtenir des informations sur les commandes disponibles dans l'interface de ligne de commande, saisissez help ou ?. Pour plus d'informations sur l'utilisation, reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Étape 3 Pour quitter l'interface de ligne de commande threat defense, saisissez la commande du exit ou logout. Cette commande vous renvoie à l'invite de la CLI FXOS. Pour plus d'informations sur les commandes disponibles dans la CLI FXOS, saisissez ?. Exemple : > exit firepower# Résoudre les problèmes de connectivité de gestion sur une interface de données Prise en charge des modèles—Threat Defense Lorsque vous utilisez une interface de données pour l'accès au centre de gestion au lieu d'utiliser l'interface de gestion dédiée, veillez à modifier les paramètres d'interface et de réseau du threat defense dans le centre de gestion afin de ne pas interrompre la connexion. Si vous modifiez le type d'interface de gestion après avoir ajouté le threat defense au centre de gestion (c'est-à-dire, remplacez l'interface de données par l'interface de gestion, ou vice versa), si les interfaces et les paramètres réseau ne sont pas configurés correctement, vous risquez de perdre la connectivité à l'interface de gestion. Cette rubrique vous aide à résoudre les problèmes de perte de connectivité à l'interface de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010 85 Déployer Threat Defense avec un Centre de gestion distant Résoudre les problèmes de connectivité de gestion sur une interface de données Afficher l'état de connexion de l'interface de gestion Dans le centre de gestion, vérifiez l'état de la connexion de gestion sur la page Appareils > Gestion des appareils > Appareil > Gestion > Détails de l'accès au FMC > État de connexion. Dans l'interface de ligne de commande du threat defense, saisissez la commande sftunnel-status-brief pour afficher l'état de la connexion de gestion. Vous pouvez également utiliser sftunnel-status pour afficher des informations plus complètes. Reportez-vous à l'exemple de résultat suivant pour une connexion interrompue ; aucune information de connexion de canal homologue et aucune information de pulsation n'est disponible : > sftunnel-status-brief PEER:10.10.17.202 Registration: Completed. Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC Last disconnect time : Mon Jun 15 09:19:09 2020 UTC Last disconnect reason : Both control and event channel connections with peer went down Reportez-vous à l'exemple de résultat suivant pour une connexion active comprenant des informations de canal homologue et de pulsation : > sftunnel-status-brief PEER:10.10.17.202 Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222' Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222' Registration: Completed. IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC Afficher les informations relatives au réseau du Threat Defense Dans l'interface de ligne de commande du threat defense, affichez les paramètres réseau de l'interface de gestion et d'accès aux données du centre de gestion : show network > show network ===============[ System Information ]=============== Hostname : 5516X-4 DNS Servers : 208.67.220.220,208.67.222.222 Management port : 8305 IPv4 Default route Gateway : data-interfaces IPv6 Default route Gateway : data-interfaces ======================[ br1 ]======================= State : Enabled Link : Up Channels : Management & Events Mode : Non-Autonegotiation MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : 28:6F:7F:D3:CB:8D ----------------------[ IPv4 ]---------------------- Guide de mise en route de l'appliance Cisco Firepower 1010 86 Déployer Threat Defense avec un Centre de gestion distant Résoudre les problèmes de connectivité de gestion sur une interface de données Configuration : Manual Address : 10.99.10.4 Netmask : 255.255.255.0 Gateway : 10.99.10.1 ----------------------[ IPv6 ]---------------------Configuration : Disabled ===============[ Proxy Information ]================ State : Disabled Authentication : Disabled ======[ System Information - Data Interfaces ]====== DNS Servers : Interfaces : GigabitEthernet1/1 ===============[ GigabitEthernet1/1 ]=============== State : Enabled Link : Up Name : outside MTU : 1500 MAC Address : 28:6F:7F:D3:CB:8F ----------------------[ IPv4 ]---------------------Configuration : Manual Address : 10.89.5.29 Netmask : 255.255.255.192 Gateway : 10.89.5.1 ----------------------[ IPv6 ]---------------------Configuration : Disabled Vérifier que le Threat Defense est enregistré auprès du Centre de gestion Dans l'interface de ligne de commande du threat defense, vérifiez que le centre de gestion a bien été enregistré. Notez que cette commande n'affiche pas l'état actuel de la connexion de gestion. show managers > show managers Type Host Registration : Manager : 10.89.5.35 : Completed > Envoyer une requête ping au Centre de gestion Dans l'interface de ligne de commande du threat defense, utilisez la commande suivante pour envoyer une requête ping au centre de gestion à partir des interfaces de données : ping fmc_ip Dans l'interface de ligne de commande du threat defense, utilisez la commande suivante pour envoyer une requête ping au centre de gestion à partir de l'interface de gestion, afin de l'acheminer via le fond de panier aux interfaces de données : ping system fmc_ip Capturer les paquets sur l'interface interne du Threat Defense Dans l'interface de ligne de commande du threat defense, capturez les paquets sur l'interface de fond de panier interne (nlp_int_tap) pour déterminer si des paquets de gestion sont envoyés : capture name interface nlp_int_tap trace detail match ip any any Guide de mise en route de l'appliance Cisco Firepower 1010 87 Déployer Threat Defense avec un Centre de gestion distant Résoudre les problèmes de connectivité de gestion sur une interface de données show capturename trace detail Vérifier l'état de l'interface interne, les statistiques et le nombre de paquets Dans l'interface de ligne de commande du threat defense, consultez les informations relatives à l'interface de fond de panier interne, nlp_int_tap : show interace detail > show interface detail [...] Interface Internal-Data0/1 "nlp_int_tap", is up, line protocol is up Hardware is en_vtun rev00, BW Unknown Speed-Capability, DLY 1000 usec (Full-duplex), (1000 Mbps) Input flow control is unsupported, output flow control is unsupported MAC address 0000.0100.0001, MTU 1500 IP address 169.254.1.1, subnet mask 255.255.255.248 37 packets input, 2822 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 pause input, 0 resume input 0 L2 decode drops 5 packets output, 370 bytes, 0 underruns 0 pause output, 0 resume output 0 output errors, 0 collisions, 0 interface resets 0 late collisions, 0 deferred 0 input reset drops, 0 output reset drops input queue (blocks free curr/low): hardware (0/0) output queue (blocks free curr/low): hardware (0/0) Traffic Statistics for "nlp_int_tap": 37 packets input, 2304 bytes 5 packets output, 300 bytes 37 packets dropped 1 minute input rate 0 pkts/sec, 0 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 0 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec Control Point Interface States: Interface number is 14 Interface config status is active Interface state is active Vérifier le routage et la NAT Dans l'interface de ligne de commande du threat defense, vérifiez que la route par défaut (S*) a bien été ajoutée et qu'il existe des règles NAT internes pour l'interface de gestion (nlp_int_tap). show route > show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is 10.89.5.1 to network 0.0.0.0 Guide de mise en route de l'appliance Cisco Firepower 1010 88 Déployer Threat Defense avec un Centre de gestion distant Résoudre les problèmes de connectivité de gestion sur une interface de données S* C L 0.0.0.0 0.0.0.0 [1/0] via 10.89.5.1, outside 10.89.5.0 255.255.255.192 is directly connected, outside 10.89.5.29 255.255.255.255 is directly connected, outside > show nat > show nat Auto NAT Policies (Section 2) 1 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_intf3 interface service tcp 8305 8305 translate_hits = 0, untranslate_hits = 6 2 (nlp_int_tap) to (outside) source static nlp_server_0_ssh_intf3 interface service tcp ssh ssh translate_hits = 0, untranslate_hits = 73 3 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_ipv6_intf3 interface ipv6 service tcp 8305 8305 translate_hits = 0, untranslate_hits = 0 4 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf3 interface translate_hits = 174, untranslate_hits = 0 5 (nlp_int_tap) to (outside) source dynamic nlp_client_0_ipv6_intf3 interface ipv6 translate_hits = 0, untranslate_hits = 0 > Vérifier les autres paramètres Reportez-vous aux commandes suivantes pour vérifier que tous les autres paramètres sont présents. Vous pouvez également consulter la plupart de ces commandes sur la page Appareils > Gestion des appareils > Appareil > Gestion > Détails de l'accès au FMC > Résultat de la CLI du centre de gestion. show running-config sftunnel > show running-config sftunnel sftunnel interface outside sftunnel port 8305 show running-config ip-client > show running-config ip-client ip-client outside show conn address fmc_ip > show conn address 10.89.5.35 5 in use, 16 most used Inspect Snort: preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect TCP nlp_int_tap 10.89.5.29(169.254.1.2):51231 outside 10.89.5.35:8305, idle 0:00:04, bytes 86684, flags UxIO TCP nlp_int_tap 10.89.5.29(169.254.1.2):8305 outside 10.89.5.35:52019, idle 0:00:02, bytes 1630834, flags UIO > Rechercher une mise à jour DDNS réussie Dans l'interface de ligne de commande du threat defense, vérifiez que la mise à jour DDNS a réussi : Guide de mise en route de l'appliance Cisco Firepower 1010 89 Déployer Threat Defense avec un Centre de gestion distant Rétablir la configuration en cas de déconnexion du Centre de gestion debug ddns > debug ddns DDNS update request = /v3/update?hostname=domain.example.org&myip=209.165.200.225 Successfuly updated the DDNS sever with current IP addresses DDNS: Another update completed, outstanding = 0 DDNS: IDB SB total = 0 Si la mise à jour échoue, utilisez les commandes debug http et debug ssl. Pour les échecs de validation du certificat, vérifiez que les certificats racines sont installés sur l'appareil : show crypto ca certificates trustpoint_name Pour vérifier le fonctionnement du DDNS : show ddns update interface fmc_access_ifc_name > show ddns update interface outside Dynamic DNS Update on outside: Update Method Name Update Destination RBD_DDNS not available Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020 Status : Success FQDN : domain.example.org IP addresses : 209.165.200.225 Consulter les fichiers journaux du Centre de gestion Consultez la page https://cisco.com/go/fmc-reg-error. Rétablir la configuration en cas de déconnexion du Centre de gestion Si vous utilisez une interface de données sur le threat defense pour le centre de gestion, et que vous déployez une modification de configuration depuis le centre de gestion ayant une incidence sur la connectivité réseau, vous pouvez rétablir la dernière configuration déployée sur le threat defense afin de restaurer la connectivité de gestion. Vous pouvez ensuite ajuster les paramètres de configuration dans le centre de gestion afin de maintenir et de redéployer la connectivité réseau. Vous pouvez utiliser la fonction de restauration même si aucune perte de connectivité ne se produit, car elle ne se limite pas à cette situation de dépannage. Reportez-vous aux instructions suivantes : • Seul le déploiement précédent est disponible localement sur le threat defense ; vous ne pouvez pas rétablir les déploiements antérieurs. • La fonction de restauration n'est pas prise en charge pour les déploiements haute disponibilité ou en cluster. • La restauration s'applique uniquement aux configurations que vous pouvez définir dans le centre de gestion. Par exemple, la restauration ne s'applique à aucune configuration locale liée à l'interface de gestion dédiée, que vous pouvez configurer uniquement sur l'interface de ligne de commande de threat defense. Notez que si vous avez modifié les paramètres de l'interface de données après le dernier déploiement du centre de gestion à l'aide de la commande configure network management-data-interface, puis que vous utilisez la commande de restauration, ces paramètres ne sont pas conservés ; les derniers paramètres déployés sur le centre de gestion sont rétablis. Guide de mise en route de l'appliance Cisco Firepower 1010 90 Déployer Threat Defense avec un Centre de gestion distant Rétablir la configuration en cas de déconnexion du Centre de gestion • Il est impossible de restaurer le mode UCAPL/CC. • Il est impossible de restaurer les données de certificat SCEP hors bande qui ont été mises à jour lors du déploiement précédent. • Pendant la restauration, les connexions sont interrompues, car la configuration en cours est supprimée. Avant de commencer Prise en charge des modèles—Threat Defense Procédure Étape 1 Sur l'interface de ligne de commande de threat defense, restaurez la configuration précédente. configure policy rollback Après la restauration, le système threat defense informe le centre de gestion que la restauration a réussi. Dans le centre de gestion, l'écran de déploiement affiche une bannière indiquant que la configuration a été restaurée. Si la restauration échoue, reportez-vous à la rubrique https://www.cisco.com/c/en/us/support/docs/security/ firepower-ngfw-virtual/215258-troubleshooting-firepower-threat-defense.html pour connaître les problèmes de déploiement courants. Dans certains cas, la restauration peut échouer après le rétablissement de l'accès du centre de gestion ; dans ce cas, vous pouvez résoudre les problèmes de configuration du centre de gestion et renouveler le déploiement depuis le centre de gestion. Exemple : > configure policy rollback The last deployment to this FTD was on June 1, 2020 and its status was Successful. Do you want to continue [Y/N]? Y Rolling back complete configuration on the FTD. This will take time. ..................... Policy rollback was successful on the FTD. Configuration has been reverted back to transaction id: Following is the rollback summary: ................... .................... > Étape 2 Vérifiez que la connexion de gestion a été rétablie. Dans le centre de gestion, vérifiez l'état de la connexion de gestion sur la page Appareils > Gestion des appareils > Appareil > Gestion > Détails de l'accès au FMC > État de connexion. Dans l'interface de ligne de commande du threat defense, saisissez la commande sftunnel-status-brief pour afficher l'état de la connexion de gestion. Si le rétablissement de la connexion prend plus de 10 minutes, vous devez dépanner la connexion. Reportez-vous à la rubrique Résoudre les problèmes de connectivité de gestion sur une interface de données, à la page 85. Guide de mise en route de l'appliance Cisco Firepower 1010 91 Déployer Threat Defense avec un Centre de gestion distant Mettre le pare-feu hors tension à l'aide du Centre de gestion Mettre le pare-feu hors tension à l'aide du Centre de gestion Il est important que vous arrêtiez correctement votre système. Il ne suffit pas de débrancher le câble d'alimentation ou d'appuyer sur l'interrupteur d'alimentation, car vous risquez d'endommager gravement le système de fichiers. N'oubliez pas que de nombreux processus s'exécutent en arrière-plan en permanence, et que débrancher ou couper l'alimentation ne permet pas un arrêt normal de votre pare-feu. Vous pouvez arrêter votre système correctement à l'aide du centre de gestion. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils. Étape 2 Cliquez sur l'icône Modifier ( Étape 3 Cliquez sur l'onglet Appareils. Étape 4 Cliquez sur l'icône d'arrêt de l'appareil ( Étape 5 Lorsque vous y êtes invité, confirmez que vous souhaitez arrêter l'appareil. Étape 6 Si vous disposez d'une connexion de console au pare-feu, observez les invites système lorsque le pare-feu s'arrête. L'invite suivante s'affiche : ) en regard de l'appareil que vous souhaitez redémarrer. ) dans la section Système. System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Si vous ne disposez pas d'une connexion de console, attendez environ 3 minutes pour vous assurer que le système s'est éteint. Étape 7 Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Et après ? Pour poursuivre la configuration de votre threat defense, consultez les documents disponibles pour votre version logicielle dans Parcourir la documentation de Cisco Firepower. Pour plus d'informations sur l'utilisation du centre de gestion, reportez-vous à la rubrique Guide de configuration de Firepower Management Center. Guide de mise en route de l'appliance Cisco Firepower 1010 92 CHAPITRE 4 Déployer Threat Defense avec le Gestionnaire d'appareils Ce chapitre vous concerne-t-il ? Pour connaître tous les systèmes d'exploitation et gestionnaires disponibles, reportez-vous à la rubrique Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ?, à la page 1. Ce chapitre s'applique au threat defense doté de gestionnaire d'appareils. Dans ce chapitre, nous vous expliquons comment effectuer la configuration initiale de votre threat defense à l'aide de l'assistant de configuration d'appareils web. Le gestionnaire d'appareils vous permet de configurer les fonctionnalités de base des logiciels les plus couramment utilisés pour les réseaux de faible envergure. Il est spécialement conçu pour les réseaux qui incluent uniquement quelques appareils, voire un seul, sur lesquels il est inutile d'utiliser un gestionnaire multi-appareils haute puissance capable de contrôler un réseau de grande envergure contenant de nombreux appareils gestionnaire d'appareils. À propos du pare-feu L'appareil peut exécuter un logiciel threat defense ou un logiciel ASA. Pour basculer entre threat defense et ASA, vous devez reconfigurer l'appareil. Vous devez également recommencer l'installation si vous avez besoin d'une version logicielle différente de celle actuellement installée. Consultez la rubrique Réinstaller Cisco ASA ou Firepower Threat Defense. Le pare-feu exécute un système d'exploitation sous-jacent appelé Système d'exploitation Secure Firewall eXtensible (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense. Déclaration de confidentialité—Le pare-feu ne requiert ni ne collecte activement aucune information permettant de vous identifier. Vous pouvez néanmoins utiliser des informations d'identification personnelle au cours de la configuration, notamment des noms d'utilisateur. Dans ce cas, un administrateur peut accéder à ces informations lors de l'utilisation de la configuration ou de l'utilisation du protocole SNMP. • Procédure de bout en bout, à la page 94 • Vérifier le déploiement et la configuration par défaut du réseau, à la page 95 • Raccorder l'appareil, à la page 99 • Mettre le pare-feu sous tension, à la page 100 • (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 101 Guide de mise en route de l'appliance Cisco Firepower 1010 93 Déployer Threat Defense avec le Gestionnaire d'appareils Procédure de bout en bout • (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande, à la page 102 • Se connecter au Gestionnaire d'appareils, à la page 105 • Terminer la configuration initiale, à la page 105 • Configurer l'octroi de licences, à la page 107 • Configurer le pare-feu dans le Gestionnaire d'appareils, à la page 113 • Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 117 • Afficher les informations sur le matériel, à la page 118 • Mettre le pare-feu hors tension, à la page 119 • Et après ?, à la page 120 Procédure de bout en bout Reportez-vous aux tâches suivantes pour déployer le threat defense avec le gestionnaire d'appareils sur votre châssis. Configuration préalable Installez le pare-feu. Reportez-vous au guide d'installation matérielle. Guide de mise en route de l'appliance Cisco Firepower 1010 94 Déployer Threat Defense avec le Gestionnaire d'appareils Vérifier le déploiement et la configuration par défaut du réseau Configuration préalable Vérifier le déploiement et la configuration par défaut du réseau, à la page 95. Configuration préalable Raccorder l'appareil, à la page 99. Configuration préalable Mettre le pare-feu sous tension, à la page 13. CLI (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 101 CLI (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande, à la page 102. Gestionnaire d'appareils Se connecter au Gestionnaire d'appareils, à la page 105. Gestionnaire d'appareils Terminer la configuration initiale, à la page 105. Cisco Commerce Workspace (Facultatif) Configurer l'octroi de licences, à la page 107 : obtenez des licences de fonction. Smart Software Manager Configurer l'octroi de licences, à la page 107 : générez un jeton de licence. Gestionnaire d'appareils Configurer l'octroi de licences, à la page 107 : enregistrez l'appareil auprès de Smart Licensing Server. Gestionnaire d'appareils Configurer le pare-feu dans le Gestionnaire d'appareils, à la page 113. Vérifier le déploiement et la configuration par défaut du réseau Vous pouvez gérer le threat defense à l'aide du gestionnaire d'appareils à partir de l'interface de gestion 1/1 ou de l'interface interne. L'interface de gestion dédiée est une interface spéciale disposant de ses propres paramètres réseau. La figure suivante illustre le déploiement réseau recommandé. Si vous connectez l'interface externe directement à un modem câble ou ADSL, nous vous recommandons de mettre le modem en mode pont pour que le threat defense effectue tout le routage et la NAT pour vos réseaux internes. Si vous devez configurer le protocole PPPoE de sorte que l'interface externe se connecte à votre FAI, faites-le une fois la configuration initiale terminée dans gestionnaire d'appareils. Guide de mise en route de l'appliance Cisco Firepower 1010 95 Déployer Threat Defense avec le Gestionnaire d'appareils Vérifier le déploiement et la configuration par défaut du réseau Remarque Si vous ne pouvez pas utiliser l'adresse IP de gestion par défaut (par exemple, votre réseau de gestion n'inclut pas de serveur DHCP), vous pouvez vous connecter au port de console et effectuer la configuration initiale sur l'interface de ligne de commande, notamment configurer l'adresse IP de gestion, la passerelle et d'autres paramètres réseau de base. Si vous devez modifier l'adresse IP interne, faites-le une fois la configuration initiale terminée dans le gestionnaire d'appareils. Par exemple, il est possible que vous deviez modifier l'adresse IP interne dans les cas suivants : • (7.0 et versions ultérieures) L'adresse IP interne est 192.168.95.1. (Version 6.7 et versions antérieures) L'adresse IP interne est 192.168.1.1. Si l'interface externe tente d'obtenir une adresse IP sur le réseau 192.168.1.0, qui est un réseau par défaut courant, le bail DHCP échouera et l'interface externe n'obtiendra aucune adresse IP. Ce problème se produit, car threat defense ne peut pas disposer de deux interfaces sur le même réseau. Dans ce cas, vous devez modifier l'adresse IP interne de façon à la placer sur un nouveau réseau. • Si vous ajoutez threat defense à un réseau interne, vous devrez modifier l'adresse IP interne de façon à ce qu'elle corresponde au réseau. La figure suivante illustre le déploiement réseau par défaut à utiliser pour threat defense à l'aide du gestionnaire d'appareils avec la configuration par défaut. Guide de mise en route de l'appliance Cisco Firepower 1010 96 Déployer Threat Defense avec le Gestionnaire d'appareils Configuration par défaut Illustration 25 : Déploiement réseau suggéré Remarque Pour les versions 6.7 et antérieures, l'adresse IP interne est 192.168.1.1. Pour les versions 6.5 et antérieures, l'adresse IP de gestion 1/1 par défaut est 192.168.45.45. Configuration par défaut La configuration du pare-feu après la configuration initiale comprend les éléments suivants : • interne—adresse IP (7.0 et versions ultérieures) 192.168.95.1 ; (versions antérieures à 7.0) 192.168.1.1. • (6.5 et versions ultérieures) Commutateur matériel : Ethernet 1/2 à 1/8 appartiennent au VLAN 1 • (6.4) Commutateur logiciel (routage et pontage intégrés) : Ethernet 1/2 à 1/8 appartiennent à l'interface de groupe de ponts (BVI) 1 • externe : Ethernet 1/1, adresse IP du DHCP IPv4 et configuration automatique IPv6 • Flux de trafic interne→externe Guide de mise en route de l'appliance Cisco Firepower 1010 97 Déployer Threat Defense avec le Gestionnaire d'appareils Configuration par défaut • gestion : gestion 1/1 (gestion) • (6.6 et versions ultérieures) Adresse IP de DHCP • (6.5 et versions antérieures) Adresse IP 192.168.45.45 Remarque L'interface de gestion 1/1 est une interface spéciale distincte des interfaces de données, qui est utilisée pour la gestion, l'octroi de licences Smart et les mises à jour de la base de données.L'interface physique est partagée avec une deuxième interface logique, l'interface de diagnostic. L'interface de diagnostic est une interface de données, mais elle est limitée à d'autres types de trafics de gestion (vers l'appareil et depuis l'appareil), tels que syslog ou SNMP. L'interface de diagnostic n'est généralement pas utilisée. Pour obtenir plus d'informations, reportez-vous à la section Guide de configuration de Cisco Secure Firewall Device Manager. • Serveur DNS pour la gestion : OpenDNS : (IPv4) 208.67.222.222, 208.67.220.220 ; (IPv6) 2620:119:35::35 ou serveurs spécifiés lors de la configuration. Les serveurs DNS obtenus auprès de DHCP ne sont jamais utilisés. • NTP : serveurs Cisco NTP : 0.sourcefire.pool.ntp.org, 1.sourcefire.pool.ntp.org, 2.sourcefire.pool.ntp.org ou serveurs spécifiés lors de la configuration • Routes par défaut • Interfaces de données : obtenues à partir d'un DHCP externe ou d'une adresse IP de passerelle spécifiée lors de la configuration • Interface de gestion :(6.6 et versions ultérieures) obtenue auprès du serveur de gestion DHCP. Si vous ne recevez pas de passerelle, la route par défaut passe par le fond de panier et via les interfaces de données (6.5 et versions antérieures). Par le fond de panier et via les interfaces de données Notez que l'interface de gestion nécessite un accès Internet pour l'octroi de licences et les mises à jour, via le fond de panier ou à l'aide d'une passerelle Internet distincte. Notez que seul le trafic provenant de l'interface de gestion peut transiter par le fond de panier ; sinon, la gestion n'autorise pas le trafic de transit pour le trafic entrant dans la gestion depuis le réseau. • Serveur DHCP : activé sur l'interface interne et (6.5 et versions antérieures uniquement) l'interface de gestion. • Accès au Gestionnaire d'appareils : tous les hôtes sont autorisés sur l'interface de gestion et l'interface interne. • NAT : interface PAT pour l'ensemble du trafic de l'interface interne vers l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010 98 Déployer Threat Defense avec le Gestionnaire d'appareils Raccorder l'appareil Raccorder l'appareil Illustration 26 : Raccorder le Firepower 1010 Remarque Pour les versions 6.7 et antérieures, l'adresse IP interne est 192.168.1.1. Pour les versions 6.5 et antérieures, l'adresse IP par défaut de l'interface de gestion 1/1 est 192.168.45.45. Remarque Dans les versions 6.5 et ultérieures, les interfaces Ethernet 1/2 à 1/8 sont configurées en tant que ports de commutateur matériels ; PoE+ est également disponible sur Ethernet 1/7 et 1/8. Dans la version 6.4, les interfaces Ethernet 1/2 à 1/8 sont configurées en tant que membres du groupe de ponts (ports de commutateur logiciels) ; PoE+ n'est pas disponible. Le câblage initial est le même pour les deux versions. Gérez le pare-feu Firepower 1010 sur l'interface de gestion 1/1 ou sur l'interface Ethernet 1/2 à 1/8. La configuration par défaut configure également Ethernet 1/1 comme interface externe. Procédure Étape 1 Installez votre matériel et apprenez à l'utiliser à l'aide du guide d'installation matérielle. Étape 2 Connectez votre ordinateur de gestion à l'une des interfaces suivantes : • Ethernet 1/2 à 1/8 : connectez votre ordinateur de gestion directement à l'un des ports de commutateur internes (Ethernet 1/2 à 1/8). L'interface interne possède une adresse IP par défaut (192.168.95.1) et exécute également un serveur DHCP pour fournir des adresses IP aux clients (y compris l'ordinateur de Guide de mise en route de l'appliance Cisco Firepower 1010 99 Déployer Threat Defense avec le Gestionnaire d'appareils Mettre le pare-feu sous tension gestion). Par conséquent, assurez-vous que ces paramètres n'entrent pas en conflit avec les paramètres existants du réseau interne (reportez-vous à la rubrique Configuration par défaut, à la page 97). • Gestion 1/1 (appelée MGMT) : connectez l'interface de gestion 1/1 à votre réseau de gestion et assurez-vous que votre ordinateur de gestion est connecté (ou a accès) au réseau de gestion. L'interface de gestion 1/1 obtient une adresse IP auprès d'un serveur DHCP sur votre réseau de gestion ; si vous utilisez cette interface, vous devez déterminer l'adresse IP attribuée au threat defense pour pouvoir vous connecter à l'adresse IP à partir de votre ordinateur de gestion. Si vous devez modifier l'adresse IP de l'interface de gestion 1/1 par défaut pour configurer une adresse IP statique, vous devez également connecter votre ordinateur de gestion au port de console. Reportez-vous à la rubrique (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande, à la page 102. Étape 3 Connectez le réseau externe à l'interface Ethernet 1/1. Par défaut, l'adresse IP est obtenue via la configuration automatique des adresses IPv4 DHCP et IPv6, mais vous pouvez définir une adresse statique lors de la configuration initiale. Étape 4 Connectez les périphériques internes aux ports de commutateur restants, Ethernet 1/2 à 1/8. Les ports Ethernet 1/7 et 1/8 sont des ports PoE+. Mettre le pare-feu sous tension L'alimentation du système est contrôlée par le cordon d'alimentation. Il n'y a pas de bouton d'alimentation. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Avant de commencer Il est important que vous utilisiez une source d'alimentation fiable pour alimenter votre appareil (à l'aide d'un système d'alimentation sans coupure, par exemple). Une panne de courant sans arrêt préalable peut endommager gravement le système de fichiers. De nombreux processus s'exécutent en arrière-plan en permanence, et une panne de courant ne permet pas l'arrêt normal de votre système. Procédure Étape 1 Raccordez le câble d'alimentation à l'appareil et branchez-le à une prise électrique. L'appareil se met automatiquement sous tension dès que vous le branchez. Étape 2 Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Guide de mise en route de l'appliance Cisco Firepower 1010 100 Déployer Threat Defense avec le Gestionnaire d'appareils (Facultatif) Vérifier le logiciel et installer une nouvelle version Étape 3 Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. (Facultatif) Vérifier le logiciel et installer une nouvelle version Pour vérifier la version du logiciel et, si nécessaire, installer une autre version, procédez comme suit. Nous vous recommandons d'installer votre version cible avant de configurer le pare-feu. Vous pouvez également effectuer une mise à niveau une fois que vous êtes opérationnel, mais la mise à niveau, qui préserve votre configuration, peut prendre plus de temps que cette procédure. Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique https://www.cisco.com/c/en/us/products/collateral/security/firewalls/ bulletin-c25-743178.html ; par exemple, ce bulletin décrit la numérotation des versions à court terme (avec les dernières fonctionnalités), la numérotation des versions à long terme (versions de maintenance et correctifs pour une période plus longue) ou la numérotation des versions à très long terme (versions de maintenance et correctifs pour la période la plus longue, pour la certification gouvernementale). Procédure Étape 1 Connectez-vous à l'interface de ligne de commande. Pour plus d'informations, reportez-vous à la rubrique Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 117. Cette procédure illustre l'utilisation du port de console, mais vous pouvez utiliser SSH si vous le souhaitez. Connectez-vous avec l'utilisateur admin et le mot de passe par défaut, Admin123. Vous vous connectez à la CLI FXOS. Lors de la première connexion, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si vous avez modifié le mot de passe, mais que vous l'avez oublié, vous devez réinitialiser l'appareil pour rétablir le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure pour rétablir les paramètres d'usine. Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 Guide de mise en route de l'appliance Cisco Firepower 1010 101 Déployer Threat Defense avec le Gestionnaire d'appareils (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Étape 2 Dans l'interface de ligne de commande de la console FXOS, affichez la version en cours d'exécution. scope ssa show app-instance Exemple : Firepower# scope ssa Firepower /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- ----------------------------- -----------------ftd 1 Enabled Online 7.2.0.65 7.2.0.65 Not Applicable Étape 3 Si vous souhaitez installer une nouvelle version, procédez comme suit. a) Si vous devez définir une adresse IP statique pour l'interface de gestion, reportez-vous à la rubrique (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande, à la page 102. Par défaut, l'interface de gestion utilise DHCP. Vous devrez télécharger la nouvelle image à partir d'un serveur accessible depuis l'interface de gestion. b) Suivez la procédure de réinstallation du guide de dépannage de la console FXOS. (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande Si vous ne pouvez pas utiliser l'adresse IP de gestion par défaut, vous pouvez vous connecter au port de console et effectuer la configuration initiale à partir de l'interface de ligne de commande, notamment la configuration de l'adresse IP de gestion, de la passerelle et d'autres paramètres réseau de base. Vous pouvez uniquement configurer les paramètres de l'interface de gestion ; vous ne pouvez pas configurer des interfaces internes ou externes (vous pourrez les configurer ultérieurement dans l'interface graphique utilisateur). Guide de mise en route de l'appliance Cisco Firepower 1010 102 Déployer Threat Defense avec le Gestionnaire d'appareils (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande Remarque Vous ne pouvez pas répéter le script de configuration de l'interface de ligne de commande si vous ne supprimez pas la configuration, par exemple, via une réinitialisation. Vous pouvez cependant modifier tous les paramètres ultérieurement dans l'interface de ligne de commande à l'aide des commandes configure network. Reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Procédure Étape 1 Connectez-vous au port de console du threat defense. Pour plus d'informations, reportez-vous à la rubrique Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 117. Connectez-vous avec l'utilisateur admin et le mot de passe par défaut, Admin123. Vous vous connectez à l'interface de ligne de commande de la console FXOS. Lors de la première connexion, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si vous avez modifié le mot de passe, mais que vous l'avez oublié, vous devez reconfigurer l'appareil pour réinitialiser le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure de réinstallation. Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Étape 2 Connectez-vous à l'interface de ligne de commande du threat defense. connect ftd Exemple : firepower# connect ftd > Étape 3 La première fois que vous vous connectez au threat defense, vous êtes invité à accepter le contrat de licence utilisateur final (CLUF) Le script de configuration de la CLI vous est ensuite présenté. Les valeurs par défaut ou les valeurs saisies précédemment apparaissent entre crochets. Pour accepter les valeurs saisies précédemment, appuyez sur la touche Entrée. Guide de mise en route de l'appliance Cisco Firepower 1010 103 Déployer Threat Defense avec le Gestionnaire d'appareils (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande Reportez-vous aux instructions suivantes : • Saisissez la passerelle IPv4 par défaut pour l'interface de gestion : si vous définissez une adresse IP manuelle, spécifiez le paramètre data-interfaces ou l'adresse IP du routeur de passerelle. Le paramètre data-interfaces envoie le trafic de gestion sortant via le fond de panier pour quitter une interface de données. Ce paramètre est utile si vous ne disposez pas d'un réseau de gestion distinct pouvant accéder à Internet. Le trafic provenant de l'interface de gestion inclut l'enregistrement des licences et les mises à jour de la base de données qui nécessitent un accès Internet. Si vous utilisez le paramètre data-interfaces, vous pouvez toujours utiliser le gestionnaire d'appareils (ou SSH) sur l'interface de gestion si vous êtes directement connecté au réseau de gestion, mais pour la gestion à distance de réseaux ou d'hôtes spécifiques, vous devez ajouter une route statique à l'aide de la commande configure network static-routes. Notez que ce paramètre n'a pas d'incidence sur la gestion du gestionnaire d'appareils sur les interfaces de données. Si vous utilisez DHCP, le système utilise la passerelle fournie par DHCP et utilise le paramètre data-interfaces comme méthode de secours si DHCP ne fournit pas de passerelle. • Si vos informations réseau ont changé, vous devrez vous reconnecter : si vous êtes connecté à SSH avec l'adresse IP par défaut, mais que vous modifiez l'adresse IP lors de la configuration initiale, vous êtes déconnecté. Reconnectez-vous en utilisant une nouvelle adresse IP et un nouveau mot de passe. Les connexions de console restent actives. • Gérer l'appareil localement ? : saisissez oui pour utiliser le gestionnaire d'appareils ou le CDO/gestionnaire d'appareils. Une réponse négative signifie que vous avez l'intention d'utiliser le centre de gestion pour gérer l'appareil. Exemple : You must accept the EULA to continue. Press <ENTER> to display the EULA: End User License Agreement [...] Please enter 'YES' or press <ENTER> to AGREE to the EULA: System initialization in progress. Please stand by. You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1 Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Manage the device locally? (yes/no) [yes]: yes > Étape 4 Connectez-vous au gestionnaire d'appareils avec la nouvelle adresse IP de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010 104 Déployer Threat Defense avec le Gestionnaire d'appareils Se connecter au Gestionnaire d'appareils Se connecter au Gestionnaire d'appareils Connectez-vous au gestionnaire d'appareils pour configurer votre threat defense. Avant de commencer • Utilisez une version actuelle de Firefox, Chrome, Safari, Edge ou Internet Explorer. Procédure Étape 1 Saisissez l'URL suivante dans votre navigateur. • (7.0 et versions ultérieures) Interne (Ethernet1/2 à 1/8)—https://192.168.95.1.Vous pouvez vous connecter à l'adresse interne sur n'importe quel port de commutateur interne (Ethernet 1/2 à 1/8). • (6.7 et versions antérieures) Interne (Ethernet1/2 à 1/8)—https://192.168.1.1.Vous pouvez vous connecter à l'adresse interne sur n'importe quel port de commutateur interne (Ethernet 1/2 à 1/8). • (6.6 et versions ultérieures) Gestion—https://ip_gestion. Dans la mesure où l'interface de gestion est un client DHCP, l'adresse IP dépend de votre serveur DHCP. Si vous avez modifié l'adresse IP de gestion lors de la configuration de l'interface de ligne de commande, saisissez cette adresse. • (6.5 et versions antérieures) Gestion—https://192.168.45.45. Si vous avez modifié l'adresse IP de gestion lors de la configuration de l'interface de ligne de commande, saisissez cette adresse. Étape 2 Connectez-vous avec le nom d'utilisateur admin et le mot de passe par défaut Admin123. Que faire ensuite • exécutez l'assistant de configuration de gestionnaire d'appareils ; consultez la rubrique Terminer la configuration initiale, à la page 105. Terminer la configuration initiale Utilisez l'assistant de configuration lors de votre première connexion au gestionnaire d'appareils pour terminer la configuration initiale. Une fois l'assistant de configuration terminé, l'appareil doit être opérationnel et les politiques de base suivantes doivent être en place : • Une interface externe (Ethernet1/1) et une interface interne. Les ports Ethernet 1/2 à 1/8 sont des ports de commutateur sur l'interface VLAN1 interne (6.5 et versions ultérieures) ou des membres du groupe de ponts interne sur BVI1 (6.4). • Des zones de sécurité pour les interfaces internes et externes. • Une règle d'accès approuvant tout le trafic interne vers le trafic externe. • Une règle NAT d'interface qui traduit tout le trafic interne vers le trafic externe en ports uniques sur l'adresse IP de l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010 105 Déployer Threat Defense avec le Gestionnaire d'appareils Terminer la configuration initiale • Un serveur DHCP exécuté sur l'interface interne. Remarque Si vous avez suivi la procédure (Facultatif) Modifier les paramètres du réseau de gestion dans l'interface de ligne de commande, à la page 102, certaines de ces tâches, notamment la modification du mot de passe admin et la configuration des interfaces externe et de gestion, doivent déjà avoir été effectuées. Procédure Étape 1 Vous êtes invité à lire et à accepter le contrat de licence de l'utilisateur final et à modifier le mot de passe admin. Vous devez suivre ces étapes pour continuer. Étape 2 Configurez les options suivantes pour les interfaces externes et de gestion, puis cliquez sur Suivant. Remarque Vos paramètres sont déployés sur l'appareil lorsque vous cliquez sur Suivant. L'interface est nommée « externe » et est ajoutée à la zone de sécurité « zone_externe ». Vérifiez que vos paramètres sont corrects. a) Interface externe : il s'agit du port de données que vous avez connecté au routeur de votre passerelle. Vous ne pouvez pas sélectionner une autre interface externe lors de la configuration initiale de l'appareil. La première interface de données est l'interface externe par défaut. Configurer IPv4 : adresse IPv4 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un masque de sous-réseau et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv4. Vous ne pouvez pas configurer PPPoE à l'aide de l'assistant de configuration. Le protocole PPPoE peut être nécessaire si l'interface est connectée à un modem ADSL, un modem câble ou une autre connexion à votre FAI et que votre FAI utilise PPPoE pour fournir votre adresse IP. Vous pouvez configurer PPPoE après avoir terminé l'assistant. Configurer IPv6 : adresse IPv6 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un préfixe et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv6. b) Interface de gestion Serveurs DNS : serveur DNS pour l'adresse de gestion du système. Saisissez une ou plusieurs adresses de serveurs DNS pour la résolution de noms. La valeur par défaut est Serveurs DNS publics OpenDNS. Si vous modifiez les champs et souhaitez rétablir les paramètres par défaut, cliquez sur Utiliser OpenDNS pour recharger les adresses IP appropriées dans les champs. Nom d'hôte du pare-feu : nom d'hôte de l'adresse de gestion du système. Étape 3 Configurez les paramètres d'heure système et cliquez sur Suivant. a) Fuseau horaire : sélectionnez le fuseau horaire du système. b) Serveur de temps NTP : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes. Étape 4 (facultatif) Configurez les licences Smart du système. Guide de mise en route de l'appliance Cisco Firepower 1010 106 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer l'octroi de licences L'achat d'un appareil threat defense inclut automatiquement une licence de base. Toutes les licences supplémentaires sont facultatives. Vous devez disposer d'un compte de licence Smart pour obtenir et appliquer les licences requises par le système. Pour commencer, vous pouvez utiliser la licence d'évaluation de 90 jours et configurer les licences Smart ultérieurement. Pour enregistrer l'appareil immédiatement, cliquez sur le lien pour vous connecter à votre compte Smart Software Manager et consultez la rubrique Configurer l'octroi de licences, à la page 107. Pour utiliser la licence d'évaluation, sélectionnez Démarrer la période d'évaluation de 90 jours sans inscription. Étape 5 Cliquez sur Terminer. Que faire ensuite • Bien que vous puissiez continuer à utiliser la licence d'évaluation, nous vous recommandons d'enregistrer votre appareil et de le mettre sous licence ; consultez la rubrique Configurer l'octroi de licences, à la page 107. • Vous pouvez également choisir de configurer l'appareil à l'aide de gestionnaire d'appareils ; consultez la rubrique Configurer le pare-feu dans le Gestionnaire d'appareils, à la page 113. Configurer l'octroi de licences Le threat defense utilise l'outil Cisco Smart Software Licensing, qui vous permet d'acheter et de gérer un pool de licences de manière centralisée. Lorsque vous enregistrez le châssis, l'outil Smart Software Manager délivre un certificat d'identification pour établir la communication entre le châssis et Smart Software Manager. Il attribue également le châssis au compte virtuel approprié. Pour une présentation complète de Cisco Licensing, rendez-vous sur cisco.com/go/licensingguide. La licence de base est incluse automatiquement. Les licences Smart ne vous empêchent pas d'utiliser les fonctionnalités que vous n'avez pas encore achetées. Vous pouvez commencer à utiliser une licence immédiatement, à condition d'être enregistré auprès de Smart Software Manager, puis acheter la licence ultérieurement. Cela vous permet de déployer et d'utiliser une fonctionnalité, et d'éviter les retards dus à l'approbation du bon de commande. Consultez les licences suivantes : • Menace : sécurité adaptative et système de prévention des intrusions de nouvelle génération • Malware : protection contre les programmes malveillants • URL : filtrage des URL • RA VPN : AnyConnect Plus, AnyConnect Apex ou AnyConnect VPN uniquement Avant de commencer • Veillez à disposer d'un compte principal sur Smart Software Manager. Guide de mise en route de l'appliance Cisco Firepower 1010 107 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer l'octroi de licences Si vous n'avez pas encore de compte, cliquez sur le lien pour configurer un nouveau compte. Smart Software Manager vous permet de créer un compte principal pour votre entreprise. • Votre compte Smart Software Licensing doit bénéficier de la licence de chiffrement renforcé (3DES/AES) pour utiliser certaines fonctionnalités (activées à l'aide de l'indicateur de conformité d'exportation). Procédure Étape 1 Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le champ de recherche Rechercher des produits et des solutions de Cisco Commerce Workspace. Recherchez les PID de licence suivants : Illustration 27 : Recherche de licences Remarque Si aucun PID n'est renvoyé, vous pouvez l'ajouter manuellement à votre commande. • Combinaison des licences Threat, Malware et URL : • L-FPR1010T-TMC= Lorsque vous ajoutez l'un des PID ci-dessus à votre commande, vous pouvez choisir un abonnement à durée limitée correspondant à l'un des PID suivants : • L-FPR1010T-TMC-1Y • L-FPR1010T-TMC-3Y • L-FPR1010T-TMC-5Y • VPN RA : consultez le Guide d'aide à la commande Cisco AnyConnect. Étape 2 Dans Smart Software Manager, demandez un jeton d'enregistrement pour le compte virtuel auquel vous souhaitez ajouter cet appareil, et copiez-le. a) Cliquez sur Inventaire. b) Dans l'onglet Général, cliquez sur Nouveau jeton. Guide de mise en route de l'appliance Cisco Firepower 1010 108 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer l'octroi de licences c) Dans la boîte de dialogue Créer un jeton d'enregistrement, saisissez les paramètres suivants, puis cliquez sur Créer un jeton : • Description • Délai d'expiration : Cisco recommande de définir un délai de 30 jours. • Autoriser la fonctionnalité de contrôle d'exportation sur les produits enregistrés avec ce jeton : active l'indicateur de conformité d'exportation si vous êtes dans un pays qui autorise un chiffrement renforcé. Vous devez sélectionner cette option maintenant si vous prévoyez d'utiliser cette fonctionnalité. Si vous activez cette fonctionnalité ultérieurement, vous devrez réenregistrer votre appareil avec une nouvelle clé de produit et recharger l'appareil. Si cette option n'est pas disponible, votre compte ne prend pas en charge la fonctionnalité de contrôle d'exportation. Le jeton est ajouté à votre inventaire. d) Cliquez sur l'icône représentant une flèche à droite du jeton pour ouvrir la boîte de dialogue Jeton afin de pouvoir copier l'ID de jeton dans votre presse-papiers. Conservez ce jeton à portée de main pour l'utiliser plus tard dans la procédure d'enregistrement du threat defense. Guide de mise en route de l'appliance Cisco Firepower 1010 109 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer l'octroi de licences Illustration 28 : Afficher le jeton Illustration 29 : Copier le jeton Étape 3 Dans le gestionnaire d'appareils, cliquez sur Appareil, puis, dans le récapitulatif Licence Smart, cliquez sur Afficher la configuration. La page Licence Smart s'affiche. Étape 4 Cliquez sur Enregistrer l'appareil. Suivez ensuite les instructions de la boîte de dialogue Enregistrement de la licence Smart pour coller votre jeton : Guide de mise en route de l'appliance Cisco Firepower 1010 110 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer l'octroi de licences Étape 5 Cliquez sur Enregistrer l'appareil. Vous revenez à la page Licence Smart. Pendant l'enregistrement de l'appareil, le message suivant s'affiche : Une fois l'appareil enregistré et la page actualisée, les informations suivantes s'affichent : Étape 6 Cliquez sur la commande Activer/Désactiver en regard de chaque licence facultative. Guide de mise en route de l'appliance Cisco Firepower 1010 111 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer l'octroi de licences • Activer : enregistre la licence avec votre compte Cisco Smart Software Manager et active les fonctionnalités contrôlées. Vous pouvez maintenant configurer et déployer des politiques contrôlées par la licence. • Désactiver : annule l'enregistrement de la licence avec votre compte Cisco Smart Software Manager et désactive les fonctionnalités contrôlées. Vous ne pouvez pas configurer les fonctionnalités dans de nouvelles politiques, ni déployer des politiques qui utilisent cette fonctionnalité. • Si vous avez activé la licence VPN RA, sélectionnez le type de licence que vous souhaitez utiliser : Plus, Apex, VPN uniquement ou Plus et Apex. Après avoir activé les fonctionnalités, si vous ne disposez pas des licences dans votre compte, le message de non-conformité suivant s'affiche après l'actualisation de la page : Étape 7 Sélectionnez Synchroniser de nouveau la connexion dans la liste déroulante de l'icône d'engrenage pour synchroniser les informations de licence avec Cisco Smart Software Manager. Guide de mise en route de l'appliance Cisco Firepower 1010 112 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer le pare-feu dans le Gestionnaire d'appareils Configurer le pare-feu dans le Gestionnaire d'appareils Consultez les étapes suivantes pour connaître les fonctionnalités supplémentaires que vous souhaitez configurer. Cliquez sur le bouton d'aide (?) sur une page pour obtenir des informations détaillées sur chaque étape. Procédure Étape 1 Si vous souhaitez convertir une interface de groupe de ponts (6.4) ou souhaitez convertir un port de commutateur en interface de pare-feu (6.5 et versions ultérieures), sélectionnez Appareil, puis cliquez sur le lien dans le récapitulatif Interfaces. Cliquez sur l'icône de modification ( et d'autres paramètres. ) de chaque interface pour configurer le mode, et définir l'adresse IP L'exemple suivant configure une interface à utiliser en tant que « zone démilitarisée » (DMZ), dans laquelle vous placez des ressources accessibles au public, par exemple votre serveur web. Lorsque vous avez terminé, cliquez sur Enregistrer. Illustration 30 : Modifier l'interface Étape 2 Si vous avez configuré de nouvelles interfaces, sélectionnez Objets, puis sélectionnez Zones de sécurité dans la table des matières. Guide de mise en route de l'appliance Cisco Firepower 1010 113 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer le pare-feu dans le Gestionnaire d'appareils Modifiez ou créez de nouvelles zones, le cas échéant. Chaque interface doit appartenir à une zone, car vous configurez les politiques en fonction des zones de sécurité, et non des interfaces. Vous ne pouvez pas placer les interfaces dans des zones lors de leur configuration. Vous devez donc toujours modifier les objets de zone après avoir créé de nouvelles interfaces ou modifié l'objectif des interfaces existantes. Dans l'exemple suivant, nous vous expliquons comment créer une nouvelle zone DMZ pour l'interface DMZ. Illustration 31 : Objet de la zone de sécurité Étape 3 Si vous souhaitez que les clients internes utilisent DHCP pour obtenir une adresse IP de l'appareil, sélectionnez Appareil > Paramètres système > Serveur DHCP, puis sélectionnez l'onglet Serveurs DHCP. Un serveur DHCP est déjà configuré pour l'interface interne, mais vous pouvez modifier le pool d'adresses, voire le supprimer. Si vous avez configuré d'autres interfaces internes, il est très fréquent d'installer un serveur DHCP sur ces interfaces. Cliquez sur + pour configurer le serveur et le pool d'adresses pour chaque interface interne. Vous pouvez également ajuster la liste WINS et DNS fournie aux clients dans l'onglet Configuration. Dans l'exemple suivant, nous vous expliquons comment configurer un serveur DHCP sur l'interface interne2 avec le pool d'adresses 192.168.4.50-192.168.4.240. Illustration 32 : Serveur DHCP Étape 4 Sélectionnez Appareil, puis cliquez sur Afficher la configuration (ou sur Créer la première route statique) dans le groupe Routage et configurez une route par défaut. La route par défaut pointe généralement vers le routeur en amont ou le routeur du FAI qui se trouve hors de l'interface externe. Une route IPv4 par défaut est any-ipv4 (0.0.0.0/0), tandis qu'une route IPv6 par défaut est Guide de mise en route de l'appliance Cisco Firepower 1010 114 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer le pare-feu dans le Gestionnaire d'appareils any-ipv6 (::0/0). Créez des routes pour chaque version IP que vous utilisez. Si vous utilisez DHCP pour obtenir une adresse pour l'interface externe, vous disposez peut-être déjà des routes par défaut dont vous avez besoin. Remarque Les routes que vous définissez sur cette page concernent uniquement les interfaces de données. Elles n'ont pas d'impact sur l'interface de gestion. Définissez la passerelle de gestion sur Appareil > Paramètres système > Interface de gestion. L'exemple suivant présente une route par défaut pour IPv4. Dans cet exemple, isp-gateway est un objet réseau qui identifie l'adresse IP de la passerelle du FAI (vous devez obtenir l'adresse de auprès de votre FAI). Vous pouvez créer cet objet en cliquant sur Créer un réseau en bas de la liste déroulante Passerelle. Illustration 33 : Route par défaut Étape 5 Sélectionnez Politiques et configurez les politiques de sécurité du réseau. L'assistant de configuration d'appareils active le flux de trafic entre la zone interne et la zone externe, et la NAT d'interface pour toutes les interfaces lorsqu'elles accèdent à l'interface externe. Même si vous configurez de nouvelles interfaces, si vous les ajoutez à l'objet de la zone interne, la règle de contrôle d'accès les applique automatiquement. Cependant, si vous possédez plusieurs interfaces internes, vous devez disposer d'une règle de contrôle d'accès pour autoriser le flux de trafic d'une zone interne à l'autre. Si vous ajoutez d'autres zones de sécurité, vous devez disposer de règles pour autoriser le trafic vers et depuis ces zones. Il s'agit de vos modifications minimales. En outre, vous pouvez configurer d'autres politiques pour fournir des services supplémentaires et affiner la NAT et les règles d'accès pour obtenir les résultats dont votre organisation a besoin. Vous pouvez configurer les politiques suivantes : • Déchiffrement SSL : si vous souhaitez inspecter les connexions chiffrées (telles que HTTPS) pour détecter les intrusions, les programmes malveillants, etc., vous devez les déchiffrer. Utilisez la politique de décodage SSL pour déterminer les connexions à déchiffrer. Le système chiffre à nouveau la connexion après l'avoir inspectée. • Identité : si vous souhaitez mettre en corrélation l'activité du réseau avec des utilisateurs individuels ou contrôler l'accès au réseau en fonction de l'utilisateur ou du groupe d'utilisateurs, utilisez la politique d'identité pour déterminer l'utilisateur associé à une adresse IP source donnée. Guide de mise en route de l'appliance Cisco Firepower 1010 115 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer le pare-feu dans le Gestionnaire d'appareils • Sécurité adaptative : utilisez la politique Sécurité adaptative pour supprimer rapidement les connexions depuis ou vers les adresses IP ou les URL de la liste noire. Lorsque vous mettez en liste noire les sites malveillants connus, il est inutile de les prendre en compte dans votre politique de contrôle d'accès. Cisco fournit régulièrement des mises à jour des adresses et des URL malveillantes afin que la liste noire Sécurité adaptative se mette à jour dynamiquement. Utilisez des flux pour éviter de modifier la politique en vue d'ajouter ou de supprimer des éléments dans la liste noire. • NAT (traduction d'adresses réseau) : utilisez la politique NAT pour convertir les adresses IP internes en adresses routables externes. • Contrôle d'accès : utilisez la politique de contrôle d'accès pour déterminer les connexions autorisées sur le réseau. Vous pouvez filtrer par zone de sécurité, adresse IP, protocole, port, application, URL, utilisateur ou groupe d'utilisateurs. Vous appliquez également des politiques d'intrusion et de fichiers (programmes malveillants) à l'aide de règles de contrôle d'accès. Utilisez cette politique pour mettre en œuvre le filtrage des URL. • Intrusion : utilisez les politiques d'intrusion pour détecter les menaces connues. Même si vous appliquez des politiques d'intrusion à l'aide de règles de contrôle d'accès, vous pouvez modifier les politiques d'intrusion pour activer ou désactiver sélectivement des règles d'intrusion spécifiques. Dans l'exemple suivant, nous vous expliquons comment autoriser le trafic entre la zone interne et la zone DMZ dans la politique de contrôle d'accès. Dans cet exemple, aucune option n'est définie dans les autres onglets, à l'exception de Journalisation, où l'option À la fin de la connexion est sélectionnée. Illustration 34 : Politique de contrôle d'accès Étape 6 Sélectionnez Appareil, puis cliquez sur Afficher la configuration dans le groupe Mises à jour et configurez les planifications de mises à jour pour les bases de données système. Si vous utilisez des politiques d'intrusion, configurez des mises à jour régulières pour les règles et les bases de données VDB. Si vous utilisez des flux de sécurité adaptative, planifiez la mise à jour de ces flux. Si vous utilisez la géolocalisation dans des politiques de sécurité comme critères de correspondance, planifiez la mise à jour de cette base de données. Étape 7 Cliquez sur le bouton Déployer dans le menu, puis sur le bouton Déployer maintenant ( vos modifications sur l'appareil. Les modifications ne sont pas appliquées sur l'appareil tant que vous ne les déployez pas. Guide de mise en route de l'appliance Cisco Firepower 1010 116 ) pour déployer Déployer Threat Defense avec le Gestionnaire d'appareils Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS Utilisez l'interface de ligne de commande (CLI) pour configurer le système et résoudre les problèmes de base du système. Vous ne pouvez pas configurer les politiques via une session CLI. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console. Vous pouvez également accéder à la CLI FXOS à des fins de dépannage. Remarque Vous pouvez également vous connecter à l'interface de gestion de l'appareil threat defense. Contrairement à une session de console, la session SSH utilise par défaut l'interface de ligne de commande du threat defense, à partir de laquelle vous pouvez vous connecter à la CLI FXOS à l'aide de la commande connect fxos. Vous pourrez ensuite vous connecter à l'adresse sur une interface de données si vous ouvrez l'interface pour les connexions SSH. L'accès SSH aux interfaces de données est désactivé par défaut. Cette procédure décrit l'accès au port de console, qui est défini par défaut sur la CLI FXOS. Procédure Étape 1 Pour vous connecter à l'interface de ligne de commande, connectez votre ordinateur de gestion au port de console. L'appareil Firepower 1000 est livré avec un câble série USB A vers B. Veillez à installer les pilotes série USB nécessaires à votre système d'exploitation (consultez le guide matériel de l'appareil Firepower 1010). Le port de console est défini par défaut sur la CLI FXOS. Utilisez les paramètres série suivants : • 9 600 bauds • 8 bits de données • Aucune parité • 1 bit d'arrêt Vous vous connectez à la CLI FXOS. Connectez-vous à l'interface de ligne de commande à l'aide du nom d'utilisateur admin et du mot de passe que vous avez défini lors de la configuration initiale (la valeur par défaut est Admin123). Exemple : firepower login: admin Password: Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 1 firepower# Étape 2 Accédez à l'interface de ligne de commande du threat defense. connect ftd Exemple : Guide de mise en route de l'appliance Cisco Firepower 1010 117 Déployer Threat Defense avec le Gestionnaire d'appareils Afficher les informations sur le matériel firepower# connect ftd > Après vous être connecté, pour obtenir des informations sur les commandes disponibles dans l'interface de ligne de commande, saisissez help ou ?. Pour plus d'informations sur l'utilisation, reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Étape 3 Pour quitter l'interface de ligne de commande threat defense, saisissez la commande du exit ou logout. Cette commande vous renvoie à l'invite de la CLI FXOS. Pour plus d'informations sur les commandes disponibles dans la CLI FXOS, saisissez ?. Exemple : > exit firepower# Afficher les informations sur le matériel Utilisez l'interface de ligne de commande (CLI) pour afficher des informations sur votre matériel, notamment le modèle de l'appareil, la version du matériel, le numéro de série et les composants du châssis, y compris les modules d'alimentation et les modules réseau. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console ; reportez-vous à la rubrique Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 117. Procédure Étape 1 Pour afficher le modèle matériel de l'appareil, utilisez la commande show model. >show model Exemple : > show model Cisco Firepower 1010 Threat Defense Étape 2 Pour afficher le numéro de série du châssis, utilisez la commande show serial-number. >show serial-number Exemple : > show serial-number JMX1943408S Ces informations figurent également dans le résultat des commandes show version system, show running-config et show inventory. Guide de mise en route de l'appliance Cisco Firepower 1010 118 Déployer Threat Defense avec le Gestionnaire d'appareils Mettre le pare-feu hors tension Étape 3 Pour afficher des informations sur tous les produits Cisco installés sur l'appareil réseau auxquels sont attribués un identifiant de produit (PID), un identifiant de version (VID) et un numéro de série (SN), utilisez la commande show inventory. >show inventory a) À partir de l'interface de ligne de commande du threat defense : Exemple : > show inventory Name: "module 0", DESCR: "Firepower 1010 Appliance, Desktop, 8 GE, 1 MGMT" PID: FPR-1010 , VID: V00 , SN: JMX1943408S b) À partir de l'interface de ligne de commande de FXOS : Exemple : firepower /chassis # show inventory Chassis PID Vendor Serial (SN) HW Revision ---------- --------------- ----------------- ----------- ----------1 FPR-1010 Cisco Systems, In JMX1943408S 0.3 Mettre le pare-feu hors tension Il est important que vous arrêtiez correctement votre système. Il ne suffit pas de débrancher le câble d'alimentation, car vous risquez d'endommager gravement le système de fichiers. N'oubliez pas que de nombreux processus s'exécutent en arrière-plan en permanence, et que débrancher ou couper l'alimentation ne permet pas un arrêt normal de votre système de pare-feu. Le châssis initial de l'appareil Firepower 1010 ne possède pas d'interrupteur d'alimentation.Vous pouvez mettre le pare-feu hors tension à l'aide de gestionnaire d'appareils ou utiliser l'interface de ligne de commande de FXOS. Mettre le pare-feu hors tension à l'aide du Gestionnaire d'appareils Vous pouvez arrêter votre système correctement à l'aide du gestionnaire d'appareils. Procédure Étape 1 Utilisez le gestionnaire d'appareils pour arrêter le pare-feu. Remarque Pour les versions 6.4 et antérieures, saisissez la commande shutdown dans l'interface de ligne de commande du gestionnaire d'appareils. a) Cliquez sur Appareil, puis cliquez sur le lien Paramètres système > Redémarrage/Arrêt. b) Cliquez sur Arrêter. Étape 2 Si vous disposez d'une connexion de console au pare-feu, observez les invites système lorsque le pare-feu s'arrête. L'invite suivante s'affiche : Guide de mise en route de l'appliance Cisco Firepower 1010 119 Déployer Threat Defense avec le Gestionnaire d'appareils Mettre l'appareil hors tension à l'aide de l'interface de ligne de commande System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Si vous ne disposez pas d'une connexion de console, attendez environ 3 minutes pour vous assurer que le système s'est éteint. Étape 3 Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Mettre l'appareil hors tension à l'aide de l'interface de ligne de commande Vous pouvez utiliser l'interface de ligne de commande FXOS pour arrêter le système en toute sécurité et mettre l'appareil hors tension. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console ; reportez-vous à la rubrique Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 117. Procédure Étape 1 Dans la CLI FXOS, connectez-vous à l'interface de gestion locale : firepower # connect local-mgmt Étape 2 Exécutez la commande shutdown : firepower(local-mgmt) # shutdown Exemple : firepower(local-mgmt)# shutdown This command will shutdown the system. Continue? Please enter 'YES' or 'NO': yes INIT: Stopping Cisco Threat Defense......ok Étape 3 Observez les invites du système lorsque le pare-feu s'arrête. L'invite suivante s'affiche : System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Étape 4 Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Et après ? Pour poursuivre la configuration de votre threat defense, consultez les documents disponibles pour votre version logicielle dans Parcourir la documentation de Cisco Firepower. Pour plus d'informations sur l'utilisation du gestionnaire d'appareils, reportez-vous à la rubrique Guide de configuration de Cisco Firepower Threat Defense pour le gestionnaire de périphériques Firepower. Guide de mise en route de l'appliance Cisco Firepower 1010 120 CHAPITRE 5 Déployer Threat Defense avec le CDO Ce chapitre vous concerne-t-il ? Pour connaître tous les systèmes d'exploitation et gestionnaires disponibles, reportez-vous à la rubrique Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ?, à la page 1. Ce chapitre s'adresse aux threat defense qui utilisent le Secure Firewall Management Center cloud de Cisco Defense Orchestrator (CDO). Pour utiliser le CDO avec la fonctionnalité gestionnaire d'appareils, consultez la documentation du CDO. Remarque Le centre de gestion cloud prend en charge threat defense versions 7.2 et ultérieures. Pour les versions antérieures, vous pouvez utiliser la fonctionnalité gestionnaire d'appareils du CDO. Chaque threat defense contrôle, inspecte, surveille et analyse le trafic. Le CDO possède une console de gestion centralisée avec une interface web que vous pouvez utiliser pour effectuer des tâches d'administration et de gestion afin de sécuriser votre réseau local. À propos du pare-feu L'appareil peut exécuter un logiciel threat defense ou un logiciel ASA. Pour basculer entre threat defense et ASA, vous devez reconfigurer l'appareil. Vous devez également recommencer l'installation si vous avez besoin d'une version logicielle différente de celle actuellement installée. Consultez la rubrique Réinstaller Cisco ASA ou Firepower Threat Defense. Le pare-feu exécute un système d'exploitation sous-jacent appelé Système d'exploitation Secure Firewall eXtensible (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense. Déclaration de confidentialité—Le pare-feu ne requiert ni ne collecte activement aucune information permettant de vous identifier. Vous pouvez néanmoins utiliser des informations d'identification personnelle au cours de la configuration, notamment des noms d'utilisateur. Dans ce cas, un administrateur peut accéder à ces informations lors de l'utilisation de la configuration ou de l'utilisation du protocole SNMP. • À propos de la gestion du Threat Defense via le CDO, à la page 122 • Procédure de bout en bout : LTP (Low-Touch Provisioning), à la page 123 • Procédure de bout en bout : assistant d'intégration, à la page 125 • Configuration préalable de l'administrateur central, à la page 127 • Déployer le pare-feu avec la fonction Low-Touch Provisioning, à la page 134 Guide de mise en route de l'appliance Cisco Firepower 1010 121 Déployer Threat Defense avec le CDO À propos de la gestion du Threat Defense via le CDO • Déployer le pare-feu avec l'assistant d'intégration, à la page 138 • Configurer une politique de sécurité de base, à la page 152 • Dépannage et maintenance, à la page 163 • Et après ?, à la page 171 À propos de la gestion du Threat Defense via le CDO Secure Firewall Management Center sur le cloud Le centre de gestion sur le cloud offre de nombreuses fonctions, à l'instar du centre de gestion sur site. Lorsque vous utilisez le CDO en tant que gestionnaire principal, vous ne pouvez utiliser un centre de gestion sur site qu'à des fins d'analyse. Le centre de gestion sur site ne prend pas en charge la configuration ou la mise à niveau des politiques. Méthodes d'intégration du CDO Vous pouvez intégrer un appareil de l'une des manières suivantes : • Exécution de la fonction Low-touch provisioning à l'aide du numéro de série : • Un administrateur du siège central envoie le threat defense à la succursale distante. Aucune configuration préalable n'est requise. Aucune configuration n'est requise sur l'appareil, car la fonction LTP n'est pas disponible sur les appareils préconfigurés. Remarque L'administrateur central peut préenregistrer le threat defense sur le CDO en utilisant le numéro de série du threat defense avant d'envoyer l'appareil à la succursale. • L'administrateur de la succursale raccorde les câbles du threat defense et le met sous tension. • L'administrateur central termine la configuration du threat defense à l'aide du CDO. Vous pouvez également utiliser un numéro de série si vous avez déjà commencé à configurer l'appareil dans le gestionnaire d'appareils, bien que cette méthode ne soit pas abordée dans ce guide. • Assistant d'intégration à l'aide de l'enregistrement de la CLI : utilisez cette méthode manuelle si vous devez effectuer une préconfiguration ou si vous utilisez l'interface d'un gestionnaire que la fonction Low-Touch Provisioning ne prend pas en charge. Interface d'accès du gestionnaire Threat Defense Vous pouvez utiliser l'interface de gestion ou l'interface externe pour accéder au gestionnaire. Toutefois, ce guide couvre uniquement l'accès à l'interface externe. La fonction LTP prend en charge uniquement l'interface externe. L'interface de gestion est une interface spéciale configurée séparément des interfaces de données du threat defense, et possède ses propres paramètres réseau. Les paramètres réseau de l'interface de gestion sont utilisés même si vous activez l'accès au gestionnaire sur une interface de données. L'ensemble du trafic de gestion provient toujours de l'interface de gestion ou est toujours acheminé vers cette interface. Lorsque vous activez l'accès au gestionnaire sur une interface de données, le threat defense transfère le trafic de gestion entrant via Guide de mise en route de l'appliance Cisco Firepower 1010 122 Déployer Threat Defense avec le CDO Procédure de bout en bout : LTP (Low-Touch Provisioning) le fond de panier à l'interface de gestion. Pour le trafic de gestion sortant, l'interface de gestion transfère le trafic via le fond de panier vers l'interface de données. L'accès au gestionnaire à partir d'une interface de données présente les limitations suivantes : • Vous ne pouvez activer l'accès au gestionnaire que sur une seule interface de données physique. Vous ne pouvez pas utiliser de sous-interface ou EtherChannel. • Cette interface ne peut pas être une interface de gestion uniquement. • Mode de pare-feu routé uniquement, à l'aide d'une interface routée. • PPPoE n'est pas pris en charge. Si votre FAI nécessite un protocole PPPoE, vous devrez placer un routeur prenant en charge le protocole PPPoE entre le threat defense et le modem WAN. • L'interface doit se trouver dans le VRF global uniquement. • SSH n'est pas activé par défaut pour les interfaces de données. Vous devrez donc activer SSH ultérieurement avec le centre de gestion. Étant donné que la passerelle de l'interface de gestion sera remplacée par les interfaces de données, vous ne pouvez pas non plus accéder à l'interface de gestion depuis un réseau distant, sauf si vous ajoutez une route statique pour l'interface de gestion à l'aide de la commande configure network static-routes. Procédure de bout en bout : LTP (Low-Touch Provisioning) Reportez-vous aux tâches suivantes pour déployer le threat defense avec le CDO sur votre châssis à l'aide du provisionnement presque entièrement automatisé. Guide de mise en route de l'appliance Cisco Firepower 1010 123 Déployer Threat Defense avec le CDO Procédure de bout en bout : LTP (Low-Touch Provisioning) Illustration 35 : Procédure de bout en bout : LTP (Low-Touch Provisioning) Cisco Commerce Workspace Obtenir les licences, à la page 127. (Administrateur du CDO) CLI (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 128. (Administrateur du CDO) CDO Se connecter au gestionnaire CDO, à la page 130. (Administrateur du CDO) Tâches des succursales Indiquer le numéro de série du pare-feu à l'administrateur central, à la page 134. (Administrateur de la succursale) Guide de mise en route de l'appliance Cisco Firepower 1010 124 Déployer Threat Defense avec le CDO Procédure de bout en bout : assistant d'intégration Tâches des succursales Installez le pare-feu. Reportez-vous au guide d'installation matérielle. (Administrateur de la succursale) Tâches des succursales Raccorder le pare-feu, à la page 135. (Administrateur de la succursale) Tâches des succursales Mettre le pare-feu sous tension, à la page 136. (Administrateur de la succursale) CDO Intégrer un appareil avec la fonction Low-Touch Provisioning, à la page 137. (Administrateur du CDO) CDO Configurer une politique de sécurité de base, à la page 152. (Administrateur du CDO) Procédure de bout en bout : assistant d'intégration Reportez-vous aux tâches suivantes pour intégrer le threat defense au CDO à l'aide de l'assistant d'intégration. Guide de mise en route de l'appliance Cisco Firepower 1010 125 Déployer Threat Defense avec le CDO Procédure de bout en bout : assistant d'intégration Illustration 36 : Procédure de bout en bout : assistant d'intégration Cisco Commerce Workspace Obtenir les licences, à la page 127. CLI (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 128. CDO Se connecter au gestionnaire CDO, à la page 130. Tâches physiques Installez le pare-feu. Reportez-vous au guide d'installation matérielle. Tâches physiques Raccorder le pare-feu, à la page 138. Tâches physiques Mettre le pare-feu sous tension, à la page 140. CDO Intégrer un appareil avec l'assistant d'intégration, à la page 140. Guide de mise en route de l'appliance Cisco Firepower 1010 126 Déployer Threat Defense avec le CDO Configuration préalable de l'administrateur central Interface de ligne de commande ou Gestionnaire d'appareils CDO • Effectuer la configuration initiale à l'aide de l'interface de ligne de commande, à la page 142. • Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils, à la page 146. Configurer une politique de sécurité de base, à la page 152. Configuration préalable de l'administrateur central Dans cette section, nous vous expliquons comment obtenir des licences de fonctionnalités pour votre pare-feu, comment installer une nouvelle version logicielle avant le déploiement et comment se connecter au CDO. Obtenir les licences Toutes les licences sont fournies au threat defense via le CDO. Vous pouvez éventuellement acheter les licences de fonctionnalités suivantes : • Menace : sécurité adaptative et système de prévention des intrusions de nouvelle génération • Malware : protection contre les programmes malveillants • URL : filtrage des URL • RA VPN : AnyConnect Plus, AnyConnect Apex ou AnyConnect VPN uniquement Pour une présentation complète de Cisco Licensing, rendez-vous sur cisco.com/go/licensingguide. Avant de commencer • Veillez à disposer d'un compte principal sur Smart Software Manager. Si vous n'avez pas encore de compte, cliquez sur le lien pour configurer un nouveau compte. Smart Software Manager vous permet de créer un compte principal pour votre entreprise. • Votre compte Smart Software Licensing doit bénéficier de la licence de chiffrement renforcé (3DES/AES) pour utiliser certaines fonctionnalités (activées à l'aide de l'indicateur de conformité d'exportation). Procédure Étape 1 Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le champ de recherche Rechercher des produits et des solutions de Cisco Commerce Workspace. Recherchez les PID de licence suivants : Guide de mise en route de l'appliance Cisco Firepower 1010 127 Déployer Threat Defense avec le CDO (Facultatif) Vérifier le logiciel et installer une nouvelle version Illustration 37 : Recherche de licences Remarque Si aucun PID n'est renvoyé, vous pouvez l'ajouter manuellement à votre commande. • Combinaison des licences Threat, Malware et URL : • L-FPR1010T-TMC= Lorsque vous ajoutez l'un des PID ci-dessus à votre commande, vous pouvez choisir un abonnement à durée limitée correspondant à l'un des PID suivants : • L-FPR1010T-TMC-1Y • L-FPR1010T-TMC-3Y • L-FPR1010T-TMC-5Y • VPN RA : consultez le Guide d'aide à la commande Cisco AnyConnect. Étape 2 Si cela n'est pas déjà fait, enregistrez le CDO auprès du gestionnaire Smart Software Manager. Pour cela, vous devez générer un jeton d'enregistrement dans Smart Software Manager. Reportez-vous à la documentation du CDO pour obtenir des instructions détaillées. (Facultatif) Vérifier le logiciel et installer une nouvelle version Pour vérifier la version du logiciel et, si nécessaire, installer une autre version, procédez comme suit. Nous vous recommandons d'installer votre version cible avant de configurer le pare-feu. Vous pouvez également effectuer une mise à niveau une fois que vous êtes opérationnel, mais la mise à niveau, qui préserve votre configuration, peut prendre plus de temps que cette procédure. Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique https://www.cisco.com/c/en/us/products/collateral/security/firewalls/ bulletin-c25-743178.html ; par exemple, ce bulletin décrit la numérotation des versions à court terme (avec les dernières fonctionnalités), la numérotation des versions à long terme (versions de maintenance et correctifs pour une période plus longue) ou la numérotation des versions à très long terme (versions de maintenance et correctifs pour la période la plus longue, pour la certification gouvernementale). Avant de commencer Pour la fonction LTP, si vous vous connectez et modifiez le mot de passe, vous désactivez le processus de LTP (Low-Touch Provisioning). Vous ne devez vous connecter et effectuer une réinstallation que si vous Guide de mise en route de l'appliance Cisco Firepower 1010 128 Déployer Threat Defense avec le CDO (Facultatif) Vérifier le logiciel et installer une nouvelle version savez déjà que vous devez modifier la version du logiciel. Si vous êtes connecté et souhaitez restaurer la fonctionnalité de LTP sans installer le logiciel, vous pouvez rétablir les paramètres d'usine. Consultez le Guide de dépannage de la console FXOS. Procédure Étape 1 Mettez le pare-feu sous tension et connectez-vous au port de console. Pour plus d'informations, consultez Mettre le pare-feu sous tension, à la page 140 et Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS, à la page 163. Connectez-vous avec l'utilisateur admin et le mot de passe par défaut, Admin123. Vous vous connectez à la CLI FXOS. Lors de la première connexion, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si vous avez modifié le mot de passe, mais que vous l'avez oublié, vous devez réinitialiser l'appareil pour rétablir le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure pour rétablir les paramètres d'usine. Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Étape 2 Dans l'interface de ligne de commande de la console FXOS, affichez la version en cours d'exécution. scope ssa show app-instance Exemple : Firepower# scope ssa Firepower /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- ----------------------------- -----------------ftd 1 Enabled Online 7.2.0.65 7.2.0.65 Not Applicable Étape 3 Si vous souhaitez installer une nouvelle version, procédez comme suit. Guide de mise en route de l'appliance Cisco Firepower 1010 129 Déployer Threat Defense avec le CDO Se connecter au gestionnaire CDO a) Si vous devez définir une adresse IP statique pour l'interface de gestion, reportez-vous à la rubrique Effectuer la configuration initiale à l'aide de l'interface de ligne de commande, à la page 142. Par défaut, l'interface de gestion utilise DHCP. Vous devrez télécharger la nouvelle image à partir d'un serveur accessible depuis l'interface de gestion. b) Suivez la procédure de réinstallation du guide de dépannage de la console FXOS. Étape 4 Pour la fonction LTP, ne vous connectez pas au pare-feu après la réinstallation ; la connexion démarre la configuration initiale. La fonction LTP est disponible uniquement sur les pare-feu avec de nouvelles installations qui n'ont pas été configurées. Se connecter au gestionnaire CDO Le gestionnaire CDO utilise Cisco Secure Sign-On comme fournisseur d'identité et Duo Security pour l'authentification multifacteur (MFA). Le gestionnaire CDO nécessite une MFA qui fournit une couche de sécurité supplémentaire pour protéger l'identité de vos utilisateurs. L'authentification à deux facteurs, un type de MFA, nécessite deux composants (ou facteurs) pour garantir l'identité des utilisateurs qui se connectent au gestionnaire CDO. Le premier facteur est un nom d'utilisateur et un mot de passe, et le second est un mot de passe à usage unique, qui est généré à la demande par Duo Security. Après avoir établi vos informations d'identification Cisco Secure Sign-On, vous pouvez vous connecter au gestionnaire CDO à partir de votre tableau de bord Cisco Secure Sign-On. Le tableau de bord Cisco Secure Sign-On vous permet également de vous connecter à tous les autres produits Cisco pris en charge. • Si vous disposez d'un compte Cisco Secure Sign-On, passez directement à la rubrique Se connecter au gestionnaire CDO avec Cisco Secure Sign-On, à la page 133. • Si vous ne disposez pas d'un compte Cisco Secure Sign-On, passez à la rubrique Créer un nouveau compte Cisco Secure Sign-On, à la page 130. Créer un nouveau compte Cisco Secure Sign-On Le processus de connexion initiale comprend quatre étapes. Les quatre étapes sont obligatoires. Avant de commencer • Installer Duo Security : nous vous recommandons d'installer l'application Duo Security sur un terminal mobile. Consultez le Guide Duo pour l'authentification à deux facteurs : guide d'inscription si vous avez des questions sur l'installation de Duo. • Synchronisation de l'heure : vous allez utiliser votre terminal mobile pour générer un mot de passe unique. Il est important que l'horloge de votre terminal soit synchronisée avec l'heure réelle, car l'OTP est basé sur le temps. Assurez-vous que l'horloge de votre terminal est correctement réglée. • Utilisez une version actuelle de Firefox ou de Chrome. Guide de mise en route de l'appliance Cisco Firepower 1010 130 Déployer Threat Defense avec le CDO Créer un nouveau compte Cisco Secure Sign-On Procédure Étape 1 Inscrivez-vous pour un nouveau compte Cisco Secure Sign-On. a) Accédez à la page https://sign-on.security.cisco.com. b) En bas de l'écran de connexion, cliquez sur Inscription. Illustration 38 : Inscription à Cisco SSO c) Renseignez les champs de la boîte de dialogue Créer un compte et cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010 131 Déployer Threat Defense avec le CDO Créer un nouveau compte Cisco Secure Sign-On Illustration 39 : Créer le compte Conseil Saisissez l'adresse e-mail que vous prévoyez d'utiliser pour vous connecter à CDO et ajoutez un nom d'organisation correspondant à votre entreprise. d) Après avoir cliqué sur Enregistrer, Cisco vous envoie un e-mail de vérification à l'adresse avec laquelle vous vous êtes enregistré. Ouvrez l'e-mail et cliquez sur Activer le compte. Étape 2 Configurez l'authentification multifacteur à l'aide de Duo. a) Dans l'écran Configurer l'authentification multifacteur, cliquez sur Configurer. b) Cliquez sur Démarrer la configuration et suivez les instructions pour sélectionner un appareil et vérifier s'il est associé à votre compte. Pour en savoir plus, consultez le Guide Duo pour l'authentification à deux facteurs : guide d'inscription. Si l'application Duo est déjà installée sur votre appareil, vous recevrez un code d'activation pour ce compte. Duo prend en charge plusieurs comptes sur un seul appareil. c) Au terme de l'assistant, cliquez sur Continuer pour vous connecter. d) Connectez-vous à Cisco Secure Sign-On avec l'authentification à deux facteurs. Étape 3 (facultatif) Configurez Google Authenticator en tant qu'authentificateur supplémentaire. a) Sélectionnez le terminal mobile que vous associez à Google Authenticator, puis cliquez sur Suivant. b) Suivez les instructions de l'assistant de configuration pour configurer Google Authenticator. Étape 4 Configurez les options de récupération du compte pour votre compte Cisco Secure Sign-On. a) b) c) d) Choisissez une question et une réponse en cas de « mot de passe oublié ». Choisissez un numéro de téléphone de récupération pour réinitialiser votre compte par SMS. Sélectionnez une image de sécurité. Cliquez sur Créer mon compte. Guide de mise en route de l'appliance Cisco Firepower 1010 132 Déployer Threat Defense avec le CDO Se connecter au gestionnaire CDO avec Cisco Secure Sign-On Le tableau de bord Cisco Security Sign-On s'affiche avec les vignettes de l'application CDO. Les vignettes d'autres applications s'affichent également. Conseil Vous pouvez déplacer les vignettes vers le tableau de bord pour les classer dans l'ordre de votre choix, créer des onglets pour regrouper les vignettes et les renommer. Illustration 40 : Tableau de bord Cisco SSO Se connecter au gestionnaire CDO avec Cisco Secure Sign-On Connectez-vous au gestionnaire CDO pour intégrer et gérer votre appareil. Avant de commencer Cisco Defense Orchestrator (CDO) utilise Cisco Secure Sign-On comme fournisseur d'identité et Duo Security pour l'authentification multifacteur. • Pour vous connecter à CDO, vous devez tout d'abord créer votre compte dans Cisco Secure Sign-On et configurer l'authentification multifacteur à l'aide de Duo ; consultez la rubrique Créer un nouveau compte Cisco Secure Sign-On, à la page 130. • Utilisez une version actuelle de Firefox ou de Chrome. Procédure Étape 1 Dans un navigateur web, accédez à https://sign-on.security.cisco.com/. Étape 2 Saisissez votre nom d'utilisateur et votre mot de passe. Étape 3 Cliquez sur Log in. Étape 4 Recevez un autre facteur d'authentification avec Duo Security et confirmez votre connexion. Le système confirme votre connexion et affiche le tableau de bord Cisco Secure Sign-On. Étape 5 Cliquez sur la vignette CDO appropriée dans le tableau de bord Cisco Secure Sign-on. La vignette CDO vous dirige vers https://defenseorchestrator.com, la vignette CDO (UE) vers https://defenseorchestrator.eu et la vignette CDO (APJC) vers https://www.apj.cdo.cisco.com. Guide de mise en route de l'appliance Cisco Firepower 1010 133 Déployer Threat Defense avec le CDO Déployer le pare-feu avec la fonction Low-Touch Provisioning Illustration 41 : Tableau de bord Cisco SSO Étape 6 Cliquez sur le logo de l'authentificateur pour sélectionner Duo Security ou Google Authenticator, si vous avez configuré les deux authentificateurs. • Si vous possédez déjà un enregistrement utilisateur sur un locataire existant, vous êtes connecté à ce locataire. • Si vous possédez déjà un enregistrement utilisateur sur plusieurs locataires, vous pouvez choisir le locataire CDO auquel vous connecter. • Si vous ne disposez pas déjà d'un enregistrement utilisateur sur un locataire existant, vous pouvez en savoir plus sur le gestionnaire CDO ou solliciter un compte d'essai. Déployer le pare-feu avec la fonction Low-Touch Provisioning Une fois que vous avez reçu le pare-feu threat defense du siège social, il vous suffit de le raccorder et de le mettre sous tension en vue de le connecter à Internet depuis l'interface externe. L'administrateur central peut alors terminer la configuration. Indiquer le numéro de série du pare-feu à l'administrateur central Avant de monter en rack le pare-feu ou de jeter l'emballage, notez le numéro de série afin de pouvoir vous coordonner avec l'administrateur central. Procédure Étape 1 Déballez le châssis et ses composants. Faites l'inventaire de votre pare-feu et de son emballage avant de raccorder les câbles ou de mettre le pare-feu sous tension. Vous devez également vous familiariser avec la disposition du châssis, les composants et les voyants. Étape 2 Notez le numéro de série du pare-feu. Il se trouve sur le coffret de livraison. Il se trouve également sur un autocollant sur la partie inférieure du châssis du pare-feu. Guide de mise en route de l'appliance Cisco Firepower 1010 134 Déployer Threat Defense avec le CDO Raccorder le pare-feu Étape 3 Envoyez le numéro de série du pare-feu à l'administrateur réseau du CDO de votre service informatique/siège. Votre administrateur réseau doit disposer du numéro de série de votre pare-feu pour activer la fonction LTP (Low-Touch Provisioning), se connecter au pare-feu et le configurer à distance. Contactez l'administrateur du CDO pour établir un calendrier d'intégration. Raccorder le pare-feu Dans cette rubrique, nous vous expliquons comment connecter l'appareil Firepower 1010 à votre réseau afin qu'un CDO puisse le gérer à distance. Si vous avez reçu un pare-feu dans votre succursale et que vous devez le brancher sur votre réseau, regardez cette vidéo. Elle décrit votre pare-feu, ainsi que les séquences de voyants qui indiquent l'état du pare-feu. Si nécessaire, vous pouvez vérifier l'état du pare-feu auprès de votre service informatique en observant les voyants. Illustration 42 : Raccorder le Firepower 1010 La fonction LTP prend en charge la connexion au CDO via Ethernet 1/1 (externe). Remarque Les interfaces Ethernet 1/2 à 1/8 sont configurées en tant que ports de commutateur matériels ; PoE+ est également disponible sur Ethernet 1/7 et 1/8. Guide de mise en route de l'appliance Cisco Firepower 1010 135 Déployer Threat Defense avec le CDO Mettre le pare-feu sous tension Procédure Étape 1 Installez le châssis. Reportez-vous au guide d'installation matérielle. Étape 2 Connectez le câble réseau de l'interface Ethernet 1/1 à votre modem de réseau étendu (WAN). Votre modem WAN établit la connexion Internet dans votre succursale et sert également de route vers Internet à votre pare-feu. Étape 3 Raccordez vos terminaux internes aux ports de commutateur, Ethernet 1/2 à 1/8. Les ports Ethernet 1/7 et 1/8 sont des ports PoE+. Étape 4 (facultatif) Connectez l'ordinateur de gestion au port de console. Dans la succursale, la connexion à la console n'est pas nécessaire pour une utilisation quotidienne ; elle peut cependant être nécessaire à des fins de dépannage. Mettre le pare-feu sous tension L'alimentation du système est contrôlée par le cordon d'alimentation. Il n'y a pas de bouton d'alimentation. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Procédure Étape 1 Raccordez le câble d'alimentation à l'appareil et branchez-le à une prise électrique. L'appareil se met automatiquement sous tension dès que vous le branchez. Étape 2 Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Étape 3 Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. Étape 4 Observez le voyant d'état à l'arrière ou en haut de l'appareil ; lorsque l'appareil démarre correctement, le voyant d'état clignote rapidement en vert. Guide de mise en route de l'appliance Cisco Firepower 1010 136 Déployer Threat Defense avec le CDO Intégrer un appareil avec la fonction Low-Touch Provisioning En cas de problème, le voyant d'état clignote rapidement en orange. Le cas échéant, contactez votre service informatique. Étape 5 Observez le voyant d'état à l'arrière ou en haut de l'appareil ; lorsque l'appareil se connecte au cloud Cisco, le voyant d'état clignote lentement en vert. En cas de problème, le voyant d'état clignote en orange et en vert, ce qui signifie que l'appareil ne s'est pas connecté au cloud Cisco. Le cas échéant, assurez-vous que votre câble réseau est connecté à l'interface Ethernet 1/1 et à votre modem WAN. Si, après avoir ajusté le câble réseau, l'appareil ne se connecte toujours pas au cloud Cisco après environ 10 minutes supplémentaires, contactez votre service informatique. Que faire ensuite • Contactez votre service informatique pour confirmer votre calendrier d'intégration et vos activités. Vous devez mettre en place un plan de communication avec l'administrateur du CDO de votre siège central. • Une fois cette tâche terminée, l'administrateur du CDO pourra configurer et gérer l'appareil à distance. Vous avez terminé. Intégrer un appareil avec la fonction Low-Touch Provisioning Intégrez le threat defense à l'aide de la fonction LTP (Low-Touch Provisioning) et du numéro de série. Procédure Étape 1 Dans le volet de navigation CDO, cliquez sur Inventaires, cliquez sur le bouton Plus bleu ( l'appareil. Étape 2 Sélectionnez la vignette FTD. Étape 3 Sous Mode de gestion, assurez-vous que FTD est sélectionné. ) pour intégrer À tout moment après avoir sélectionné FTD comme mode de gestion, vous pouvez cliquer sur Gérer la licence Smart pour enregistrer ou modifier les licences Smart existantes disponibles pour votre périphérique. Reportez-vous à la rubrique Obtenir les licences, à la page 127 pour connaître les licences disponibles. Étape 4 Sélectionnez Utiliser le numéro de série comme méthode d'intégration. Illustration 43 : Utiliser le numéro de série Guide de mise en route de l'appliance Cisco Firepower 1010 137 Déployer Threat Defense avec le CDO Déployer le pare-feu avec l'assistant d'intégration Étape 5 Dans la zone Connexion, saisissez le numéro de série et le nom de l'appareil, puis cliquez sur Suivant. Étape 6 Dans la zone Réinitialisation du mot de passe, cliquez sur la case d'option Oui, ce nouvel appareil n'a jamais été connecté ou configuré pour un gestionnaire, puis cliquez sur Suivant. Étape 7 Utilisez le menu déroulant de la zone Affectation de politique pour choisir une politique de contrôle d'accès pour l'appareil. Si aucune politique n'est configurée, choisissez la politique de contrôle d'accès par défaut. Étape 8 Pour la Licence d'abonnement, cochez la case en regard de chaque fonctionnalité que vous souhaitez activer. Cliquez sur Next (Suivant). Étape 9 (facultatif) Ajoutez des étiquettes à votre appareil pour trier et filtrer la page Inventaire. Saisissez une étiquette et cliquez sur le bouton bleu Plus ( CDO. ). Les étiquettes sont appliquées à l'appareil après son intégration au Que faire ensuite Sur la page Inventaire, sélectionnez l'appareil que vous venez d'intégrer et sélectionnez l'une des options répertoriées sous le volet Gestion situé à droite. Déployer le pare-feu avec l'assistant d'intégration Dans cette section, nous vous expliquons comment configurer le pare-feu en vue de l'intégrer à l'aide de l'assistant d'intégration du CDO. Raccorder le pare-feu Dans cette rubrique, nous vous expliquons comment connecter l'appareil Firepower 1010 à votre réseau afin qu'un CDO puisse le gérer à distance. Guide de mise en route de l'appliance Cisco Firepower 1010 138 Déployer Threat Defense avec le CDO Raccorder le pare-feu Illustration 44 : Raccorder le Firepower 1010 Vous pouvez vous connecter au CDO sur l'interface externe ou l'interface de gestion, selon l'interface que vous avez configurée pour l'accès du gestionnaire lors de la configuration initiale. Ce guide présente l'interface externe. Remarque Les interfaces Ethernet 1/2 à 1/8 sont configurées en tant que ports de commutateur matériels ; PoE+ est également disponible sur Ethernet 1/7 et 1/8. Procédure Étape 1 Installez le châssis. Reportez-vous au guide d'installation matérielle. Étape 2 Connectez l'interface externe (Ethernet 1/1) à votre routeur externe. Vous pouvez également utiliser l'interface de gestion pour l'accès au gestionnaire. Notez toutefois que ce guide couvre principalement l'accès aux interfaces externes, scénario le plus probable pour les succursales distantes. Étape 3 Raccordez vos terminaux internes aux ports de commutateur, Ethernet 1/2 à 1/8. Les ports Ethernet 1/7 et 1/8 sont des ports PoE+. Étape 4 Connectez l'ordinateur de gestion au port de console ou à une interface interne. Guide de mise en route de l'appliance Cisco Firepower 1010 139 Déployer Threat Defense avec le CDO Mettre le pare-feu sous tension Si vous effectuez la configuration initiale à l'aide de l'interface de ligne de commande, vous devrez vous connecter au port de console. Le port de console peut également être requis à des fins de dépannage. Si vous effectuez la configuration initiale à l'aide du gestionnaire d'appareils, connectez-vous à une interface interne. Mettre le pare-feu sous tension L'alimentation du système est contrôlée par le cordon d'alimentation. Il n'y a pas de bouton d'alimentation. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Avant de commencer Il est important que vous utilisiez une source d'alimentation fiable pour alimenter votre appareil (à l'aide d'un système d'alimentation sans coupure, par exemple). Une panne de courant sans arrêt préalable peut endommager gravement le système de fichiers. De nombreux processus s'exécutent en arrière-plan en permanence, et une panne de courant ne permet pas l'arrêt normal de votre système. Procédure Étape 1 Raccordez le câble d'alimentation à l'appareil et branchez-le à une prise électrique. L'appareil se met automatiquement sous tension dès que vous le branchez. Étape 2 Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Étape 3 Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. Intégrer un appareil avec l'assistant d'intégration Intégrez le threat defense à l'aide de l'assistant d'intégration du CDO avec une clé d'enregistrement de la CLI. Guide de mise en route de l'appliance Cisco Firepower 1010 140 Déployer Threat Defense avec le CDO Intégrer un appareil avec l'assistant d'intégration Procédure Étape 1 Dans le volet de navigation CDO, cliquez sur Inventaires, cliquez sur le bouton Plus bleu ( l'appareil. Étape 2 Sélectionnez la vignette FTD. Étape 3 Sous Mode de gestion, assurez-vous que FTD est sélectionné. ) pour intégrer À tout moment après avoir sélectionné FTD comme mode de gestion, vous pouvez cliquer sur Gérer la licence Smart pour enregistrer ou modifier les licences Smart existantes disponibles pour votre périphérique. Reportez-vous à la rubrique Obtenir les licences, à la page 127 pour connaître les licences disponibles. Étape 4 Sélectionnez Utiliser la clé d'enregistrement de la CLI comme méthode d'intégration. Illustration 45 : Utiliser la clé d'enregistrement de la CLI Étape 5 Saisissez le nom de l'appareil et cliquez sur Suivant. Étape 6 Utilisez le menu déroulant de la zone Affectation de politique pour choisir une politique de contrôle d'accès pour l'appareil. Si aucune politique n'est configurée, choisissez la politique de contrôle d'accès par défaut. Étape 7 Pour la licence d'abonnement, cliquez sur la case d'option Appareil FTD physique, puis cochez chaque licence de fonctionnalité que vous souhaitez activer. Cliquez sur Next (Suivant). Étape 8 Pour la clé d'enregistrement de la CLI, le CDO génère une commande avec la clé d'enregistrement et d'autres paramètres. Vous devez copier cette commande et l'utiliser dans la configuration initiale du threat defense. configure manager add cdo_hostname registration_key nat_id display_name Finalisez la configuration initiale sur l'interface de ligne de commande ou à l'aide du gestionnaire d'appareils : • Effectuer la configuration initiale à l'aide de l'interface de ligne de commande, à la page 142 : copiez cette commande dans l'interface de ligne de commande du FTD après avoir terminé le script de démarrage. • Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils, à la page 146 : copiez les parties cdo_hostname, registration_key et nat_id de la commande dans les champs Nom d'hôte/adresse IP du centre de gestion/CDO, Clé d'enregistrement du centre de gestion/CDO et ID NAT. Exemple : Exemple de commande pour la configuration de la CLI : configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com Exemples de composants de commande pour la configuration de l'interface graphique utilisateur : Guide de mise en route de l'appliance Cisco Firepower 1010 141 Déployer Threat Defense avec le CDO Effectuer la configuration initiale Illustration 46 : configurer l'ajout de composants de commande du gestionnaire Étape 9 Cliquez sur Suivant dans l'assistant d'intégration pour commencer à enregistrer l'appareil. Étape 10 (facultatif) Ajoutez des étiquettes à votre appareil pour trier et filtrer la page Inventaire. Saisissez une étiquette et cliquez sur le bouton bleu Plus ( CDO. ). Les étiquettes sont appliquées à l'appareil après son intégration au Que faire ensuite Sur la page Inventaire, sélectionnez l'appareil que vous venez d'intégrer et sélectionnez l'une des options répertoriées sous le volet Gestion situé à droite. Effectuer la configuration initiale Effectuez la configuration initiale du threat defense à l'aide de l'interface de ligne de commande ou du gestionnaire d'appareils. Effectuer la configuration initiale à l'aide de l'interface de ligne de commande Connectez-vous à l'interface de ligne de commande du threat defense pour effectuer la configuration initiale. Lorsque vous utilisez l'interface de ligne de commande pour procéder à la configuration initiale, seuls les paramètres de l'interface de gestion ou de l'interface d'accès au gestionnaire sont conservés. Lorsque vous procédez à la configuration initiale à l'aide du gestionnaire d'appareils, toutes les configurations d'interface effectuées dans le gestionnaire d'appareils sont conservées lorsque vous passez au CDO pour la gestion, en plus des paramètres d'interface de gestion et d'accès du gestionnaire. Notez que les autres paramètres de configuration par défaut, tels que la politique de contrôle d'accès, ne sont pas conservés. Procédure Étape 1 Connectez-vous à l'interface de ligne de commande du threat defense sur le port de console. Le port de console se connecte à l'interface de ligne de commande de FXOS. Étape 2 Connectez-vous avec le nom d'utilisateur admin et le mot de passe Admin123. Lors de la première connexion à FXOS, vous êtes invité à modifier le mot de passe par défaut. Ce mot de passe est également utilisé pour la connexion au threat defense pour SSH. Remarque Si le mot de passe a déjà été modifié et que vous ne le connaissez pas, vous devez reconfigurer l'appareil pour réinitialiser le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure de réinstallation. Guide de mise en route de l'appliance Cisco Firepower 1010 142 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide de l'interface de ligne de commande Exemple : firepower login: admin Password: Admin123 Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Étape 3 Connectez-vous à l'interface de ligne de commande du threat defense. connect ftd Exemple : firepower# connect ftd > Étape 4 La première fois que vous vous connectez au threat defense, vous êtes invité à accepter le contrat de licence utilisateur final (CLUF). Vous accédez ensuite au script de configuration de l'interface de ligne de commande pour les paramètres de l'interface de gestion. Les paramètres de l'interface de gestion sont utilisés même si vous activez l'accès au gestionnaire sur une interface de données. Remarque Vous ne pouvez pas répéter l'assistant de configuration de la CLI à moins d'avoir effacé la configuration, par exemple, via une réinitialisation. Vous pouvez cependant modifier tous les paramètres ultérieurement dans l'interface de ligne de commande à l'aide des commandes configure network. Reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Les valeurs par défaut ou les valeurs saisies précédemment apparaissent entre crochets. Pour accepter les valeurs saisies précédemment, appuyez sur la touche Entrée. Reportez-vous aux instructions suivantes : • Configurer IPv4 via DHCP ou manuellement ?—Sélectionnez manuel. Même si vous n'avez pas l'intention d'utiliser l'interface de gestion, vous devez définir une adresse IP, par exemple une adresse privée. Vous ne pouvez pas configurer une interface de données pour la gestion si l'interface de gestion est définie sur DHCP, car la route par défaut, qui doit être data-interfaces (reportez-vous au point suivant), peut être remplacée par une autre envoyée par le serveur DHCP. • Saisissez la passerelle IPv4 par défaut pour l'interface de gestion : définissez la passerelle sur data-interfaces. Ce paramètre transfère le trafic de gestion sur le fond de panier afin qu'il puisse être acheminé via l'interface de données d'accès au gestionnaire. • Gérer l'appareil localement ? : saisissez non pour utiliser le CDO. Si vous saisissez oui, vous utilisez le gestionnaire d'appareils. Guide de mise en route de l'appliance Cisco Firepower 1010 143 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide de l'interface de ligne de commande • Configurer le mode pare-feu ? : saisissez routé. L'accès au gestionnaire externe est uniquement pris en charge en mode pare-feu routé. Exemple : You must accept the EULA to continue. Press <ENTER> to display the EULA: End User License Agreement [...] Please enter 'YES' or press <ENTER> to AGREE to the EULA: System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: ******** Confirm new password: ******** You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Manage the device locally? (yes/no) [yes]: no Configure firewall mode? (routed/transparent) [routed]: Configuring firewall mode ... Update policy deployment information - add device configuration - add network discovery - add system policy You can register the sensor to a Firepower Management Center and use the Firepower Management Center to manage it. Note that registering the sensor to a Firepower Management Center disables on-sensor Firepower Services management capabilities. When registering the sensor to a Firepower Management Center, a unique alphanumeric registration key is always required. In most cases, to register a sensor to a Firepower Management Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname | ip address ] [registration key ]' However, if the sensor and the Firepower Management Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]' Later, using the web interface on the Firepower Management Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Firepower Management Center. > Étape 5 Configurez l'interface externe pour l'accès au gestionnaire. configure network management-data-interface Guide de mise en route de l'appliance Cisco Firepower 1010 144 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide de l'interface de ligne de commande Vous êtes ensuite invité à configurer les paramètres réseau de base de l'interface externe. Consultez les informations suivantes pour utiliser cette commande : • L'interface de gestion ne peut pas utiliser DHCP si vous souhaitez utiliser une interface de données pour la gestion. Si vous n'avez pas défini l'adresse IP manuellement lors de la configuration initiale, vous pouvez la définir à l'aide de la commande configure network {ipv4 | ipv6} manual. Si vous n'avez pas encore défini la passerelle d'interface de gestion sur data-interfaces, cette commande la définit maintenant. • Lorsque vous ajoutez le threat defense au CDO, celui-ci détecte et conserve la configuration de l'interface, notamment les paramètres suivants : nom et adresse IP de l'interface, route statique vers la passerelle, serveurs DNS et serveur DDNS. Pour en savoir plus sur la configuration du serveur DNS, reportez-vous à la rubrique ci-dessous. Dans le CDO, vous pouvez modifier ultérieurement la configuration de l'interface d'accès FMC, mais assurez-vous de ne pas apporter de modifications susceptibles d'empêcher le threat defense ou le CDO de rétablir la connexion de gestion. Si la connexion de gestion est interrompue, le threat defense inclut la commande configure policy rollback permettant de restaurer le déploiement précédent. • Si vous configurez une URL de mise à jour du serveur DDNS, le threat defense ajoute automatiquement des certificats pour toutes les autorités de certification principales du bundle Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/). • Cette commande définit le serveur DNS de l'interface de données. Le serveur DNS de gestion que vous avez défini avec le script de configuration (ou à l'aide de la commande configure network dns servers) est utilisé pour le trafic de gestion. Le serveur DNS de données est utilisé pour le DDNS (s'il est configuré) ou pour les politiques de sécurité appliquées à cette interface. Sur le CDO, les serveurs DNS de l'interface de données sont configurés dans la politique Paramètres de la plateforme que vous attribuez à ce threat defense. Lorsque vous ajoutez le threat defense au CDO, le paramètre local est conservé et les serveurs DNS ne sont pas ajoutés à une politique Paramètres de la plateforme. Toutefois, si vous attribuez ultérieurement une politique Paramètres de la plateforme au threat defense qui inclut une configuration DNS, cette configuration remplace le paramètre local. Nous vous suggérons de configurer activement les paramètres de la plateforme DNS pour qu'ils correspondent à ce paramètre afin de synchroniser le CDO et le threat defense. En outre, les serveurs DNS locaux ne sont conservés par le CDO que si les serveurs DNS ont été détectés lors de l'enregistrement initial. Par exemple, si vous avez enregistré l'appareil à l'aide de l'interface de gestion, mais que vous avez ensuite configuré une interface de données à l'aide de la commande configure network management-data-interface, vous devez configurer manuellement tous ces paramètres dans le CDO, y compris les serveurs DNS, pour qu'ils correspondent à la configuration du threat defense. • Vous pouvez modifier l'interface de gestion après avoir enregistré le threat defense auprès du CDO, soit en tant qu'interface de gestion, soit en tant qu'interface de données. • Le nom de domaine complet que vous avez défini dans l'assistant de configuration est utilisé pour cette interface. • Vous pouvez effacer la totalité de la configuration de l'appareil via cette commande ; vous pouvez utiliser cette option dans un scénario de récupération, mais nous vous déconseillons de l'utiliser pour la configuration initiale ou le fonctionnement normal. • Pour désactiver la gestion des données, saisissez la commande configure network management-data-interface disable. Guide de mise en route de l'appliance Cisco Firepower 1010 145 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils Exemple : > configure network management-data-interface Data interface to use for management: ethernet1/1 Specify a name for the interface [outside]: IP address (manual / dhcp) [dhcp]: DDNS server update URL [none]: https://deanwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a> Do you wish to clear all the device configuration before applying ? (y/n) [n]: Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. > Exemple : > configure network management-data-interface Data interface to use for management: ethernet1/1 Specify a name for the interface [outside]: internet IP address (manual / dhcp) [dhcp]: manual IPv4/IPv6 address: 10.10.6.7 Netmask/IPv6 Prefix: 255.255.255.0 Default Gateway: 10.10.6.1 Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220 DDNS server update URL [none]: Do you wish to clear all the device configuration before applying ? (y/n) [n]: Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. > Étape 6 Identifiez le CDO qui va gérer ce threat defense à l'aide de la commande configure manager add que le CDO a générée. Reportez-vous à la section Intégrer un appareil avec l'assistant d'intégration, à la page 140 pour générer la commande. Exemple : > configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com Manager successfully configured. Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils Connectez-vous au gestionnaire d'appareils pour effectuer la configuration initiale du threat defense. Lorsque vous effectuez la configuration initiale à l'aide du gestionnaire d'appareils, toutes les configurations d'interface effectuées dans le gestionnaire d'appareils sont conservées lorsque vous passez au CDO pour la gestion, en plus des paramètres d'interface de gestion et d'accès du gestionnaire. Notez que les autres paramètres de Guide de mise en route de l'appliance Cisco Firepower 1010 146 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils configuration par défaut, tels que la politique de contrôle d'accès ou les zones de sécurité, ne sont pas conservés. Lorsque vous utilisez l'interface de ligne de commande, seuls les paramètres de l'interface de gestion et d'accès au gestionnaire sont conservés (par exemple, la configuration par défaut de l'interface interne n'est pas conservée). Procédure Étape 1 Connectez votre ordinateur de gestion à l'une des interfaces suivantes : Ethernet1/2 à 1/8. Étape 2 Connectez-vous au gestionnaire d'appareils. a) Saisissez l'URL suivante dans votre navigateur : https://192.168.95.1 b) Connectez-vous avec le nom d'utilisateur admin et le mot de passe par défaut Admin123. c) Vous êtes invité à lire et à accepter le contrat de licence de l'utilisateur final et à modifier le mot de passe admin. Étape 3 Utilisez l'assistant de configuration lors de votre première connexion au gestionnaire d'appareils pour terminer la configuration initiale. Vous pouvez éventuellement ignorer l'assistant de configuration en cliquant sur Ignorer la configuration de l'appareil au bas de la page. Une fois l'assistant de configuration terminé, outre la configuration par défaut de l'interface interne (Ethernet 1/2 à 1/8, qui sont des ports de commutateur sur le VLAN1), la configuration d'une interface externe (Ethernet 1/1) sera conservée lorsque vous passerez à la gestion du CDO. a) Configurez les options suivantes pour les interfaces externes et de gestion, puis cliquez sur Suivant. 1. Adresse de l'interface externe : cette interface est généralement la passerelle Internet et peut être utilisée comme interface d'accès au gestionnaire. Vous ne pouvez pas sélectionner une autre interface externe lors de la configuration initiale de l'appareil. La première interface de données est l'interface externe par défaut. Si vous souhaitez utiliser une interface différente depuis l'interface externe (ou interne) pour l'accès au gestionnaire, vous devez la configurer manuellement après avoir terminé l'assistant de configuration. Configurer IPv4 : adresse IPv4 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un masque de sous-réseau et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv4. Vous ne pouvez pas configurer PPPoE à l'aide de l'assistant de configuration. Le protocole PPPoE peut être nécessaire si l'interface est connectée à un modem ADSL, un modem câble ou une autre connexion à votre FAI et que votre FAI utilise PPPoE pour fournir votre adresse IP. Vous pouvez configurer PPPoE après avoir terminé l'assistant. Configurer IPv6 : adresse IPv6 de l'interface externe. Vous pouvez utiliser DHCP ou saisir manuellement une adresse IP statique, un préfixe et une passerelle. Vous pouvez également sélectionner Désactivé pour ne pas configurer d'adresse IPv6. 2. Interface de gestion Les paramètres de l'interface de gestion ne sont pas visibles si vous avez effectué la configuration initiale dans l'interface de ligne de commande. Les paramètres de l'interface de gestion sont utilisés même si vous activez l'accès au gestionnaire sur une interface de données. Par exemple, le trafic de gestion acheminé vers le fond de panier via l'interface de données résout les noms de domaine complets à l'aide des serveurs DNS de l'interface de gestion, et non des serveurs DNS de l'interface de données. Guide de mise en route de l'appliance Cisco Firepower 1010 147 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils Serveurs DNS : serveur DNS pour l'adresse de gestion du système. Saisissez une ou plusieurs adresses de serveurs DNS pour la résolution de noms. La valeur par défaut est Serveurs DNS publics OpenDNS. Si vous modifiez les champs et souhaitez rétablir les paramètres par défaut, cliquez sur Utiliser OpenDNS pour recharger les adresses IP appropriées dans les champs. Nom d'hôte du pare-feu : nom d'hôte de l'adresse de gestion du système. b) Configurez les Paramètres relatifs au temps (NTP) et cliquez sur Suivant. 1. Fuseau horaire : sélectionnez le fuseau horaire du système. 2. Serveur de temps NTP : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes. c) Sélectionnez Démarrer la période d'évaluation de 90 jours sans enregistrement. N'enregistrez pas le threat defense auprès de Smart Software Manager ; toutes les licences sont octroyées sur le CDO. d) Cliquez sur Terminer. e) Vous êtes invité à sélectionner Gestion du cloud ou Autonome. Pour le CDO fourni dans le cloud centre de gestion, sélectionnez Autonome, puis J'ai compris. L'option Gestion du cloud concerne les fonctionnalités CDO/FDM existantes. Étape 4 (Peut être obligatoire) Configurez l'interface de gestion. Reportez-vous à l'interface de gestion sur Appareil > Interfaces. La passerelle doit être définie sur les interfaces de données de l'interface de gestion. Par défaut, l'interface de gestion reçoit une adresse IP et une passerelle de DHCP. Si vous ne recevez pas de passerelle de DHCP (par exemple, vous n'avez pas connecté cette interface à un réseau), la passerelle utilise par défaut les interfaces de données et vous n'avez rien à configurer. Si vous avez reçu une passerelle de DHCP, vous devez configurer cette interface avec une adresse IP statique et définir la passerelle sur les interfaces de données. Étape 5 Si vous souhaitez configurer des interfaces supplémentaires, notamment une interface autre que l'interface externe ou interne que vous souhaitez utiliser pour l'accès au gestionnaire sélectionnez Appareil, puis cliquez sur le lien dans le récapitulatif Interfaces. Reportez-vous à la rubrique Configurer le pare-feu dans le Gestionnaire d'appareils, à la page 113 pour plus d'informations sur la configuration des interfaces dans le gestionnaire d'appareils. Les autres configurations du gestionnaire d'appareils ne sont pas conservées lorsque vous enregistrez l'appareil auprès du CDO. Étape 6 Sélectionnez Appareil > Paramètres système > Centre de gestion, et cliquez sur Continuer pour configurer la gestion du centre de gestion. Étape 7 Configurez les détails du centre de gestion/CDO. Guide de mise en route de l'appliance Cisco Firepower 1010 148 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils Illustration 47 : Détails du centre de gestion/CDO a) Pour Connaissez-vous le nom d'hôte ou l'adresse IP du centre de gestion/CDO, cliquez sur Oui. CDO génère la commande configure manager add. Reportez-vous à la section Intégrer un appareil avec l'assistant d'intégration, à la page 140 pour générer la commande. Guide de mise en route de l'appliance Cisco Firepower 1010 149 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils configure manager add cdo_hostname registration_key nat_id display_name Exemple : Illustration 48 : configurer l'ajout de composants de commande du gestionnaire b) Copiez les parties cdo_hostname, registration_key et nat_id de la commande dans les champs Nom d'hôte/adresse IP du Centre de gestion/CDO, Clé d'enregistrement du Centre de gestion/CDO et ID NAT. Étape 8 Configurez la configuration de connectivité. a) Spécifiez le nom d'hôte du FTD. Ce nom de domaine complet sera utilisé pour l'interface externe ou l'interface choisie pour l'interface d'accès au centre de gestion/CDO. b) Spécifiez le groupe de serveurs DNS. Sélectionnez un groupe existant ou créez-en un nouveau. Le groupe DNS par défaut est appelé CiscoUmbrellaDNSServerGroup et inclut les serveurs OpenDNS. Ce paramètre définit le serveur DNS de l'interface de données. Le serveur DNS de gestion que vous avez défini avec l'assistant de configuration est utilisé pour le trafic de gestion. Le serveur DNS de données est utilisé pour le DDNS (s'il est configuré) ou pour les politiques de sécurité appliquées à cette interface. Vous devrez probablement choisir le même groupe de serveurs DNS que celui que vous avez utilisé pour la gestion, car le trafic de gestion et de données atteint le serveur DNS via l'interface externe. Sur le CDO, les serveurs DNS de l'interface de données sont configurés dans la politique Paramètres de la plateforme que vous attribuez à ce threat defense. Lorsque vous ajoutez le threat defense au CDO, le paramètre local est conservé et les serveurs DNS ne sont pas ajoutés à une politique Paramètres de la plateforme. Toutefois, si vous attribuez ultérieurement une politique Paramètres de la plateforme au threat defense qui inclut une configuration DNS, cette configuration remplace le paramètre local. Nous vous suggérons de configurer activement les paramètres de la plateforme DNS pour qu'ils correspondent à ce paramètre afin de synchroniser le CDO et le threat defense. En outre, les serveurs DNS locaux ne sont conservés par le CDO que si les serveurs DNS ont été détectés lors de l'enregistrement initial. c) Pour Interface d'accès au Centre de gestion/CDO, sélectionnez externe. Bien que vous puissiez choisir n'importe quelle interface configurée, dans ce guide nous supposons que vous utilisez une interface externe. Étape 9 Si vous avez choisi une interface de données externe différente, ajoutez une route par défaut. Un message s'affiche vous demandant de vérifier que vous disposez d'une route par défaut via l'interface. Si vous avez choisi une interface extérieure, vous avez déjà configuré cette route dans le cadre de l'assistant de configuration. Si vous avez choisi une autre interface, vous devez configurer manuellement une route par défaut avant de vous connecter au CDO. Reportez-vous à la rubrique Configurer le pare-feu dans le Gestionnaire Guide de mise en route de l'appliance Cisco Firepower 1010 150 Déployer Threat Defense avec le CDO Effectuer la configuration initiale à l'aide du Gestionnaire d'appareils d'appareils, à la page 113 pour plus d'informations sur la configuration des routes statiques dans le gestionnaire d'appareils. Étape 10 Cliquez sur Ajouter une méthode DNS dynamique (DDNS). DDNS garantit que le CDO peut atteindre le threat defense à son nom de domaine complet (FQDN) si l'adresse IP du threat defense change. Accédez à Appareil > Paramètres système > Service DDNS pour configurer DDNS. Si vous configurez DDNS avant d'ajouter le threat defense au CDO, le threat defense ajoute automatiquement des certificats pour toutes les autorités de certification principales du bundle Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/). Étape 11 Cliquez sur Connecter. La boîte de dialogue État de l'enregistrement affiche l'état actuel du commutateur vers le CDO. Après l'étape Sauvegarde des paramètres d'enregistrement du centre de gestion/CDO, accédez au CDO et ajoutez le pare-feu. Si vous souhaitez annuler le basculement vers le CDO, cliquez sur Annuler l'enregistrement. Sinon, ne fermez pas la fenêtre du navigateur gestionnaire d'appareils avant d'avoir terminé l'étape de sauvegarde des paramètres d'enregistrement du centre de gestion/CDO. Dans le cas contraire, le processus sera interrompu et ne reprendra que lorsque vous vous reconnecterez au gestionnaire d'appareils. Si vous restez connecté au gestionnaire d'appareils après l'étape de sauvegarde des paramètres d'enregistrement du centre de gestion/CDO, la boîte de dialogue Connexion réussie avec le centre de gestion ou le CDO s'affiche, après quoi vous êtes déconnecté du gestionnaire d'appareils. Illustration 49 : Connexion réussie Guide de mise en route de l'appliance Cisco Firepower 1010 151 Déployer Threat Defense avec le CDO Configurer une politique de sécurité de base Configurer une politique de sécurité de base Dans cette section, nous vous expliquons comment configurer une politique de sécurité de base avec les paramètres suivants : • Interfaces internes et externes : attribuez une adresse IP statique à l'interface interne. Vous avez configuré les paramètres de base de l'interface externe dans le cadre de la configuration de l'accès du gestionnaire, mais vous devez toujours l'affecter à une zone de sécurité. • Serveur DHCP : utilisez un serveur DHCP sur l'interface interne pour les clients. • NAT : utilisez l'interface PAT sur l'interface externe. • Contrôle d'accès : autorisez le trafic de l'interface interne vers l'interface externe. • SSH : activez SSH sur l'interface d'accès du gestionnaire. Configurer les interfaces Ajoutez l'interface VLAN1 pour les ports de commutateur ou convertissez les ports de commutateur en interfaces de pare-feu, attribuez des interfaces aux zones de sécurité et définissez les adresses IP. En règle générale, vous devez configurer au moins deux interfaces pour qu'un système transmette un trafic significatif. Habituellement, vous disposez d'une interface externe face au routeur en amont ou à Internet, et d'une ou de plusieurs interfaces internes pour les réseaux de votre entreprise. Par défaut, Ethernet1/1 est une interface de pare-feu standard que vous pouvez utiliser à l'extérieur ; les autres interfaces sont des ports de commutateur sur le VLAN 1. Après avoir ajouté l'interface VLAN1, vous pouvez la convertir en interface interne. Vous pouvez également attribuer des ports de commutateur à d'autres VLAN ou convertir des ports de commutateur en interfaces de pare-feu. Un routage de périphérie classique consiste à obtenir l'adresse de l'interface externe via DHCP auprès de votre FAI, pendant que vous définissez des adresses statiques sur les interfaces internes. L'exemple suivant configure une interface interne en mode routé (VLAN1) avec une adresse statique et une interface externe en mode routé à l'aide de DHCP (Ethernet1/1). Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Cliquez sur Interfaces. Guide de mise en route de l'appliance Cisco Firepower 1010 152 ) de l'appareil. Déployer Threat Defense avec le CDO Configurer les interfaces Étape 3 (facultatif) Désactivez le mode de port de commutateur pour l'un des ports de commutateur (Ethernet 1/2 à 1/8) en cliquant sur le curseur dans la colonne SwitchPort pour le désactiver ( Étape 4 ). Activez les ports de commutateur. a) Cliquez sur Modifier ( ) pour le port de commutateur. b) Activez l'interface en cochant la case Activé. c) (facultatif) Modifiez l'ID de VLAN ; la valeur par défaut est 1. Vous devez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajoutez l'interface VLAN interne. a) Cliquez sur Ajouter des interfaces > Interface VLAN. L'onglet Général s'affiche. Guide de mise en route de l'appliance Cisco Firepower 1010 153 Déployer Threat Defense avec le CDO Configurer les interfaces b) Saisissez un nom comportant maximum 48 caractères. Par exemple, nommez l'interface interne. c) Cochez la case Activé. d) Laissez le champ Mode défini sur Aucun. e) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité interne existante ou ajoutez-en une nouvelle en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_interne. Chaque interface doit être affectée à une zone de sécurité et/ou à un groupe d'interfaces. Une interface peut appartenir à une seule zone de sécurité, mais peut également appartenir à plusieurs groupes d'interfaces. Vous appliquez votre politique de sécurité en fonction des zones ou des groupes. Par exemple, vous pouvez attribuer l'interface interne à la zone interne, et l'interface externe à la zone externe. Vous pouvez ensuite configurer votre politique de contrôle d'accès pour que le trafic transite de l'interface interne vers l'interface externe, mais pas de l'interface externe vers l'interface interne. La plupart des politiques ne prennent en charge que les zones de sécurité ; vous pouvez utiliser des zones ou des groupes d'interfaces dans les politiques NAT, les politiques de préfiltre et les politiques QoS. f) Définissez le champ ID de VLAN sur 1. Par défaut, tous les ports de commutateur sont définis sur l'ID de VLAN 1 ; si vous choisissez un autre ID de VLAN, vous devez également modifier chaque port de commutateur pour qu'il corresponde au nouvel ID de VLAN. Vous ne pouvez pas modifier l'ID de VLAN après avoir enregistré l'interface ; l'ID de VLAN est à la fois la balise de VLAN utilisée et l'ID d'interface de votre configuration. g) Cliquez sur l'onglet IPv4 et/ou IPv6. Guide de mise en route de l'appliance Cisco Firepower 1010 154 Déployer Threat Defense avec le CDO Configurer les interfaces • IPv4 : sélectionnez Utiliser l'adresse IP statique dans la liste déroulante, et saisissez une adresse IP et un masque de sous-réseau en notation de barre oblique. Par exemple, saisissez 192.168.1.1/24. • IPv6 : cochez la case Configuration automatique pour la configuration automatique sans état. h) Cliquez sur OK. Étape 6 Cliquez sur Modifier ( ) pour l'interface Ethernet 1/1 que vous souhaitez utiliser comme interface externe. L'onglet Général s'affiche. Vous avez déjà préconfiguré cette interface pour l'accès au gestionnaire, l'interface sera donc déjà nommée, activée et adressée. Vous ne devez modifier aucun de ces paramètres de base, car cela perturberait la connexion de gestion du centre de gestion. Vous devez cependant configurer la zone de sécurité sur cet écran pour les politiques de trafic en transit. a) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_externe. b) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010 155 Déployer Threat Defense avec le CDO Configurer le serveur DHCP Étape 7 Cliquez sur Enregistrer. Configurer le serveur DHCP Activez le serveur DHCP si vous souhaitez que les clients utilisent DHCP pour obtenir des adresses IP à partir du threat defense. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( Étape 2 Sélectionnez DHCP > Serveur DHCP. Étape 3 Sur la page Serveur, cliquez sur Ajouter et configurez les options suivantes : ) de l'appareil. • Interface : sélectionnez l'interface dans la liste déroulante. • Pool d'adresses : définissez la plage d'adresses IP (de la plus faible à la plus élevée) utilisée par le serveur DHCP. La plage d'adresses IP doit se trouver sur le même sous-réseau que l'interface sélectionnée et ne peut pas inclure l'adresse IP de l'interface proprement dite. • Activer le serveur DHCP : activez le serveur DHCP sur l'interface sélectionnée. Étape 4 Cliquez sur OK. Étape 5 Cliquez sur Enregistrer. Configuration du routage NAT Une règle NAT classique convertit les adresses internes en ports sur l'adresse IP de l'interface externe. Ce type de règle NAT est appelé interface PAT (Port Address Translation). Procédure Étape 1 Sélectionnez Appareils > NAT, puis cliquez sur Nouvelle politique > NAT de protection contre les menaces. Étape 2 Donnez un nom à la politique, sélectionnez le ou les appareils que vous souhaitez utiliser, puis cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010 156 Déployer Threat Defense avec le CDO Configuration du routage NAT La politique est ajoutée au centre de gestion. Vous devez quand même ajouter des règles à la politique. Étape 3 Cliquez sur Ajouter une règle. La boîte de dialogue Ajouter une règle NAT apparaît. Étape 4 Configurez les options de règle de base : • Règle NAT : sélectionnez Règle NAT automatique. • Type : choisissez Dynamique. Étape 5 Sur la page Objets d'interface, ajoutez la zone externe de la section Objets d'interface disponibles à la section Objets d'interface de destination. Guide de mise en route de l'appliance Cisco Firepower 1010 157 Déployer Threat Defense avec le CDO Configuration du routage NAT Étape 6 Sur la page Traduction, configurez les options suivantes : • Source d'origine : cliquez sur Ajouter ( (0.0.0.0/0). ) pour ajouter un objet réseau pour tout le trafic IPv4 Remarque Vous ne pouvez pas utiliser l'objet any-ipv4 défini par le système, car les règles NAT automatiques ajoutent la fonction NAT à la définition d'objet et vous ne pouvez pas modifier les objets définis par le système. Guide de mise en route de l'appliance Cisco Firepower 1010 158 Déployer Threat Defense avec le CDO Autoriser le trafic de l'interface interne vers l'interface externe • Source traduite : sélectionnez Adresse IP de l'interface de destination. Étape 7 Cliquez sur Enregistrer pour ajouter la règle. La règle est enregistrée dans la table Règles. Étape 8 Cliquez sur Enregistrer sur la page NAT pour enregistrer vos modifications. Autoriser le trafic de l'interface interne vers l'interface externe Si vous avez créé une politique de contrôle d'accès de base Bloquer tout le trafic lorsque vous avez enregistré le threat defense, vous devez ajouter des règles à la politique pour autoriser le trafic via l'appareil. La procédure suivante ajoute une règle pour autoriser le trafic de la zone interne vers la zone externe. Si vous disposez d'autres zones, veillez à ajouter des règles autorisant le trafic vers les réseaux appropriés. Procédure Étape 1 Sélectionnez Politique > Politique d'accès > Politique d'accès, puis cliquez sur Modifier ( politique de contrôle d'accès attribuée à threat defense. Étape 2 Cliquez sur Ajouter une règle, puis définissez les paramètres suivants : ) pour la • Nom : donnez un nom à cette règle, par exemple interne_vers_externe. • Zones source : sélectionnez la zone interne dans Zones disponibles, puis cliquez sur Ajouter à la source. Guide de mise en route de l'appliance Cisco Firepower 1010 159 Déployer Threat Defense avec le CDO Configurer SSH sur l'interface de données d'accès du gestionnaire • Zones de destination : sélectionnez la zone externe dans Zones disponibles, puis cliquez sur Ajouter à la destination. Laissez les autres paramètres tels quels. Étape 3 Cliquez sur Ajouter. La règle est ajoutée au tableau Règles. Étape 4 Cliquez sur Enregistrer. Configurer SSH sur l'interface de données d'accès du gestionnaire Si vous avez activé l'accès au centre de gestion sur une interface de données, par exemple externe, vous devez activer SSH sur cette interface en suivant cette procédure. Dans cette section, nous vous expliquons comment activer les connexions SSH sur une ou plusieurs interfaces de données sur le threat defense. SSH n'est pas pris en charge par l'interface logique de diagnostic. Remarque SSH est activé par défaut sur l'interface de gestion ; cependant, cet écran n'a pas d'incidence sur l'accès SSH de gestion. L'interface de gestion est distincte des autres interfaces sur l'appareil. Elle permet de configurer et d'enregistrer l'appareil sur le gestionnaire du centre de gestion. SSH pour les interfaces de données partage la liste des utilisateurs internes et externes avec SSH pour l'interface de gestion. D'autres paramètres sont configurés séparément : pour les interfaces de données, activez SSH et accédez aux listes à l'aide de cet écran ; le trafic SSH pour les interfaces de données utilise la configuration de routage standard, et non les routes statiques définies lors de la configuration ou sur l'interface de ligne de commande. Sur l'interface de gestion, pour configurer une liste d'accès SSH, reportez-vous à la commande configure ssh-access-list de la rubrique Référence des commandes pour Secure Firewall Threat Defense. Pour configurer une route statique, consultez la commande configure network static-routes. Par défaut, vous configurez la route par défaut via l'interface de gestion lors de la configuration initiale. Pour utiliser SSH, il n'est pas nécessaire de disposer d'une règle d'accès autorisant l'adresse IP de l'hôte. Vous devez uniquement configurer l'accès SSH conformément à cette section. Vous pouvez uniquement utiliser le protocole SSH pour accéder à une interface accessible ; si votre hôte SSH se trouve sur l'interface externe, vous pouvez uniquement établir une connexion de gestion directement vers l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010 160 Déployer Threat Defense avec le CDO Configurer SSH sur l'interface de données d'accès du gestionnaire L'appareil autorise un maximum de 5 connexions SSH simultanées. Remarque Après trois tentatives infructueuses de connexion à l'interface de ligne de commande via SSH, l'appareil interrompt la connexion SSH. Avant de commencer • Vous pouvez configurer les utilisateurs internes SSH dans l'interface de ligne de commande à l'aide de la commande configure user add. Par défaut, il existe un utilisateur admin pour lequel vous avez configuré le mot de passe lors de la configuration initiale. Vous pouvez également configurer des utilisateurs externes sur LDAP ou RADIUS en configurant l'authentification externe dans les paramètres de la plateforme. • Vous devez disposer d'objets réseau qui définissent les hôtes ou les réseaux autorisés à établir des connexions SSH à l'appareil. Vous pouvez ajouter des objets dans le cadre de cette procédure, mais si vous souhaitez utiliser des groupes d'objets pour identifier un groupe d'adresses IP, assurez-vous que les groupes requis dans les règles existent déjà. Sélectionnez Objets > Gestion des objets pour configurer les objets. Remarque Vous ne pouvez pas utiliser l'objet réseau any fourni par le système. Utilisez plutôt any-ipv4 ou any-ipv6. Procédure Étape 1 Sélectionnez Appareils > Paramètres de la plateforme et créez ou modifiez la politique threat defense. Étape 2 Sélectionnez Secure Shell. Étape 3 Identifiez les interfaces et les adresses IP qui autorisent les connexions SSH. Utilisez ce tableau pour limiter les interfaces qui accepteront les connexions SSH et les adresses IP des clients autorisées à établir ces connexions. Vous pouvez utiliser des adresses réseau plutôt que des adresses IP individuelles. a) Cliquez sur Ajouter pour ajouter une nouvelle règle ou sur Modifier pour modifier une règle. b) Configurez les propriétés de la règle : • Adresse IP : objet ou groupe réseau qui identifie les hôtes ou les réseaux autorisés à établir des connexions SSH. Sélectionnez un objet dans le menu déroulant ou ajoutez un nouvel objet réseau en cliquant sur +. • Zones de sécurité : ajoutez les zones contenant les interfaces sur lesquelles vous autorisez les connexions SSH. Pour les interfaces ne faisant pas partie d'une zone, vous pouvez saisir le nom de l'interface dans le champ situé sous la liste Zone de sécurité sélectionnée, puis cliquer sur Ajouter. Ces règles seront appliquées à un appareil uniquement si celui-ci inclut les interfaces ou les zones sélectionnées. c) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010 161 Déployer Threat Defense avec le CDO Déployer la configuration Étape 4 Cliquez sur Enregistrer. Vous pouvez maintenant accéder à la page Déployer > Déploiement et déployer la politique sur les appareils affectés. Les modifications ne sont pas actives tant que vous ne les avez pas déployées. Déployer la configuration Déployez les modifications de configuration sur le threat defense ; aucune modification n'est active sur l'appareil tant que vous ne l'avez pas déployée. Procédure Étape 1 Cliquez sur Déployer en haut à droite. Illustration 50 : Déployer Étape 2 Cliquez sur Tout déployer pour déployer sur tous les périphériques ou cliquez sur Déploiement avancé pour déployer sur les périphériques sélectionnés. Illustration 51 : Tout déployer Illustration 52 : Déploiement avancé Guide de mise en route de l'appliance Cisco Firepower 1010 162 Déployer Threat Defense avec le CDO Dépannage et maintenance Étape 3 Assurez-vous que le déploiement aboutit. Cliquez sur l'icône en regard du bouton Déployer dans la barre de menus pour afficher l'état des déploiements. Illustration 53 : État du déploiement Dépannage et maintenance Accéder à l'interface de ligne de commande du Threat Defense et de la console FXOS Utilisez l'interface de ligne de commande (CLI) pour configurer le système et résoudre les problèmes de base du système. Vous ne pouvez pas configurer les politiques via une session CLI. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console. Vous pouvez également accéder à la CLI FXOS à des fins de dépannage. Remarque Vous pouvez également vous connecter à l'interface de gestion de l'appareil threat defense. Contrairement à une session de console, la session SSH utilise par défaut l'interface de ligne de commande du threat defense, à partir de laquelle vous pouvez vous connecter à la CLI FXOS à l'aide de la commande connect fxos. Vous pourrez ensuite vous connecter à l'adresse sur une interface de données si vous ouvrez l'interface pour les connexions SSH. L'accès SSH aux interfaces de données est désactivé par défaut. Cette procédure décrit l'accès au port de console, qui est défini par défaut sur la CLI FXOS. Procédure Étape 1 Pour vous connecter à l'interface de ligne de commande, connectez votre ordinateur de gestion au port de console. L'appareil Firepower 1000 est livré avec un câble série USB A vers B. Veillez à installer les pilotes série USB nécessaires à votre système d'exploitation (consultez le guide matériel de l'appareil Firepower 1010). Le port de console est défini par défaut sur la CLI FXOS. Utilisez les paramètres série suivants : • 9 600 bauds Guide de mise en route de l'appliance Cisco Firepower 1010 163 Déployer Threat Defense avec le CDO Résoudre les problèmes de connectivité de gestion sur une interface de données • 8 bits de données • Aucune parité • 1 bit d'arrêt Vous vous connectez à la CLI FXOS. Connectez-vous à l'interface de ligne de commande à l'aide du nom d'utilisateur admin et du mot de passe que vous avez défini lors de la configuration initiale (la valeur par défaut est Admin123). Exemple : firepower login: admin Password: Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 1 firepower# Étape 2 Accédez à l'interface de ligne de commande du threat defense. connect ftd Exemple : firepower# connect ftd > Après vous être connecté, pour obtenir des informations sur les commandes disponibles dans l'interface de ligne de commande, saisissez help ou ?. Pour plus d'informations sur l'utilisation, reportez-vous à la rubrique Référence des commandes pour Secure Firewall Threat Defense. Étape 3 Pour quitter l'interface de ligne de commande threat defense, saisissez la commande du exit ou logout. Cette commande vous renvoie à l'invite de la CLI FXOS. Pour plus d'informations sur les commandes disponibles dans la CLI FXOS, saisissez ?. Exemple : > exit firepower# Résoudre les problèmes de connectivité de gestion sur une interface de données Lorsque vous utilisez une interface de données pour l'accès au gestionnaire au lieu d'utiliser l'interface de gestion dédiée, veillez à modifier les paramètres d'interface et de réseau du threat defense dans le CDO afin de ne pas interrompre la connexion. Si vous modifiez le type d'interface de gestion après avoir ajouté le threat defense au CDO (c'est-à-dire, remplacez l'interface de données par l'interface de gestion, ou vice versa), si les interfaces et les paramètres réseau ne sont pas configurés correctement, vous risquez de perdre la connectivité à l'interface de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010 164 Déployer Threat Defense avec le CDO Résoudre les problèmes de connectivité de gestion sur une interface de données Cette rubrique vous aide à résoudre les problèmes de perte de connectivité à l'interface de gestion. Afficher l'état de connexion de l'interface de gestion Dans le CDO, vérifiez l'état de la connexion de gestion sur la page Appareils > Gestion des appareils > Appareil > Gestion > Détails de l'accès - Détails de configuration > État de connexion. Dans l'interface de ligne de commande du threat defense, saisissez la commande sftunnel-status-brief pour afficher l'état de la connexion de gestion. Vous pouvez également utiliser sftunnel-status pour afficher des informations plus complètes. Reportez-vous à l'exemple de résultat suivant pour une connexion interrompue ; aucune information de connexion de canal homologue et aucune information de pulsation n'est disponible : > sftunnel-status-brief PEER:10.10.17.202 Registration: Completed. Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC Last disconnect time : Mon Jun 15 09:19:09 2020 UTC Last disconnect reason : Both control and event channel connections with peer went down Reportez-vous à l'exemple de résultat suivant pour une connexion active comprenant des informations de canal homologue et de pulsation : > sftunnel-status-brief PEER:10.10.17.202 Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222' Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222' Registration: Completed. IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC Afficher les informations relatives au réseau du threat defense Dans l'interface de ligne de commande du threat defense, affichez les paramètres réseau de l'interface de gestion et d'accès aux données du gestionnaire : show network > show network ===============[ System Information ]=============== Hostname : 5516X-4 DNS Servers : 208.67.220.220,208.67.222.222 Management port : 8305 IPv4 Default route Gateway : data-interfaces IPv6 Default route Gateway : data-interfaces ======================[ br1 ]======================= State : Enabled Link : Up Channels : Management & Events Mode : Non-Autonegotiation MDI/MDIX : Auto/MDIX MTU : 1500 Guide de mise en route de l'appliance Cisco Firepower 1010 165 Déployer Threat Defense avec le CDO Résoudre les problèmes de connectivité de gestion sur une interface de données MAC Address : 28:6F:7F:D3:CB:8D ----------------------[ IPv4 ]---------------------Configuration : Manual Address : 10.99.10.4 Netmask : 255.255.255.0 Gateway : 10.99.10.1 ----------------------[ IPv6 ]---------------------Configuration : Disabled ===============[ Proxy Information ]================ State : Disabled Authentication : Disabled ======[ System Information - Data Interfaces ]====== DNS Servers : Interfaces : GigabitEthernet1/1 ===============[ GigabitEthernet1/1 ]=============== State : Enabled Link : Up Name : outside MTU : 1500 MAC Address : 28:6F:7F:D3:CB:8F ----------------------[ IPv4 ]---------------------Configuration : Manual Address : 10.89.5.29 Netmask : 255.255.255.192 Gateway : 10.89.5.1 ----------------------[ IPv6 ]---------------------Configuration : Disabled Vérifier que le threat defense est enregistré auprès du CDO Dans l'interface de ligne de commande du threat defense, vérifiez que le CDO a bien été enregistré. Notez que cette commande n'affiche pas l'état actuel de la connexion de gestion. show managers > show managers Type Host Display name Identifier Registration Management type : : : : : : Manager account1.app.us.cdo.cisco.com account1.app.us.cdo.cisco.com f7ffad78-bf16-11ec-a737-baa2f76ef602 Completed Configuration Envoyer une requête ping au CDO Dans l'interface de ligne de commande du threat defense, utilisez la commande suivante pour envoyer une requête ping au CDO à partir des interfaces de données : ping cdo_hostname Dans l'interface de ligne de commande du threat defense, utilisez la commande suivante pour envoyer une requête ping au CDO à partir de l'interface de gestion, afin de l'acheminer via le fond de panier aux interfaces de données : ping system cdo_hostname Guide de mise en route de l'appliance Cisco Firepower 1010 166 Déployer Threat Defense avec le CDO Résoudre les problèmes de connectivité de gestion sur une interface de données Capturer les paquets sur l'interface interne du threat defense Dans l'interface de ligne de commande du threat defense, capturez les paquets sur l'interface de fond de panier interne (nlp_int_tap) pour déterminer si des paquets de gestion sont envoyés : capture name interface nlp_int_tap trace detail match ip any any show capturename trace detail Vérifier l'état de l'interface interne, les statistiques et le nombre de paquets Dans l'interface de ligne de commande du threat defense, consultez les informations relatives à l'interface de fond de panier interne, nlp_int_tap : show interace detail > show interface detail [...] Interface Internal-Data0/1 "nlp_int_tap", is up, line protocol is up Hardware is en_vtun rev00, BW Unknown Speed-Capability, DLY 1000 usec (Full-duplex), (1000 Mbps) Input flow control is unsupported, output flow control is unsupported MAC address 0000.0100.0001, MTU 1500 IP address 169.254.1.1, subnet mask 255.255.255.248 37 packets input, 2822 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 pause input, 0 resume input 0 L2 decode drops 5 packets output, 370 bytes, 0 underruns 0 pause output, 0 resume output 0 output errors, 0 collisions, 0 interface resets 0 late collisions, 0 deferred 0 input reset drops, 0 output reset drops input queue (blocks free curr/low): hardware (0/0) output queue (blocks free curr/low): hardware (0/0) Traffic Statistics for "nlp_int_tap": 37 packets input, 2304 bytes 5 packets output, 300 bytes 37 packets dropped 1 minute input rate 0 pkts/sec, 0 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 0 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec Control Point Interface States: Interface number is 14 Interface config status is active Interface state is active Vérifier le routage et la NAT Dans l'interface de ligne de commande du threat defense, vérifiez que la route par défaut (S*) a bien été ajoutée et qu'il existe des règles NAT internes pour l'interface de gestion (nlp_int_tap). show route > show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area Guide de mise en route de l'appliance Cisco Firepower 1010 167 Déployer Threat Defense avec le CDO Résoudre les problèmes de connectivité de gestion sur une interface de données N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is 10.89.5.1 to network 0.0.0.0 S* C L 0.0.0.0 0.0.0.0 [1/0] via 10.89.5.1, outside 10.89.5.0 255.255.255.192 is directly connected, outside 10.89.5.29 255.255.255.255 is directly connected, outside > show nat > show nat Auto NAT Policies (Section 2) 1 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_intf3 interface service tcp 8305 8305 translate_hits = 0, untranslate_hits = 6 2 (nlp_int_tap) to (outside) source static nlp_server_0_ssh_intf3 interface service tcp ssh ssh translate_hits = 0, untranslate_hits = 73 3 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_ipv6_intf3 interface ipv6 service tcp 8305 8305 translate_hits = 0, untranslate_hits = 0 4 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf3 interface translate_hits = 174, untranslate_hits = 0 5 (nlp_int_tap) to (outside) source dynamic nlp_client_0_ipv6_intf3 interface ipv6 translate_hits = 0, untranslate_hits = 0 > Vérifier les autres paramètres Reportez-vous aux commandes suivantes pour vérifier que tous les autres paramètres sont présents. Vous pouvez également consulter la plupart de ces commandes sur la page Appareils > Gestion des appareils > Appareil > Gestion > Accès au gestionnaire - Détails de configuration > Résultat de la CLI du CDO. show running-config sftunnel > show running-config sftunnel sftunnel interface outside sftunnel port 8305 show running-config ip-client > show running-config ip-client ip-client outside show conn address fmc_ip > show conn address 10.89.5.35 5 in use, 16 most used Inspect Snort: preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect TCP nlp_int_tap 10.89.5.29(169.254.1.2):51231 outside bytes 86684, flags UxIO Guide de mise en route de l'appliance Cisco Firepower 1010 168 10.89.5.35:8305, idle 0:00:04, Déployer Threat Defense avec le CDO Rétablir la configuration en cas de déconnexion du CDO TCP nlp_int_tap 10.89.5.29(169.254.1.2):8305 outside bytes 1630834, flags UIO > 10.89.5.35:52019, idle 0:00:02, Rechercher une mise à jour DDNS réussie Dans l'interface de ligne de commande du threat defense, vérifiez que la mise à jour DDNS a réussi : debug ddns > debug ddns DDNS update request = /v3/update?hostname=domain.example.org&myip=209.165.200.225 Successfuly updated the DDNS sever with current IP addresses DDNS: Another update completed, outstanding = 0 DDNS: IDB SB total = 0 Si la mise à jour échoue, utilisez les commandes debug http et debug ssl. Pour les échecs de validation du certificat, vérifiez que les certificats racines sont installés sur l'appareil : show crypto ca certificates trustpoint_name Pour vérifier le fonctionnement du DDNS : show ddns update interface fmc_access_ifc_name > show ddns update interface outside Dynamic DNS Update on outside: Update Method Name Update Destination RBD_DDNS not available Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020 Status : Success FQDN : domain.example.org IP addresses : 209.165.200.225 Consulter les fichiers journaux du CDO Consultez la page https://cisco.com/go/fmc-reg-error. Rétablir la configuration en cas de déconnexion du CDO Si vous utilisez une interface de données sur le threat defense pour l'accès au gestionnaire, et que vous déployez une modification de configuration depuis le CDO ayant une incidence sur la connectivité réseau, vous pouvez rétablir la dernière configuration déployée sur le threat defense afin de restaurer la connectivité de gestion. Vous pouvez ensuite ajuster les paramètres de configuration dans le CDO afin de maintenir et de redéployer la connectivité réseau. Vous pouvez utiliser la fonction de restauration même si aucune perte de connectivité ne se produit, car elle ne se limite pas à cette situation de dépannage. Reportez-vous aux instructions suivantes : • Seul le déploiement précédent est disponible localement sur le threat defense ; vous ne pouvez pas rétablir les déploiements antérieurs. • La restauration s'applique uniquement aux configurations que vous pouvez définir dans le CDO. Par exemple, la restauration ne s'applique à aucune configuration locale liée à l'interface de gestion dédiée, que vous pouvez configurer uniquement sur l'interface de ligne de commande de threat defense. Notez que si vous avez modifié les paramètres de l'interface de données après le dernier déploiement du CDO Guide de mise en route de l'appliance Cisco Firepower 1010 169 Déployer Threat Defense avec le CDO Rétablir la configuration en cas de déconnexion du CDO à l'aide de la commande configure network management-data-interface, puis que vous utilisez la commande de restauration, ces paramètres ne seront pas conservés ; les derniers paramètres déployés sur le CDO seront rétablis. • Il est impossible de restaurer les données de certificat SCEP hors bande qui ont été mises à jour lors du déploiement précédent. • Pendant la restauration, les connexions sont interrompues, car la configuration en cours est supprimée. Procédure Étape 1 Sur l'interface de ligne de commande de threat defense, restaurez la configuration précédente. configure policy rollback Après la restauration, le threat defense informe le CDO que la restauration a réussi. Dans le CDO, l'écran de déploiement affiche une bannière indiquant que la configuration a été restaurée. Remarque Si la restauration échoue et que l'interface de gestion du CDO est restaurée, reportez-vous à la rubrique https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/ 215258-troubleshooting-firepower-threat-defense.html pour connaître les problèmes de déploiement courants. Dans certains cas, la restauration peut échouer après le rétablissement de l'accès de gestion du CDO ; dans ce cas, vous pouvez résoudre les problèmes de configuration du CDO et renouveler le déploiement depuis le CDO. Exemple : Pour le threat defense qui utilise une interface de données pour l'accès du gestionnaire : > configure policy rollback The last deployment to this FTD was on June 1, 2022 and its status was Successful. Do you want to continue [Y/N]? Y Rolling back complete configuration on the FTD. This will take time. ..................... Policy rollback was successful on the FTD. Configuration has been reverted back to transaction id: Following is the rollback summary: ................... .................... > Étape 2 Vérifiez que la connexion de gestion a été rétablie. Dans le CDO, vérifiez l'état de la connexion de gestion sur la page Appareils > Gestion des appareils > Appareil > Gestion > Détails de l'accès - Détails de configuration > État de connexion. Dans l'interface de ligne de commande du threat defense, saisissez la commande sftunnel-status-brief pour afficher l'état de la connexion de gestion. Si le rétablissement de la connexion prend plus de 10 minutes, vous devez dépanner la connexion. Reportez-vous à la rubrique Résoudre les problèmes de connectivité de gestion sur une interface de données, à la page 164. Guide de mise en route de l'appliance Cisco Firepower 1010 170 Déployer Threat Defense avec le CDO Mettre le pare-feu hors tension à l'aide du CDO Mettre le pare-feu hors tension à l'aide du CDO Il est important que vous arrêtiez correctement votre système. Il ne suffit pas de débrancher le câble d'alimentation ou d'appuyer sur l'interrupteur d'alimentation, car vous risquez d'endommager gravement le système de fichiers. N'oubliez pas que de nombreux processus s'exécutent en arrière-plan en permanence, et que débrancher ou couper l'alimentation ne permet pas un arrêt normal de votre pare-feu. Vous pouvez arrêter votre système correctement à l'aide du CDO. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils. Étape 2 Cliquez sur l'icône Modifier ( Étape 3 Cliquez sur l'onglet Appareils. Étape 4 Cliquez sur l'icône d'arrêt de l'appareil ( Étape 5 Lorsque vous y êtes invité, confirmez que vous souhaitez arrêter l'appareil. Étape 6 Si vous disposez d'une connexion de console au pare-feu, observez les invites système lorsque le pare-feu s'arrête. L'invite suivante s'affiche : ) en regard de l'appareil que vous souhaitez redémarrer. ) dans la section Système. System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Si vous ne disposez pas d'une connexion de console, attendez environ 3 minutes pour vous assurer que le système s'est éteint. Étape 7 Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Et après ? Pour poursuivre la configuration de votre threat defense avec CDO, reportez-vous à la page d'accueil Cisco Defense Orchestrator. Guide de mise en route de l'appliance Cisco Firepower 1010 171 Déployer Threat Defense avec le CDO Et après ? Guide de mise en route de l'appliance Cisco Firepower 1010 172 CHAPITRE 6 Déployer l'ASA avec le gestionnaire ASDM Ce chapitre vous concerne-t-il ? Pour connaître tous les systèmes d'exploitation et gestionnaires disponibles, reportez-vous à la rubrique Quel système d'exploitation et quel gestionnaire vous conviennent le mieux ?, à la page 1. Ce chapitre s'applique à l'ASA utilisant ASDM. Ce chapitre ne couvre pas les déploiements suivants, pour lesquels vous devez consulter le Guide de configuration de l'ASA : • Basculement • Configurer l'interface de ligne de commande Dans ce chapitre, nous vous expliquons également comment configurer une politique de sécurité de base. Si vous avez des exigences plus avancées, consultez le guide de configuration. À propos du pare-feu L'appareil peut exécuter un logiciel threat defense ou un logiciel ASA. Pour basculer entre threat defense et ASA, vous devez reconfigurer l'appareil. Vous devez également recommencer l'installation si vous avez besoin d'une version logicielle différente de celle actuellement installée. Consultez la rubrique Réinstaller Cisco ASA ou Firepower Threat Defense. Le pare-feu exécute un système d'exploitation sous-jacent appelé Système d'exploitation Secure Firewall eXtensible (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense. Déclaration de confidentialité—Le pare-feu ne requiert ni ne collecte activement aucune information permettant de vous identifier. Vous pouvez néanmoins utiliser des informations d'identification personnelle au cours de la configuration, notamment des noms d'utilisateur. Dans ce cas, un administrateur peut accéder à ces informations lors de l'utilisation de la configuration ou de l'utilisation du protocole SNMP. • À propos de l'ASA, à la page 174 • Procédure de bout en bout, à la page 177 • Vérifier le déploiement et la configuration par défaut du réseau, à la page 179 • Raccorder l'appareil, à la page 182 • Mettre le pare-feu sous tension, à la page 183 • (Facultatif) Modifier l'adresse IP, à la page 184 • Se connecter au gestionnaire ASDM, à la page 185 Guide de mise en route de l'appliance Cisco Firepower 1010 173 Déployer l'ASA avec le gestionnaire ASDM À propos de l'ASA • Configurer l'octroi de licences, à la page 186 • Configurer l'ASA, à la page 190 • Accéder au ASA et au CLI FXOS, à la page 192 • Et après ?, à la page 193 À propos de l'ASA L'ASA fournit des fonctionnalités avancées de pare-feu dynamique et de concentrateur VPN au sein d'un seul appareil. Vous pouvez gérer l'ASA à l'aide de l'un des gestionnaires suivants : • ASDM (abordé dans ce guide) : un gestionnaire d'appareil unique est inclus sur l'appareil. • CLI • CDO est un gestionnaire multi-appareils simplifié basé dans le cloud. • Cisco Security Manager : gestionnaire multi-appareils sur un serveur distinct. Vous pouvez également accéder à l'interface de ligne de commande de la console FXOS à des fins de dépannage. Fonctionnalités non prises en charge Fonctionnalités ASA générales non prises en charge Les fonctionnalités ASA suivantes ne sont pas prises en charge sur le pare-feu Firepower 1010 : • Mode multicontextuel • Basculement actif/actif • Interfaces redondantes • Clustering • API REST ASA • Module ASA FirePOWER • Filtre du trafic de botnets • Les inspections suivantes : • Mappages d'inspection SCTP (l'inspection avec état SCTP à l'aide de listes de contrôle d'accès est prise en charge) • de la tête • GTP/GPRS Fonctionnalités non prises en charge de l'interface VLAN et du port de commutateur Les interfaces VLAN et les ports de commutateur ne prennent pas en charge les fonctionnalités suivantes : Guide de mise en route de l'appliance Cisco Firepower 1010 174 Déployer l'ASA avec le gestionnaire ASDM Migrer la configuration d'une appliance ASA 5500-X • Routage dynamique • Routage multidiffusion • Routage fondé sur les politiques • Protocole ECMP (Equal-Cost Multi-Path routing) • Ensembles intégrés ou interfaces passives • VXLAN • EtherChannel • Basculement et liaison d'état • Zones de trafic • Balisage du groupe de sécurité (SGT) Migrer la configuration d'une appliance ASA 5500-X Vous pouvez copier et coller la configuration d'une console ASA 5500-X dans Firepower 1010. Vous devrez cependant modifier votre configuration. Notez également qu'il existe certaines différences de comportement entre les plateformes. 1. Pour copier la configuration, saisissez la commande more system:running-config sur l'ASA 5500-X. 2. Modifiez la configuration si nécessaire (voir ci-dessous). 3. Connectez-vous au port de console de Firepower 1010 et passez en mode de configuration globale : ciscoasa> enable Password: The enable password is not set. Please set it now. Enter Password: ****** Repeat Password: ****** ciscoasa# configure terminal ciscoasa(config)# 4. Effacez la configuration actuelle à l'aide de la commande clear configure all. 5. Collez la configuration modifiée dans l'interface de ligne de commande ASA. Les procédures de ce guide sont basées sur une configuration par défaut définie en usine. Par conséquent, si vous collez une configuration existante, certaines procédures de ce guide ne s'appliqueront pas à votre console ASA. Guide de mise en route de l'appliance Cisco Firepower 1010 175 Déployer l'ASA avec le gestionnaire ASDM Migrer la configuration d'une appliance ASA 5500-X Configurer l'appliance ASA 5500-X Configuration du Firepower 1010 Interfaces de pare-feu Ethernet 1/2 à 1/8 Ports de commutateur Ethernet 1/2 à 1/8 Ces ports Ethernet sont configurés en tant que ports de commutateur par défaut. Pour chaque interface de votre configuration, ajoutez la commande no switchport pour les convertir en interfaces de pare-feu standard. Par exemple : interface ethernet 1/2 no switchport ip address 10.8.7.2 255.255.255.0 nameif inside Licence PAK Licence Smart Les licences PAK ne sont pas appliquées lorsque vous copiez et collez votre configuration. Aucune licence n'est installée par défaut. L'octroi de licences Smart nécessite que vous vous connectiez au serveur Smart Licensing pour obtenir vos licences. L'octroi de licences Smart a également une incidence sur l'accès ASDM ou SSH (voir ci-dessous). Accès ASDM initial Supprimez tout VPN ou toute autre configuration de fonction de chiffrement renforcé (même si vous vous êtes limité à configurer un chiffrement faible) si vous ne pouvez pas vous connecter à ASDM ni vous enregistrer auprès de Smart Licensing Server. Vous pouvez réactiver ces fonctionnalités après avoir obtenu la licence de chiffrement renforcé (3DES). La raison de ce problème est que l'ASA inclut la fonctionnalité 3DES par défaut pour l'accès de gestion uniquement. Si vous activez une fonction de chiffrement renforcé, le trafic ASDM et HTTPS (notamment celui vers et depuis Smart Licensing Server) est bloqué. Il existe toutefois une exception à cette règle : vous êtes connecté à une interface de gestion uniquement, telle que l'interface de gestion 1/1. Cela n'a aucune incidence sur SSH. ID d'interface Veillez à modifier les ID d'interface pour qu'ils correspondent aux nouveaux ID de matériel. Par exemple, l'ASA 5525-X inclut l'interface de gestion 0/0, ainsi que GigabitEthernet 0/0 à 0/5. Firepower 1120 intègre les interfaces de gestion 1/1 et Ethernet 1/1 à 1/8. Guide de mise en route de l'appliance Cisco Firepower 1010 176 Déployer l'ASA avec le gestionnaire ASDM Procédure de bout en bout Configurer l'appliance ASA 5500-X Configuration du Firepower 1010 boot system commandes L'appareil Firepower 1010 n'autorise qu'une seule commande boot system. Vous devez donc supprimer toutes les commandes L'ASA 5500-X autorise jusqu'à quatre commandes boot system sauf une. Vous n'avez besoin d'aucune commande boot system pour spécifier l'image de démarrage à utiliser. dans votre configuration, car celle-ci n'est pas lue au démarrage pour déterminer l'image de démarrage. C'est l'image de démarrage chargée en dernier qui est toujours exécutée lors du rechargement. La commande boot system exécute une action lorsque vous la saisissez : le système valide et décompresse l'image, puis la copie dans l'emplacement de démarrage (un emplacement interne sur disk0 géré par FXOS). La nouvelle image se charge lorsque vous rechargez l'ASA. Procédure de bout en bout Consultez les tâches suivantes pour déployer et configurer ASA sur votre châssis. Guide de mise en route de l'appliance Cisco Firepower 1010 177 Déployer l'ASA avec le gestionnaire ASDM Procédure de bout en bout Configuration préalable Installez le pare-feu. Reportez-vous au guide d'installation matérielle. Configuration préalable Vérifier le déploiement et la configuration par défaut du réseau, à la page 179. Configuration préalable Raccorder l'appareil, à la page 182. Configuration préalable Mettre le pare-feu sous tension, à la page 13 Interface de ligne de (Facultatif) Modifier l'adresse IP, à la page 184. commande du logiciel ASA ASDM Se connecter au gestionnaire ASDM, à la page 185. Guide de mise en route de l'appliance Cisco Firepower 1010 178 Déployer l'ASA avec le gestionnaire ASDM Vérifier le déploiement et la configuration par défaut du réseau Cisco Commerce Workspace Configurer l'octroi de licences, à la page 186 : Obtenir les licences de fonctionnalité. Smart Software Manager Configurer l'octroi de licences, à la page 186 : Générer un jeton de licence pour le châssis. ASDM Configurer l'octroi de licences, à la page 186 : Configurer les licences de fonction. ASDM Configurer l'ASA, à la page 190. Vérifier le déploiement et la configuration par défaut du réseau La figure suivante illustre le déploiement réseau par défaut du pare-feu Firepower 1010 à l'aide de la configuration par défaut. Si vous connectez l'interface externe directement à un modem câble ou ADSL, nous vous recommandons de mettre le modem en mode pont pour que le logiciel ASA effectue tout le routage et la NAT pour vos réseaux internes. Si vous devez configurer PPPoE pour que l'interface externe se connecte à votre FAI, faites-le dans le cadre de l'assistant de démarrage du gestionnaire ASDM. Remarque Si vous ne pouvez pas utiliser l'adresse IP de gestion par défaut pour l'accès au gestionnaire ASDM, vous pouvez définir l'adresse IP de gestion dans l'interface de ligne de commande ASA. Reportez-vous à la rubrique (Facultatif) Modifier l'adresse IP, à la page 184. Si vous devez modifier l'adresse IP interne, utilisez l'assistant de démarrage du gestionnaire ASDM. Par exemple, il est possible que vous deviez modifier l'adresse IP interne dans les cas suivants : • Si l'interface externe tente d'obtenir une adresse IP sur le réseau 192.168.1.0, qui est un réseau par défaut courant, le bail DHCP échouera et l'interface externe n'obtiendra aucune adresse IP. Ce problème se produit, car le logiciel ASA ne peut pas avoir deux interfaces sur le même réseau. Dans ce cas, vous devez modifier l'adresse IP interne de façon à la placer sur un nouveau réseau. • Si vous ajoutez l'ASA à un réseau interne existant, vous devrez modifier l'adresse IP interne pour qu'elle se trouve sur le réseau existant. Guide de mise en route de l'appliance Cisco Firepower 1010 179 Déployer l'ASA avec le gestionnaire ASDM Configuration par défaut de l'appliance Firepower 1010 Configuration par défaut de l'appliance Firepower 1010 La configuration par défaut de l'appareil Firepower 1010 concerne les éléments suivants : • Commutateur matériel : réseaux Ethernet 1/2 à 1/8 appartenant au VLAN 1 • Flux de trafic interne→externe : Ethernet 1/1 (externe), VLAN1 (interne) • Gestion : gestion 1/1 (gestion), adresse IP 192.168.45.1 • Adresse IP externe provenant de DHCP, adresse IP interne : 192.168.1.1 • Serveur DHCP sur l'interface interne, interface de gestion • Route par défaut depuis DHCP externe • Accès ASDM : gestion et hôtes internes autorisés. Les hôtes de gestion sont limités au réseau 192.168.45.0/24 et les hôtes internes au réseau 192.168.1.0/24. • NAT : interface PAT pour l'ensemble du trafic de l'interface interne vers l'interface externe. • Serveurs DNS : les serveurs OpenDNS sont préconfigurés. La configuration inclut les commandes suivantes : Guide de mise en route de l'appliance Cisco Firepower 1010 180 Déployer l'ASA avec le gestionnaire ASDM Configuration par défaut de l'appliance Firepower 1010 interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 no shutdown ! interface Management1/1 managment-only nameif management no shutdown security-level 100 ip address 192.168.45.1 255.255.255.0 ! interface Ethernet1/1 nameif outside ip address dhcp setroute no shutdown ! interface Ethernet1/2 no shutdown switchport switchport mode access switchport access vlan 1 ! interface Ethernet1/3 no shutdown switchport switchport mode access switchport access vlan 1 ! interface Ethernet1/4 no shutdown switchport switchport mode access switchport access vlan 1 ! interface Ethernet1/5 no shutdown switchport switchport mode access switchport access vlan 1 ! interface Ethernet1/6 no shutdown switchport switchport mode access switchport access vlan 1 ! interface Ethernet1/7 no shutdown switchport switchport mode access switchport access vlan 1 ! interface Ethernet1/8 no shutdown switchport switchport mode access switchport access vlan 1 ! object network obj_any subnet 0.0.0.0 0.0.0.0 nat (any,outside) dynamic interface Guide de mise en route de l'appliance Cisco Firepower 1010 181 Déployer l'ASA avec le gestionnaire ASDM Raccorder l'appareil ! dhcpd auto_config outside dhcpd address 192.168.1.20-192.168.1.254 inside dhcpd address 192.168.45.10-192.168.45.12 management dhcpd enable inside dhcpd enable management ! http server enable http 192.168.45.0 255.255.255.0 management http 192.168.1.0 255.255.255.0 inside ! dns domain-lookup outside dns server-group DefaultDNS name-server 208.67.222.222 outside name-server 208.67.220.220 outside ! Raccorder l'appareil Gérez l'appareil Firepower 1010 sur l'interface de gestion 1/1 ou sur l'interface Ethernet 1/2 à 1/8 (ports de commutateur internes). La configuration par défaut configure également Ethernet 1/1 comme port externe. Procédure Étape 1 Installez votre matériel et apprenez à l'utiliser à l'aide du guide d'installation matérielle. Étape 2 Connectez votre ordinateur de gestion à l'une des interfaces suivantes : • Ethernet 1/2 à 1/8 : connectez votre ordinateur de gestion directement à l'un des ports de commutateur internes (Ethernet 1/2 à 1/8). L'interface interne possède une adresse IP par défaut (192.168.1.1) et exécute un serveur DHCP pour fournir des adresses IP aux clients (y compris l'ordinateur de gestion). Par conséquent, assurez-vous que ces paramètres n'entrent pas en conflit avec les paramètres existants du Guide de mise en route de l'appliance Cisco Firepower 1010 182 Déployer l'ASA avec le gestionnaire ASDM Mettre le pare-feu sous tension réseau interne (reportez-vous à la rubrique Configuration par défaut de l'appliance Firepower 1010, à la page 180). • Gestion 1/1 : connectez votre ordinateur de gestion directement à l'interface de gestion 1/1. Vous pouvez également connecter l'interface de gestion 1/1 à votre réseau de gestion ; assurez-vous que votre ordinateur de gestion se trouve sur le réseau de gestion, car seuls les clients de ce réseau peuvent accéder à l'ASA. L'interface de gestion 1/1 possède une adresse IP par défaut (192.168.45.1) et exécute un serveur DHCP pour fournir des adresses IP aux clients (y compris l'ordinateur de gestion). Par conséquent, assurez-vous que ces paramètres n'entrent pas en conflit avec les paramètres existants du réseau de gestion (reportez-vous à la rubrique Configuration par défaut de l'appliance Firepower 1010, à la page 180). Si vous devez modifier l'adresse IP de l'interface de gestion 1/1 par défaut, vous devez également connecter votre ordinateur de gestion au port de console. Reportez-vous à la rubrique (Facultatif) Modifier l'adresse IP, à la page 184. Étape 3 Connectez le réseau externe à l'interface Ethernet 1/1. Pour Smart Software Licensing, ASA nécessite un accès à Internet pour pouvoir accéder à l'autorité de licence. Étape 4 Connectez les appareils internes aux ports internes restants du commutateur, à savoir Ethernet 1/2 à 1/8. Les ports Ethernet 1/7 et 1/8 sont des ports PoE+. Mettre le pare-feu sous tension L'alimentation du système est contrôlée par le cordon d'alimentation. Il n'y a pas de bouton d'alimentation. Remarque La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Avant de commencer Il est important que vous utilisiez une source d'alimentation fiable pour alimenter votre appareil (à l'aide d'un système d'alimentation sans coupure, par exemple). Une panne de courant sans arrêt préalable peut endommager gravement le système de fichiers. De nombreux processus s'exécutent en arrière-plan en permanence, et une panne de courant ne permet pas l'arrêt normal de votre système. Procédure Étape 1 Raccordez le câble d'alimentation à l'appareil et branchez-le à une prise électrique. L'appareil se met automatiquement sous tension dès que vous le branchez. Étape 2 Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Guide de mise en route de l'appliance Cisco Firepower 1010 183 Déployer l'ASA avec le gestionnaire ASDM (Facultatif) Modifier l'adresse IP Étape 3 Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. (Facultatif) Modifier l'adresse IP Si vous ne pouvez pas utiliser l'adresse IP par défaut pour l'accès ASDM, vous pouvez définir l'adresse IP de l'interface internede dans l'interface de ligne de commande ASA. Remarque Cette procédure rétablit la configuration par défaut et définit également l'adresse IP que vous avez choisie. Par conséquent, si vous avez modifié la configuration ASA que vous souhaitez conserver, n'utilisez pas cette procédure. Procédure Étape 1 Connectez-vous au port de console ASA et accédez au mode de configuration globale. Pour plus d'informations, reportez-vous à la rubrique Accéder au ASA et au CLI FXOS, à la page 192. Étape 2 Restaurez la configuration par défaut avec l'adresse IP choisie. configure factory-default [ip_address [mask]] Exemple : ciscoasa(config)# configure factory-default 10.1.1.151 255.255.255.0 Based on the management IP address and mask, the DHCP address pool size is reduced to 103 from the platform limit 256 WARNING: The boot system configuration will be cleared. The first image found in disk0:/ will be used to boot the system on the next reload. Verify there is a valid image on disk0:/ or the system will not boot. Begin to apply factory-default configuration: Clear all configuration Executing command: interface management1/1 Executing command: nameif management INFO: Security level for "management" set to 0 by default. Executing command: ip address 10.1.1.151 255.255.255.0 Executing command: security-level 100 Guide de mise en route de l'appliance Cisco Firepower 1010 184 Déployer l'ASA avec le gestionnaire ASDM Se connecter au gestionnaire ASDM Executing command: no shutdown Executing command: exit Executing command: http server enable Executing command: http 10.1.1.0 255.255.255.0 management Executing command: dhcpd address 10.1.1.152-10.1.1.254 management Executing command: dhcpd enable management Executing command: logging asdm informational Factory-default configuration is completed ciscoasa(config)# Étape 3 Enregistrez la configuration par défaut dans la mémoire Flash. write memory Se connecter au gestionnaire ASDM Lancez le gestionnaire ASDM pour pouvoir configurer l'ASA. ASA inclut la fonctionnalité 3DES par défaut pour l'accès de gestion uniquement. Vous pouvez donc vous connecter à Smart Software Manager et utiliser immédiatement le gestionnaire ASDM. Vous pouvez également utiliser SSH et SCP si vous configurez ultérieurement l'accès SSH sur l'ASA. Le chiffrement renforcé doit être activé pour les autres fonctionnalités nécessitant un chiffrement renforcé (comme le VPN). Vous devez donc vous enregistrer auprès de Smart Software Manager. Remarque Si vous tentez de configurer des fonctionnalités susceptibles d'utiliser le chiffrement renforcé avant de vous enregistrer, même si vous configurez uniquement le chiffrement faible, votre connexion HTTPS est abandonnée sur cette interface et vous ne pouvez plus vous reconnecter. Il existe toutefois une exception à cette règle : vous êtes connecté à une interface de gestion uniquement, telle que l'interface de gestion 1/1. Cela n'a aucune incidence sur SSH. Si vous perdez votre connexion HTTPS, vous pouvez vous connecter au port de console pour reconfigurer l'ASA, vous connecter à une interface de gestion uniquement ou vous connecter à une interface non configurée pour une fonction de chiffrement renforcé. Avant de commencer • Reportez-vous aux Notes de version de l'application ASDM sur Cisco.com pour plus d'informations sur les conditions requises pour exécuter l'application ASDM. Procédure Étape 1 Saisissez l'URL suivante dans votre navigateur. • https://192.168.1.1 : adresse IP de l'interface interne .Vous pouvez vous connecter à l'adresse interne sur n'importe quel port de commutateur interne (Ethernet 1/2 à 1/8). • https://192.168.45.1 : adresse IP de l'interface de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010 185 Déployer l'ASA avec le gestionnaire ASDM Configurer l'octroi de licences Remarque Veillez à spécifier https:// et non http:// ou simplement l'adresse IP (par défaut, HTTP) ; ASA ne transfère pas automatiquement une demande HTTP à HTTPS. La page web Cisco ASDM s'affiche. Des avertissements de sécurité du navigateur peuvent s'afficher, car le certificat ASA n'est pas installé ; vous pouvez ignorer ces avertissements en toute sécurité et consulter la page web. Étape 2 Cliquez sur l'une des options disponibles : Installer le lanceur de l'application ASDM ou Exécuter ASDM. Étape 3 Suivez les instructions à l'écran pour démarrer l'application ASDM selon l'option sélectionnée. La page Lanceur de l'application Cisco ASDM-IDM s'affiche. Étape 4 Laissez les champs de nom d'utilisateur et de mot de passe vides, puis cliquez sur OK. La fenêtre principale de l'ASDM apparaît. Configurer l'octroi de licences Le ASA utilise Smart Licensing. Vous pouvez utiliser la version standard de Smart Licensing, qui nécessite un accès Internet ; pour la gestion hors ligne, vous pouvez configurer la réservation de licence permanente ou un logiciel Smart Software Manager sur site (anciennement, serveur satellite). Pour plus d'informations sur ces méthodes d'octroi de licences hors ligne, reportez-vous au guide Licences de fonctionnalités Cisco ASA , qui s'applique à la version standard de Smart Licensing. Pour une présentation complète de Cisco Licensing, rendez-vous sur cisco.com/go/licensingguide. Lorsque vous enregistrez le châssis, l'outil Smart Software Manager délivre un certificat d'identification pour établir la communication entre le pare-feu et Smart Software Manager. Il attribue également le pare-feu au compte virtuel approprié. Tant que vous ne vous êtes pas enregistré auprès de Smart Software Manager, vous ne serez pas en mesure de modifier la configuration aux fonctionnalités nécessitant des licences spéciales, mais le fonctionnement n'est pas affecté. Les fonctionnalités sous licence sont les suivantes : • Standard • Security Plus : pour le basculement entre l'unité active et l'unité de secours • Chiffrement fort (3DES/AES) : si votre compte Smart n'est pas autorisé pour le chiffrement renforcé, mais que Cisco a déterminé que vous êtes autorisé à utiliser le chiffrement renforcé, vous pouvez ajouter manuellement une licence de chiffrement renforcé à votre compte. • AnyConnect : AnyConnect Plus, AnyConnect Apex ou AnyConnect VPN uniquement. ASA inclut la fonctionnalité 3DES par défaut pour l'accès de gestion uniquement. Vous pouvez donc vous connecter à Smart Software Manager et utiliser immédiatement le gestionnaire ASDM. Vous pouvez également utiliser SSH et SCP si vous configurez ultérieurement l'accès SSH sur l'ASA. Le chiffrement renforcé doit être activé pour les autres fonctionnalités nécessitant un chiffrement renforcé (comme le VPN). Vous devez donc vous enregistrer auprès de Smart Software Manager. Guide de mise en route de l'appliance Cisco Firepower 1010 186 Déployer l'ASA avec le gestionnaire ASDM Configurer l'octroi de licences Remarque Si vous tentez de configurer des fonctionnalités susceptibles d'utiliser le chiffrement renforcé avant de vous enregistrer, même si vous configurez uniquement le chiffrement faible, votre connexion HTTPS est abandonnée sur cette interface et vous ne pouvez plus vous reconnecter. Il existe toutefois une exception à cette règle : vous êtes connecté à une interface de gestion uniquement, telle que l'interface de gestion 1/1. Cela n'a aucune incidence sur SSH. Si vous perdez votre connexion HTTPS, vous pouvez vous connecter au port de console pour reconfigurer l'ASA, vous connecter à une interface de gestion uniquement ou vous connecter à une interface non configurée pour une fonction de chiffrement renforcé. Lorsque vous demandez le jeton d'enregistrement de l'ASA à partir de votre compte Smart Software Manager, cochez la case Autoriser la fonctionnalité de contrôle de l'exportation sur les produits enregistrés avec ce jeton afin que la licence Chiffrement renforcé soit appliquée (votre compte doit prendre en charge son utilisation ). La licence Chiffrement renforcé est automatiquement activée pour les clients qui la prennent en charge lorsque vous appliquez le jeton d'enregistrement sur le châssis. Aucune action supplémentaire n'est requise. Si votre compte Smart n'est pas autorisé pour le chiffrement renforcé, mais que Cisco a déterminé que vous êtes autorisé à utiliser le chiffrement renforcé, vous pouvez ajouter manuellement une licence de chiffrement renforcé à votre compte. Avant de commencer • Veillez à disposer d'un compte principal sur Smart Software Manager. Si vous n'avez pas encore de compte, cliquez sur le lien pour configurer un nouveau compte. Smart Software Manager vous permet de créer un compte principal pour votre entreprise. • Votre compte Smart Software Manager doit bénéficier de la licence de chiffrement renforcé (3DES/AES) pour utiliser certaines fonctionnalités (activées à l'aide de l'indicateur de conformité d'exportation). Procédure Étape 1 Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin, à savoir au minimum la licence Standard. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software Manager. Toutefois, si vous devez ajouter des licences vous-même, utilisez le champ de recherche Rechercher des produits et des solutions de Cisco Commerce Workspace. Recherchez les PID de licence suivants : Illustration 54 : Recherche de licences • Licence standard : L-FPR1000-ASA=. La licence Standard est gratuite, mais vous devez systématiquement l'ajouter à votre compte Smart Software Licensing. • Licence Security Plus : L-FPR1010-SEC-PL=. La licence Security Plus permet le basculement. Guide de mise en route de l'appliance Cisco Firepower 1010 187 Déployer l'ASA avec le gestionnaire ASDM Configurer l'octroi de licences • Licence Chiffrement renforcé (3DES/AES) : L-FPR1K-ENC-K9=. Requise uniquement si votre compte n'est pas autorisé pour le chiffrement fort. • AnyConnect : consultez le Guide d'aide à la commande Cisco AnyConnect. Vous n'activez pas cette licence directement dans l'ASA. Étape 2 Dans Cisco Smart Software Manager, demandez un jeton d'enregistrement pour le compte virtuel auquel vous souhaitez ajouter cet appareil, et copiez-le. a) Cliquez sur Inventaire. b) Dans l'onglet Général, cliquez sur Nouveau jeton. c) Dans la boîte de dialogue Créer un jeton d'enregistrement, saisissez les paramètres suivants, puis cliquez sur Créer un jeton : • Description • Délai d'expiration : Cisco recommande de définir un délai de 30 jours. Guide de mise en route de l'appliance Cisco Firepower 1010 188 Déployer l'ASA avec le gestionnaire ASDM Configurer l'octroi de licences • Autoriser la fonctionnalité de contrôle d'exportation sur les produits enregistrés avec ce jeton : active l'indicateur de conformité d'exportation. Le jeton est ajouté à votre inventaire. d) Cliquez sur l'icône représentant une flèche à droite du jeton pour ouvrir la boîte de dialogue Jeton afin de pouvoir copier l'ID de jeton dans votre presse-papiers. Conservez ce jeton à portée de main pour l'utiliser plus tard dans la procédure d'enregistrement du ASA. Illustration 55 : Afficher le jeton Illustration 56 : Copier le jeton Étape 3 Dans le gestionnaire ASDM, sélectionnez Configuration > Gestion des appareils > Octroi de licences > Smart Licensing. Étape 4 Cliquez sur Enregistrer. Étape 5 Saisissez le jeton d'enregistrement dans le champ Jeton d'ID. Vous pouvez également cocher la case Forcer l'enregistrement pour enregistrer un ASA déjà enregistré, mais qui peut ne pas être synchronisé avec Smart Software Manager. Par exemple, utilisez l'option Forcer l'enregistrement si l'ASA a été accidentellement supprimé de Smart Software Manager. Étape 6 Cliquez sur Enregistrer. L'ASA s'enregistre auprès de Smart Software Manager à l'aide de l'interface externe préconfigurée et demande l'autorisation d'utiliser les droits de licence configurés. Smart Software Manager applique également la licence Guide de mise en route de l'appliance Cisco Firepower 1010 189 Déployer l'ASA avec le gestionnaire ASDM Configurer l'ASA Chiffrement renforcé (3DES/AES) si votre compte le permet. Le gestionnaire ASDM actualise la page lorsque l'état de la licence est mis à jour. Vous pouvez également sélectionner Surveillance > Propriétés > Licence Smart pour vérifier l'état de la licence, en particulier si l'enregistrement échoue. Étape 7 Définissez les paramètres suivants : a) Cochez la case Activer la configuration de licence Smart. b) Dans la liste déroulante Niveau de fonctionnalité, sélectionnez Standard. Seul le niveau Standard est disponible. c) (facultatif) Cochez la case Activer Security Plus. Le niveau Security Plus permet le basculement entre l'unité active et l'unité de secours. Étape 8 Cliquez sur Apply (Appliquer). Étape 9 Cliquez sur l'icône Enregistrer dans la barre d'outils. Étape 10 Quittez le gestionnaire ASDM et redémarrez-le. Lorsque vous modifiez des licences, vous devez redémarrer le gestionnaire ASDM pour afficher les écrans mis à jour. Configurer l'ASA ASDM vous permet d'utiliser des assistants pour configurer les fonctionnalités de base et avancées. Vous pouvez également configurer manuellement les fonctionnalités non incluses dans les assistants. Procédure Étape 1 Sélectionnez Assistants > Assistant de démarrage, puis cliquez sur la case d'option Modifier la configuration existante. Guide de mise en route de l'appliance Cisco Firepower 1010 190 Déployer l'ASA avec le gestionnaire ASDM Configurer l'ASA Étape 2 L'assistant de démarrage vous guide tout au long de la configuration : • Mot de passe d'activation • Interfaces, notamment la définition des adresses IP des interfaces internes et externes et l'activation des interfaces. • Routes statiques • Serveur DHCP • Etc. Étape 3 (facultatif) Dans le menu Assistants, exécutez d'autres assistants. Étape 4 Pour poursuivre la configuration de votre ASA, consultez les documents disponibles pour votre version logicielle dans le document Consultation de la documentation des solutions Cisco ASA. Guide de mise en route de l'appliance Cisco Firepower 1010 191 Déployer l'ASA avec le gestionnaire ASDM Accéder au ASA et au CLI FXOS Accéder au ASA et au CLI FXOS Vous pouvez utiliser l'interface de ligne de commande de ASApour dépanner ou configurer le ASA au lieu d'utiliser le gestionnaire ASDM. Vous pouvez accéder à l'interface de ligne de commande en vous connectant au port de console. Vous pouvez ensuite configurer l'accès SSH à l'ASA sur n'importe quelle interface ; l'accès SSH est désactivé par défaut. Consultez le Guide de configuration des opérations générales de l'ASA pour en savoir plus. Vous pouvez également accéder au CLI FXOS à partir de la CLI de l'ASA à des fins de dépannage. Procédure Étape 1 Connectez votre ordinateur de gestion au port de console. L'appareil Firepower 1000 est livré avec un câble série USB A vers B. Veillez à installer les pilotes série USB nécessaires à votre système d'exploitation (consultez le guide matériel de l'appareil Firepower 1010) Utilisez les paramètres série suivants : • 9 600 bauds • 8 bits de données • Aucune parité • 1 bit d'arrêt Vous vous connectez à l'interface de ligne de commande ASA. Par défaut, aucune information d'identification d'utilisateur n'est requise pour l'accès à la console. Étape 2 Accédez au mode d'exécution privilégié. enable Vous êtes invité à modifier le mot de passe la première fois que vous saisissez la commande enable. Exemple : ciscoasa> enable Password: The enable password is not set. Please set it now. Enter Password: ****** Repeat Password: ****** ciscoasa# Le mot de passe d'activation que vous avez défini sur l'ASA est également le mot de passe de l'utilisateur admin de la FXOS si l'ASA ne démarre pas et que vous passez en mode Protégé en cas de défaillance sur la FXOS. Toutes les commandes (à l'exception des commandes de configuration) sont disponibles en mode d'exécution privilégié. Vous pouvez également passer en mode de configuration à partir du mode d'exécution privilégié. Pour quitter le mode d'exécution privilégié, saisissez la commande disable, exit ou quit. Étape 3 Accédez au mode de configuration globale. configure terminal Guide de mise en route de l'appliance Cisco Firepower 1010 192 Déployer l'ASA avec le gestionnaire ASDM Et après ? Exemple : ciscoasa# configure terminal ciscoasa(config)# Vous pouvez commencer à configurer l'ASA à partir du mode de configuration globale. Pour quitter le mode de configuration globale, saisissez la commande exit, quit ou end. Étape 4 (facultatif) Connectez-vous au CLI FXOS. connect fxos [admin] • admin : fournit un accès de niveau administrateur. Sans cette option, les utilisateurs disposent d'un accès en lecture seule. Notez qu'aucune commande de configuration n'est disponible, même en mode administrateur. Vous n'êtes pas invité à saisir les informations d'identification de l'utilisateur. Le nom d'utilisateur ASA actuel est transmis à la FXOS, et aucune connexion supplémentaire n'est requise. Pour revenir à l'interface de ligne de commande ASA, saisissez exit ou appuyez sur Ctrl-Maj-6, x. Dans FXOS, vous pouvez afficher l'activité des utilisateurs à l'aide de la commande scope security/show audit-logs. Exemple : ciscoasa# connect fxos admin Connecting to fxos. Connected to fxos. Escape character sequence is 'CTRL-^X'. firepower# firepower# exit Connection with FXOS terminated. Type help or '?' for a list of available commands. ciscoasa# Et après ? • Pour poursuivre la configuration de votre ASA, consultez les documents disponibles pour votre version logicielle dans le document Consulter la documentation des solutions Cisco ASA. • Pour le dépannage, consultez le Guide de dépannage de la console FXOS. Guide de mise en route de l'appliance Cisco Firepower 1010 193 Déployer l'ASA avec le gestionnaire ASDM Et après ? Guide de mise en route de l'appliance Cisco Firepower 1010 194 © 2022 Cisco Systems, Inc. Tous droits réservés.