Dans le post "Migration d'un Cisco ASA 5506 de ASA-OS vers FTD, partie 1", nous vous avons présenté l’architecture FTD et la comparions à ASA with Firepower Service. Nous donnons, dans ce post, une procédure de migration détaillée.
Migration de ASA with Firepower Services vers FTD
Sujet abordés :
- l’architecture firepower
- la procédure de migration dans ce post
- la nouvelle interface web d’administration
Procédure officielle Cisco
La procédure complète officielle Cisco est accessible ici.
Packages d’installation
Il ne faut pas se tromper entre les deux architectures disponibles décrites dans le post précédent, ASA with firepower services et FTD, qui s’appuient sur deux ensembles de paquets différents :
| ASA with firepower services | FTD | Commentaire |
|---|---|---|
| ROMMON | ROMMON | Equivalent du BIOS pour un PC |
| ASA OS | ASA FTD (.lfbff) | Sur la version classique c’est l’OS ASA; sur FTD, c’est un linux adapté |
| Firepower service | FTD package (.pkg) | Sur la version classique, c’est le linux Firepower; sur FTD, ce sont des packages d’installation à ajouter sur le noyau linux FTD |
| ASDM | Sur la version classique, c’est le client Java de management ; sur FTD, pas d’équivalent puisque l’on accès en Web | 7 |
Reset complet
Démarrage avec connexion par câble console ESC avant la phase de boot :
confreg 0x41 confreg
Choix “ignore system configuration”
Pour la procédure complète, aller à la page suivante.
Mise à jour des mots passe
enable conf t username ZZZZ password XXXXX privilege 15 enable password YYYYY no config-register reload
Mise en place d’adresses IP temporaires pour réimager vers FTD
Deux IPs choisies :
- 172.10.0.75
- 172.10.0.76
interface GigabitEthernet 1/1 nameif inside no traffic-forward sfr monitor only interface management 1/1 ip address 172.10.0.75 255.255.255.0
Ouverture de l’accès SSH sur l’IP de management
conf t ssh 172.10.0.0 255.255.255.0 management ssh scopy enable ssh version 2 aaa authentication ssh console LOCAL
Copie du firmware depuis poste Linux vers ASA
scp asa5500-firmware-1114.SPACette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. :disk0:asa5500-firmware-1114.SPA
Vérification du MD5 du firmware
ciscoasa# verify /md5 disk0:asa5500-firmware-1114.SPA
Mise à jour de la rommon
upgrade rommon disk0:asa5500-firmware- xxxx.SPA
Mise à disposition des packages d’installation
Pour préparer les deux étapes suivantes, il est nécessaire :
- d’avoir créé le répertoire $HOME/tftp
- d’avoir déposé les packages d’installation ftd-boot-9.9.2.0.lfbff et ftd-6.2.3-83.pkg dans le répertoire tftp
Mise en place d’un serveur TFTP temporaire
Pour ce faire, nous utilisons un serveur disponible via Docker.
Build et run selon les préconisations du développeur :
docker run -p 0.0.0.0:69:69/udp --name tft-asa -v $HOME/tftp:/var/tftpboot -i -t pghalliday/tftp
Mise en place d’un serveur http temporaire
Nous utilisons un Apache standard téléchargeable sur Docker :
docker run -dit --name apache-asa -p 80:80 -v $HOME/tftp/:/usr/local/apache2/htdocs/ httpd:2.4
Téléchargement et vérification des packages d’installation
md5sum ftd-boot-9.9.2.0.lfbff md5sum ftd-6.2.3-83.pkg
Chargement du firmware FTD
On reboote l’ASA.
CISCOASA#reload
Pendant la phase de reboot, on appuie sur ESC pour obtenir le prompt de la rommon depuis la console.
Depuis la rommon, on fixe les variables nécessaires pour réaliser l’installation :
rommon>address 172.10.0.75 rommon>server 172.10.0.4 rommon>file ftd-boot-9.9.2.0.lfbff rommon>netmask 255.255.255.0 rommon>gateway 172.10.0.4 rommon>set rommon>sync rommon>tftpdnld
L’ASA télécharge le firmware et reboot sur le nouveau système. Il faut ensuite initialiser les paramètres d’accès à l’administration.
setup
Initialisation des paramètres de l’interface d’administration (adresse IP, etc.).
Chargement du système FTD via http
system install noconfirm http://172.10.0.4/ftd-6.2.3-83.pkg
Première connexion en mode console
Le login par défaut est admin. Le mot de passe par défaut est Admin123.
Une suite de question basique est ensuite posée pour configurer le système.
Connexion en Web
Il suffit ensuite de se connecter à l’interface de management via un browser en https pour accéder à la configuration du système :
https://<adresse IP de management>/
Conclusion
Une fois cette opération réalisée, le 5506 devient un parefeu équipé d’une interface ergonomique que nous présentons dans le post suivant.
Pendant la procédure de migration, attention à laisser un temps suffisant pour l’installation des packages, qui est très lente. A défaut, une tentative d’accès en mode renvoie un message troublant (504) alors qu’il suffit d’attendre.
