Firepower – Bernhard Hörl

Cisco Firepower Release 6.7

Veröffentlicht am November 5, 2021 von bho

Wichtige Neuerung aus meiner Sicht

Manage FTD on a data interface
- Ein sehr nützliches Feature für Remote Deployments
- Das Outside-Interface (Data) kann jetzt auch als Management-Interface für die Verbindung zum Firepower Management Center verwendet werden
Update the FMC IP address on the FTD
AnyConnect module support for RA VPN
AnyConnect management VPN tunnels for RA VPN
Single sign-on for RA VPN
- SAML 2.0
- Super für Azure AD Implementierungen
FTD RA VPN now supports LDAP authorization using LDAP attribute maps.
Virtual Tunnel Interface (VTI) and route-based site-to-site VPN
URL filtering and application control on traffic encrypted with TLS 1.3 (TLS Server Identity Discovery)
Configuration rollback
Deploy intrusion and file policies independently of access control policies
FMC single sign-on for external users

Vor dem Upgrade gilt es zu beachten, dass der Firepower User Agent ab diesem Release nicht mehr unterstützt wird, und auch einige Hashing- und Verschlüsselungsmethoden, die als nicht mehr sicher gelten, müssen vor dem Update migriert werden.

Deprecated Features in Version 6.7

Cisco Firepower User Agent software and identity source
Less secure Diffie-Hellman groups, and encryption and hash algorithms

Alle Neuerung im Detail findet man unter:

https://www.cisco.com/c/en/us/td/docs/security/firepower/670/relnotes/firepower-release-notes-670/features.html

Cisco Firepower Release 6.6.1

Veröffentlicht am Oktober 27, 2020August 23, 2021 von bho

Hier die wichtigsten Neuerung der aktuellen FTD Firewall-Software von Cisco, für euch zusammengefasst:

FMCv benötigt Minimum 28GB RAM: 32GB empfohlen
6.6 ist der letzte Major Release der den Cisco Firepower User Agent unterstützt
Multi-instance Clustering
VRF Support
DTLS 1.2 Unterstützung für Remote Access VPNs (AnyConnect)
Site-to-site VPN IKEv2 support for multiple peers
Time-based access rules
Schnellere Datenbank für Connection and Security Intelligence Events
- Darum wird mehr RAM benötigt
Neues Webinterface („Light theme“) wird zum Standard
Firepower Device Manager: PPPoE Support

Alle neuen Features im Detail:

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/relnotes/firepower-release-notes-660/features.html

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/66x/relnotes/firepower-release-notes-66x/features.html

WebVPN Sicherheitslücke in ASA und FTD Firewalls

Veröffentlicht am August 5, 2020August 23, 2021 von bho

Eine Sicherheitslücke in den Firewalls von Cisco ermöglicht einem Angreifer aus der Ferne Dateien aus AnyConnect und WebVPN (Clientless SSL VPN Portal) auszulesen.

Bei dem Angriff gibt es keinen Zugriff auf Systemdateien des zugrundeliegenden Firewall-Betriebssystems. Laut Cisco hat ein Angreifer aber Lesezugriff auf „WebVPN configuration, bookmarks, web cookies, partial web content, and HTTP URLs.“

Cisco hat die Sicherheitslücke als „High“ eingestuft (Critical wäre die höchste Warnstufe). Für jemanden der nur AnyConnect im Einsatz hat sollte es nicht zu schlimm sein, wenn Standard-Konfigurationsdateien aus dem WebVPN ausgelesen werden können, da dadurch keine sensitiven Informationen abgegriffen werden können.

Ein Update auf eine gepatchte Firewall-OS Version würde ich trotzdem empfehlen. Wie sich oft zeigt können vermeintlich harmlose Sicherheitslücken für weitere kritische Attacken ausgenutzt werden. Auch bei dieser Sicherheitslücke hat der Hersteller weitere Informationen veröffenltich, die jetzt viel bedrohlicher klingen: „As an example, this could allow an attacker to impersonate another VPN user and establish a Clientless SSL VPN or AnyConnect VPN session to the device as that user.“

Ich bin gespannt ob die ursprüngliche Einstufung des CVSS Scores bald auf „kritisch“ geändert wird und noch weitere Details bekannt werden, ob Angreifer das genannte Beispiel bereits ausnutzen.

Link zum Security Advisory und einer Übersicht der gepatchten Firewall Betriebssystemversionen:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86

Firepower Remote IP Change

Veröffentlicht am Juni 10, 2020August 23, 2021 von bho

Wechsel der ISP Public-IPs für das Management- und Outside-Interface für Cisco Firepower Appliances mit FTD.

FTD: SSH zur aktuellen Management-IP

zum Beispiel mit Putty oder CLI "ssh admin@1.1.1.1"

FTD: Aktuelle Netzwerkkonfiguration anzeigen
```
show network
```

FTD: Neue Management IP Einstellungen konfigurieren

configure network ipv4 manual 2.2.2.1 255.255.255.248 2.2.2.6

FMC: Die Management IP im Firepower Management Center ändern (1.1.1.1 => 2.2.2.1)
```
Devices => Device Management => Edit
Device => Management => Edit
```

FTD: SSH zur neuen Management-IP

zum Beispiel mit Putty oder CLI "ssh admin@1.1.1.1"

FTD: Status überprüfen
```
expert => sudo sftunnel_status.pl
```

FMC: Neue Outside-IP konfigurieren

Device => Outside-Interface: 2.2.2.2 => Deploy

GEDULD! (Hat bei mir ca. 10min gedauert bis der Status im FMC und FTD wieder „grün“ war.)

Cisco FTD Software-Update über CLI

Veröffentlicht am Februar 5, 2020August 23, 2021 von bho

Patch mittels FTP auf die Firepower Threat Defense Firewall übertragen (LAN-Verbindung über das Inside-Interface, nicht das Management-Interface)
```
> copy ftp://USER:PASSWORD@HOST/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar disk0:

Syntax error: Illegal parameter
```
ACHTUNG! Bei meinem ersten Versuch den Patch zu übertragen, bekam ich eine Fehlermeldung. Ich glaube, es handelt sich dabei um einen Bug der FTD-CLI, da der Command zwar verfügbar ist, aber nicht funktioniert.

Als Workaround in die ASA-CLI wechseln (LINA Engine)

> system support diagnostic-cli
MYFWL01# copy ftp://USER:PASSWORD@HOST/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar disk0:

In den Expert-Mode wechseln
```
MYFWL01# exit
> expert
admin@MYFWL01$
```
Patch installieren
```
admin@MYFWL01$ sudo install_update.pl /mnt/disk0/Cisco_FTD_Patch-6.4.0.8-28.sh.REL.tar
```
HINWEIS! Ist die Firewall als HA bzw. Acitve/Standby Failover Cluster konfiguriert müssen beide Firewalls mit dem Failover-Link verbunden sein, da sonst die Patch-Installation fehlschlägt.

Cisco Firepower Release 6.5

Veröffentlicht am Oktober 10, 2019August 23, 2021 von bho

Hier ein paar meiner Highlights der neuen Firepower Software:

Neues User-Interface für FMC
Der Firepower User Agent wird bald nicht mehr unterstüzt. Es wird daher eine Migration zur ISE-PIC empfohlen.
Neuer URL Kategorie- und Reputations-Dienst von Cisco Talos (Brightcloud fällt weg)
Firepower 1010 Appliance Switch und PoE+ Support
Unterstützung für die neue Firepower 1150 Hardware
Die ASA 5515-X wird nicht mehr unter 6.5 unterstützt
EtherChannel Interfaces für Firepower 1000 und 2100 Serien

Alle Neuerungen im Detail findet ihr hier:

https://www.cisco.com/c/en/us/td/docs/security/firepower/650/relnotes/firepower-release-notes-650/features.html

Cisco Firepower Release 6.4

Veröffentlicht am Juli 17, 2019August 23, 2021 von bho

Die neue Version bringt Unterstützung für das Firepower Management Center auf Microsoft Azure und Support für neue Hardware.

Viele kleinere Verbesserungen am Firepower Threat Defense, wie:

Secondary authentication für Client-VPNs
Splunk Integration
Hit Counts für die Access Control Liste und den Prefilter Rules
Schnelleres deployen der Konfiguration
und vieles mehr

Alle neuen Features im Detail:

https://www.cisco.com/c/en/us/td/docs/security/firepower/640/relnotes/firepower-release-notes-640/features.html

Cisco Firepower 1000 Series

Veröffentlicht am Juni 13, 2019August 23, 2021 von bho

Cisco hat kürzlich neue Next-Gen Firewalls vorgestellt, welche das Portfolio der Firepower-Hardware Appliances abrunden.

Vor ca. 2 Jahren wurden die Firepower 2100er Serien veröffentlicht , diese lösten die Cisco ASAs von 5525-5555 ab.

Die neuen Geräte mit dem Namen Firepower 1010, 1120 und 1140 kommen also als Ersatz für ASA 5506-X bis 5516-X. Und werden standardmäßig mit der Firepower Threat Defense Software ausgefliert. Die ASA-Modell werden aber noch weitergeführt, atkuell gibt es keine End-of-Life Annoucements.

Weitere Details findet ihr im Datasheet und auf der Produkteseite.

Firepower 6.3 und ASA 9.10 Release

Veröffentlicht am Januar 15, 2019August 23, 2021 von bho

Hier die wichtigsten Neuerung der Firewall-Software Releases von Cisco, für euch zusammengefasst:

Firepower Release 6.3

Multi-instance capability für Firepower 4100 und 9300 mit FTD
SSL hardware acceleration für Firepower 2100 series, Firepower 4100 und 9300
Remote Access VPN Two-Factor Authentication mit Duo
ASA 5506-X, 5506W-X, 5506H-X, and 5512-X wird von FTD 6.3 nicht mehr unterstützt!
„You cannot install Firepower Threat Defense 6.3 or subsequent releases on the ASA 5506-X, 5506W-X, 5506H-X, and 5512-X. The final supported FTD release for these platforms is 6.2.3.“

ASA OS Release 9.10

FirePOWER Services für ASA 5506-X und 5512-X werden nicht mehr unterstützt.
Cisco Umbrella Support

Die größte Neuerung ist mit Sicherheit die Multi-Instanz Fähigkeit von FTD 6.3, was aber sehr interessant auffällt ist, dass die kleineren ASA Hardware-Plattformen immer weniger Unterstützung erhalten. Folgen also bald neue Geräte der Firepower Serie?

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html

https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/release/notes/asarn910.html

Cisco Firepower Release 6.2.3

Veröffentlicht am April 3, 2018August 23, 2021 von bho

Das aktuellste Update 6.2.3 ist für alle Cisco Firepower System verfügbar, neue Features findet man aber vor allem für das Firepower Threat Defense System.

Verbesserungen von High Availability Clustern und der Handhabung von VPN Zertifikaten für FTD Systeme.
„Upgrade Package Push“ erlaubt das Software-Update Paket vor der Installation an alle Devices zu verteilen.
SSL Hardware Acceleration für Cisco Firepower 9300 und 4100 Series.
VMware ESXi 6.5 Support.
„Traffic Drop on Policy Apply“ ist zum Anpassen des Verbindungsverhaltens wenn der Snort-Prozess stoppt.

Hier die komplette Liste an Neuerungen:
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/relnotes/Firepower_Release_Notes_623/new_features_and_changed_behavior.html