Die neuen Geräte mit dem Namen Firepower 1010, 1120 und 1140 kommen also als Ersatz für ASA 5506-X bis 5516-X. Und werden standardmäßig mit der Firepower Threat Defense Software ausgefliert. Die ASA-Modell werden aber noch weitergeführt, atkuell gibt es keine End-of-Life Annoucements.
Die Open Monitoring Distribution hat mit dem letzten Update zahlreiche kleinere Verbesserungen vorgenommen. Am auffälligsten dabei ist aber, abgesehen vom Major-Release 3.00, dass einige (teils veraltete) Komponenten entfernt wurden. Darunter sind:
Nagios 3 (alter Nagios Core)
Icinga 1 (alter Icinga Core)
Nagvis (Thruk Panorama ist die bessere Alternative)
Check_MK (Thruk GUI ist bei OMD Default)
Hat man noch den Nagios 3 oder Icinga 1 Core im Einsatz wird man beim Update automatisch zu Naemon migriert. Bei meinen Tests klappte das immer ohne Probleme.
Ich finde es einen guten Schritt für die Zukunft von OMD und möchte mich für das tolle Update bedanken!
define service {
use service-template-1min
host_name Windows Test Machine 2
service_description File Size of database.log
check_command check_file_size!c:\\database.log!1000k!2000k
}
Hier die wichtigsten Neuerung der Firewall-Software Releases von Cisco, für euch zusammengefasst:
Firepower Release 6.3
Multi-instance capability für Firepower 4100 und 9300 mit FTD
SSL hardware acceleration für Firepower 2100 series, Firepower 4100 und 9300
Remote Access VPN Two-Factor Authentication mit Duo
ASA 5506-X, 5506W-X, 5506H-X, and 5512-X wird von FTD 6.3 nicht mehr unterstützt! „You cannot install Firepower Threat Defense 6.3 or subsequent releases on the ASA 5506-X, 5506W-X, 5506H-X, and 5512-X. The final supported FTD release for these platforms is 6.2.3.“
ASA OS Release 9.10
FirePOWER Services für ASA 5506-X und 5512-X werden nicht mehr unterstützt.
Cisco Umbrella Support
Die größte Neuerung ist mit Sicherheit die Multi-Instanz Fähigkeit von FTD 6.3, was aber sehr interessant auffällt ist, dass die kleineren ASA Hardware-Plattformen immer weniger Unterstützung erhalten. Folgen also bald neue Geräte der Firepower Serie?
Die Weiterentwicklung der IT in den Bereichen IoT, allgegenwärtige Mobiliät, Cloud Adaptierung und fortschreitender Sicherheitsbedrohungen bringt auch neue Anforderungen an das klassische Netzwerk. Ciscos Antwort auf diese Herausforderungen ist die neue Catalyst 9k Series. Das neue Netzwerk mit dieser Plattform soll intuitiver werden, mehr Einsicht bieten, schützen und sich stets weiterentwickeln.
Hardware
Hardwareseitig bietet die Catalyst 9000 Serie ein breites Spektrum, vom Access bis zum Core, in allen Größen und Formen. Das neueste Modell aus der Serie ist der Catalyst 9200, welcher den beliebten 2960-X/XR ersetzen soll. Es muss gesagt sein, dass es sich nicht mehr nur um reinen Switches handelt, da diese neue Serie (ab 9300) auch Wireless Controller Funktionen bietet und somit LAN und WLAN vereinen soll.
Quelle Cisco.com
Software
Die Software für diese Geräte heißt IOS XE, welche viel mehr Flexibilität und Modularität bietet. Dank Containervirtualisierung lassen sich auch Anwendungen wie Wireshark direkt am Switch ausführen. Als Management Oberfläche gibt es lokalen Web- und CLI-Zugriff oder das neue zentrale Managment-Tool DNA-Center. SD-Access ist das neue Schlagwort um Switch-Fabric, ISE (TrustSec) und DNA-Center zu vereinen.
Quelle Cisco.com
Lizenzierung
Es gibt zwei unbefristet Basis-Lizenzen „Essentials“ und „Advantage“ die auf die Hardware gebunden sind und drei unterschiedliche Add-On Lizenz als Subscription für DNA. Mehr dazu im Data Sheet.
Konsolen-Verbindung mit der ASA herstellen.
– Entweder über das typische blaue „Cisco Console Cable“ (RJ-45) oder bei neueren Modellen mit USB (Mini USB Type B).
– Als Software kann zum Beispiel Putty verwendet werden.
– Den richtigen COM-Port findet man unter Windows im Gerätemanager.
ASA neu starten (Stromkabel ausstecken und wieder einstecken).
Kurz nach dem Start ESCAPE drücken um in den ROMMON Modus zu wechseln:
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Configuration Register bearbeiten:
rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
Eine erst kürzlich veröffentlichte Sicherheitslücke kann dazu verwendet werden eine Cisco ASA Firewall zum Absturz zu bringen oder sensible Information zu extrahieren. Betroffen sind vor allem AnyConnect Kunde mit offenem SSL-Port.
Neue Informationen von Cisco bestätigen, dass die Lücke bereits aktiv von Angreifern ausgenutzt wird.
Es kursieren bereits fertige Tools im Internet die es zum Beispiel ermöglichen alle angelegten Benutzer (und auch VPN-Benutzer) der Firewall anzuzeigen. Diese Informationen könnten dann für weitere Angriffe ausgenutzt werden.
Nagios Check zum Überwachen des Graylog-Nachrichtendurchsatzes.
Beim Betrieb eines Graylog-Servers ist die Performance ein sehr wichtiges Thema. Um die verarbeiteten Nachrichten pro Sekunde (msg/s) zu monitoren habe ich dieses Plugin entwickelt.
Das aktuellste Update 6.2.3 ist für alle Cisco Firepower System verfügbar, neue Features findet man aber vor allem für das Firepower Threat Defense System.
Verbesserungen von High Availability Clustern und der Handhabung von VPN Zertifikaten für FTD Systeme.
„Upgrade Package Push“ erlaubt das Software-Update Paket vor der Installation an alle Devices zu verteilen.
SSL Hardware Acceleration für Cisco Firepower 9300 und 4100 Series.
VMware ESXi 6.5 Support.
„Traffic Drop on Policy Apply“ ist zum Anpassen des Verbindungsverhaltens wenn der Snort-Prozess stoppt.
Mit einer gesammelten Veröffentlichung von Updates patcht Cisco gleich mehrere Sicherheitslücken in Cisco IOS und IOS XE (beides Betriebssysteme für Router und Switches). Es sind über 20 Advisories, 3 davon wurden als kritisch eingestuft.
Im Cisco Security Advisory Portal findet man eine Übersicht und weitere Informationen zu den Updates. Hier die Zusammenfassung:
Bernhard Hörl 