Technique

Dans un précédent post, nous vous avons présenté la procédure de migration de Firepower Service vers FTD. Nous terminons cette série par un tour d’horizon de l’interface Web, pour vous donner envie de migrer.

Tour d’horizon de l’interface Cisco ASA FTD sur 5506, Firepower Device Manager (FDM)

Sujet abordés :

Guide de l’administrateur FTD

Le guide d’administrateur FTD est disponible sur le site de Cisco. Il vous apportera beaucoup plus d’éléments que ce poste qui constitue un très rapide tour d’horizon des principales fonctionnalités.

Licences

Le 5506 présenté ici est équipé d’une licence de base. Vous vous rendrez également compte concrétement, en parcourant ce post, des fonctions qui nécessitent des licences supplémentaires.

Page d’accueil

La page d’accueil regroupe l’ensemble des éléments de gestion du parefeu vu comme un équipement de routage :

  • Interfaces
  • Routage
  • Mise à jour
  • Sauvegarde restauration
  • Licences
  • VPN Site à site

Elle comporte de plus deux accès spécifiques :

  • Remote access VPN qui nécessite une licence
  • Advanced configuration qui permet d’appliquer des paramètres de configuration qui existaient dans un ASA classique mais ne sont pas encore disponibles en FTD, en les empaquetant dans du JSON (un peu compliqué mais faisable)

Policy

La partie policy définit les règles de filtage de manière simple en fonction du parcours des paquets dans le système. Nous avons tronqué la copie d’écran par sécurité :

Nous voyons que s’enchaîne les étapes suivantes :

  1. Déchiffrement SSL
  2. Authentification des utilisateurs
  3. Security intelligence
  4. NAT
  5. Access Control
  6. Intrusion

Déchiffrement SSL

Le trafic étant chiffré à plus de 70%, il est possible de déchiffrer pour appliquer des règles au niveau du trafic. Nous ne l’avons pas appliqué ici. Il est compris dans la licence de base mais nécessite de l’attention :

  • Consommation CPU
  • Nécessite de déployer un certificat et de gérer les problématiques de type “Man in the middle”
  • Interaction à bien organiser entre le filtrage avec ou sans déchiffrement
  • Incompatible avec certaines applications, mobiles notamment

Authentification des utilisateurs

Il est possible de s’interfacer avec un annuaire, notammenet Active Directory, mais également d’activer un portail captif permettant aux utilisateurs de s’authentifier, ce qui peut être une option intéressante pour protéger certains flux. Nous n’avons pas activé cette fonctionnalité, pourtant comprise dans la licence de base, ici :

Security intelligence

Le module Security intelligence permet d’interroger une base Cisco pour ajouter des règles s’appuyant sur la réputation des domaines, des adresses IP et des URLs. Ce module est intéressant mais nécessite une licence supplémentaire :

NAT

Le module NAT nous permet de définir des règles NAT équivalentes à celles existants sur un ASA classique (auto-nat, static nat, dynamic nat) mais à travers une interface plus conviviale.

ACL

Le module ACL permet de définir les règles de filtrage des flux et les actions à entreprendre. Les fonctions liées à security intelligence ou intrusion detection ne sont pas disponibles. Il est cependant possible, par exemple, de faire du filtrage par zone géographique, par application - le moteur de classement des applications ne nécessite pas de licence supplémentaire - et par URL.

Intrusion detection

La partie intrusion detection permet de définir et d’adpater les règles SNORT d’analyse du trafic. Pour être actif, la politique d’intrusion doit être déployée dans la partie Access Control, ce qui nécessite une licence supplémentaire par rapport à la licence de base.

Monitoring

Enfin, le parefeu des tableaux de bord et une interface de requête permettant de visualiser et d’analyser les logs locaux. Le volume de logs est évidemment limité mais suffisant pour avoir une vision d’ensemble du fonctionnement du parefeu et réaliser du troubleshooting. Les informations entrant dans le monitoring dépendent de la configuration définie pour les logs et des licences activées sur le parefeu.

monitoring.png

Autres fonctions

Nous n’avons pas fourni de copies d’écran mais l’interface permet également :

  • de définir les objets de la configuration
  • d’accéder à un terminal (CLI)
  • de configurer l’accès administration et les utilisateurs administrateurs du parefeu
  • de gérer le déploiement de la configuration (mais pas de gestion de version à proprement parler)

Conclusion

Avec FTD, l’ASA 5506 devient un parefeu performant, facile à prendre en main même par des administrateurs n’ayant pas de connaissance en Cisco. L’interface est simple et ergonomique, la partie monitoring est très utile pour avoir une première vue sur les problèmes de sécurité. En version de base, sans les licences complémentaires, vous serez probablement frustrés de ne pas pouvoir accéder aux fonctions remote VPN, filtrage par réputation et filtrage par IDS, le remote VPN étant probablement le plus problématique pour un administrateur à distance de l’équipement. Si vous souhaitez tester, la procédure d’installation est ici ).