Cisco Firepower Release 6.2.3

Das aktuellste Update 6.2.3 ist für alle Cisco Firepower System verfügbar, neue Features findet man aber vor allem für das Firepower Threat Defense System.

  • Verbesserungen von High Availability Clustern und der Handhabung von VPN Zertifikaten für FTD Systeme.
  • „Upgrade Package Push“ erlaubt das Software-Update Paket vor der Installation an alle Devices zu verteilen.
  • SSL Hardware Acceleration für Cisco Firepower 9300 und 4100 Series.
  • VMware ESXi 6.5 Support.
  • „Traffic Drop on Policy Apply“ ist zum Anpassen des Verbindungsverhaltens wenn der Snort-Prozess stoppt.

Hier die komplette Liste an Neuerungen:
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/relnotes/Firepower_Release_Notes_623/new_features_and_changed_behavior.html

 

Cisco Firepower Release 6.2.2

Das vor kurzem veröffentlichte Update 6.2.2 für Cisco Firepower Systeme beinhaltet einige neue Features:

Cisco Threat Intelligence Director
Ermöglicht das Einbinden von third-party Threat intelligence Quellen in das Firepower Management Center.

Remote Access VPN
AnyConnect Client VPN ist jetzt für alle Platformen mit Firepower Threat Defense (FTD) verfügbar.

Rate Limiting
Für Firepower Threat Defense verwaltet von Firepower Management Center um QOS auf Ports, IPs, Applikationen, User, usw. anwenden zu können.

Intelligent Application Bypass
Um z.B. performancekritische Anwendungen wie Backups von der Inspection auszunehmen.

Eine detaillierte Übersicht findet ihr hier.

Die neue Firepower Software beinhaltet zahlreiche neue Features und auch viele kleinere Verbesserungen. Vor allem für FTD ist es ein wichtiger Schritt nach vorne.

Cisco Firepower Release 6.2.1 WTF!?

Mit der aktuellsten Veröffentlichung der Firepower-Software hat Cisco sein Versprechen gehalten und bringt endlich AnyConnect für das Firepower Threat Defense Betriebssystem.

Leider unterstützt der Software-Release 6.2.1 nur die Hardware-Plattform der Firepower 2100 Serie. Die Software kann also nicht für die ASA oder andere Firepower Threat Defense Devices verwendet werden. Eine sehr interessante Strategie von Cisco.

Es bleibt also wieder abzuwarten ob demnächst noch 6.2.1 für alle anderen Geräte veröffentlicht wird oder ob es hier gleich zur 6.2.2 geht.

Es ist sehr schade das Cisco hier noch mehr Verwirrung stiftet als es ohnehin schon mit unterschiedlichsten Plattformen, Software und Features gibt. Ich freue mich schon auf ein einheitliches FTD-System aber bis dahin wird es wohl noch ein holpriger Weg.

Release Notes:
http://www.cisco.com/c/en/us/td/docs/security/firepower/621/relnotes/Firepower_Release_Notes_Version_621/supported_platforms_and_environments.html

Cisco veröffentlicht die neue Firepower 2100 Hardware

Vor kurzem wurde von Cisco eine neue Firewall-Hardwareplattform vorgestellt, die Firepower 2100 Serie!

Die neue Firewall der Firepower-Klasse ist für den Enterprise-Sektor gedacht und  soll die bisherigen ASAs von 5525-5555 ablösen.

Die Geräte haben eine komplett neue Hardware-Architektur, die einen Performance-Verlust von nur mehr 1% bei maximaler Threat Inspection (IPS, SSL-Decryption,…) aufweisen sollen. Aktuell typische Werte sind ein Verlust von über 50%!

Zusätzlich anzumerken ist, dass die neuen Boxen nur mehr mit dem Firepower Threat Defense Betriebssystem ausgeliefert werden.

 

Firepower Threat Defense, was ist das?

Für die Cisco ASA Firewall werden aktuell zwei Betriebssysteme angeboten. Das klassische Image ASA OS und das neue FTD.

cisco asa download options.png

Ausgeliefert wird die ASA Hardware aktuell mit dem klassischen Image. So wie wir es kennen mit der alt bekannten CLI. Das grafische Management Werkzeug ist der ASDM. Die Next-Gen Firewall Funktionen erhält man in dem man die zusätzliche Komponente FirePOWER Services Software for ASA installiert.

Firepower Threat Defense ist die aktuellste Entwicklung und wird in Zukunft das klassische ASA Image ablösen.

Der Vorteil liegt darin, dass mit FTD alles aus einem Guss ist. Bei Cisco wird daher auch von einem Unified Image gesprochen. Grundsystem + Next-Gen Firewalling + Web basiertes Management.

Cisco Firepower Release 6.2

Mit dem neuen Cisco Firepower Update für die Next-Gen Firewalls gibt es zahlreiche kleine Verbesserungen und Cisco zeigt wohin die Reise geht.

Migrations-Tool

Neu ist das Migrations-Tool, dass die klassische Cisco ASA Konfiguration in die neue Firepower Threat Defense (FTD) Konfiguration umwandelt. Bisher liefen die Firepower Funktionen virtualisiert auf dem ASA OS. Diese Trennung hat aber Nachteile bei verschiedenen Anwendungen (z.B.: kein einheitliches Management, QOS auf einzelne Applikationen nicht möglich). Das neue Firewall-Betriebssystem FTD soll diese Nachteile vergessen machen. FTD ist also die Zukunft.

Dabei gibt es aber nicht nur Vorteil. In der aktuellen FTD Version 6.2 gibt es leider noch kein Client-VPN (aka AnyConnect).

Terminal Services Agent

Mit dem neuen TS Agent ist es jetzt auch möglich Benutzer in Shared Environments wie MS Terminal Server (RDP) oder der Citrix VDI zu identifizieren und Richtlinien anzuwenden. Ein tolles Features auf das wir alle schon sehnsüchtig gewartet haben!

URL Lookups

Dieses Feature erlaubt URLs direkt über das Firepower Management Center abzufragen um Informationen wie Kategorie, Reputationswert oder Policy-Match zu erhalten. Früher musste man dies immer umständlich manuell über externe Seiten machen.

Soll ich updaten?

Aktuell rate ich davon ab. Die neuen Features sind verlockend aber einen Major-Release mit einer .0 zum Schluss in einer Produktiv-Umgebung zu installieren ist zu gewagt. Besser auf 6.2.1 warten!

Alle neuen Features im Detail:

http://www.cisco.com/c/en/us/td/docs/security/firepower/620/relnotes/Firepower_System_Release_Notes_Version_620/new_features_and_functionality.html