Cisco Security Manager
Cisco Security Manager является решением для централизованного предоставления всех аспектов конфигурации устройств и политик безопасности для межсетевых экранов Cisco, виртуальных частных сетей (VPN) и систем предотвращения вторжений (IPS). Это решение обеспечивает эффективное управление даже небольшими сетями, в которых находится не более 10 устройств, однако оно может расширяться для управления крупными сетями, состоящими из тысяч устройств. Масштабируемость достигается за счет интеллектуальных методов управления на основе политики, упрощающих администрирование.
Cisco Security Manager 4.3
Система управляет разнообразным оборудованием Cisco, предназначенным для безопасной ИТ-среды, в том числе адаптивными устройствами информационной безопасности Cisco ASA 5500 и 5500-X, сенсорными устройствами Cisco IPS 4200, 4300 и 4500 (предназначены для предотвращения вторжений), безопасными мобильными клиентами Cisco AnyConnect Secure Mobility Client и безопасными маршрутизаторами Cisco Secure Router.
В отличие от других систем управления, чье масштабирование требует установки множества продуктов, один-единственный экземпляр CSM может управлять очень большим количеством устройств, что резко увеличивает масштабируемость данного решения.
Данная система поддерживает непрерывный мониторинг «здоровья» и производительности устройств Cisco ASA и IPS и передает сигналы тревоги, когда отслеживаемые параметры достигают пороговых значений.
Интуитивно понятный интерактивный шаблон (wizard) значительно упрощает и оптимизирует индивидуальное и групповое обновление программных образов на сетевых экранах ASA.
Решение предоставляет (через интерфейсы API) доступ к настройкам политик Cisco Security Manager и позволяет организациям передавать эту информацию другим важным сетевым сервисам, например, системам, отвечающим за удовлетворение законодательных и нормативных требований и анализ уровня информационной безопасности.
Первый взгляд на новое программное обеспечение Cisco Firepower Threat Defense (UPD 02.09.16)
Здравствуй, Хабр! Осенью прошлого года мы делились с тобой опытом внедрения сервисов FirePOWER на межсетевом экране Cisco ASA. А в новогодних флэшбэках упомянули про FirePOWER версии 6.0, в которой одной из основных новшеств было управление всеми сервисами с помощью ASDM. Прогресс в Cisco не стоит на месте и этой весной произошел анонс нового модельного ряда Cisco Firepower 4100 и 9300. Это, по сути, все те же модульные ASA, на подобие 5585-X, но с новым названием (привет отдел маркетинга), более навороченные, более производительные и с новым программным обеспечением централизованного управления Firepower Threat Defense (FTD). FTD можно запускать не только на устройствах нового модельного ряда, но и на всех моделях ASA 5500-X, кроме 5585-X (по крайне мере на данный момент). Как раз об этом новом ПО от Cisco и пойдет речь в этой статье.
Немного предыстории. В FirePOWER версии 5.4 все было «просто»: был сенсор, расположенный на SSD ASA (или отдельная железка, или на виртуалке) и было ПО для управления FireSIGHT Management Centre (он же Defense Centre). Для ASA был свой стандартный образ IOS с управлением через CLI/ASDM. Для сенсора нужен был свой образ, доступ на который осуществлялся чрез тот же CLI ASA (или SSH к mgmt-порту). Ну а доступ к FireSIGHT осуществлялся через браузер. К этому нужно добавить отдельные лицензии+смартнет на ASA, отдельные подписки на сенсор и смартнет на FireSIGHT. Само собой, что такой распределенный подход к управлению всеми сервисами не устраивал многих. С выходом FirePOWER версии 6.0 появилась возможность управлять всеми сервисами с помощью ASDM. Ряд ограничений, накладываемый самим ASDM, нехватка централизованного распределения политик по разным сенсорам и несколько других особенностей не всем пришелся по душе, поэтому многим все же приходится ждать полноценного решения для централизованного управления всем и сразу.
С выходом FTD централизованное управление получили – один образ, на котором крутится ПО сенсора и ПО Cisco ASA. Управление и тем и другим происходит через Firepower Management Center (FMC – все тот же FireSIGHT, уже третье название одного и того же, остановитесь, пожалуйста). И все бы ничего, но если в случае с ASDM мы получали ограничения на сервисы FP, то теперь получаем ограничения на функционал и настройку ASA. Основным ограничением является «не работоспособность» VPN. Да и не то что бы он не работал, его просто нельзя настроить штатными средствами. На текущий момент нельзя настроить ни Site-to-Site VPN, ни Remote access VPN.
Образ FTD доступен для установки на всех платформах ASA 5500-X и FP 4100/9300. Не обошлось и без виртуального исполнения – vFTD, на базе которого, в основном, и будет строиться дальнейшее повествование.
Первый образ FTD получил версию 6.0.1. Для того, чтобы можно было подключить FTD к FMC, необходимо обновить FireSIGHT до версии 6.0.1 (требования к FMС не отличаются от требований к предыдущим версиям продукта). Сам же процесс подготовки виртуальной среды или Cisco ASA с последующей инсталляцией образа FTD и его подключение к FMC подробно описан в Quick Start гайдах (VMware, Cisco ASA и на всякий случай Firepower 4100, Firepower 9300), поэтому останавливаться на нем не будем. Тем более, этот процесс для ASA и VMware мало чем отличается от установки отдельного FP сенсора на этих платформах. В конечном итоге картина подключенного FTD (в нашем случае vFTD) будет похожа на такую:
Рисунок 1 – Отображение vFTD в консоли FMC
На что здесь следует обратить внимание:
Лицензии теперь идут по программе Smart License – очередная новая схема лицензирования от Cisco.
Основной посыл этой схемы – это автоматическое отслеживание актуальности подписки/лицензии устройством (устройство самостоятельно периодически спрашивает у Cisco актуальна ли установленная лицензия и соответствует ли настраиваемый функционал условиям подписки) и возможность централизованного управления всеми подписками/лицензиями через созданный под это портал Smart Software Manager.
Рисунок 2 – Smart Licenses для vFTD
2. Routed Mode для виртуального FTD
В отличии от виртуального сенсора FP, vFTD может работать в режиме маршрутизации. Оно и понятно, ведь теперь у нас внутри FTD есть образ ПО ASA. А в случае с виртуализацией его надо на чём-то запускать и это что-то, конечно же, — ASAv, а конкретнее ASAv30. В процессе загрузки vFTD, консоль то и дело пестрит сообщения о запуске ASAv, а то и вообще спрашивает какой образ загрузить:
Рисунок 3 – Загрузка vFTD. Выбор образа для ASAv
Кстати говоря, консоль в момент загрузки vFTD – это единственное место, где можно подсмотреть текущие лицензии на саму ASAv:
Рисунок 4 – Лицензия “VPN Premium” c активированным 3des-aes и без Anyconnect
Раз уж это ASAv30, то с установкой vFTD мы получаем производительность сравнимую с железной ASA 5525-X, судя по цифрам в даташитах вендора (ASA 5500-X, ASAv pdf). Конечно, пока не понятно, какая там производительность с учетом функционала FP, но все же приятно.
Рисунок 5 – Platform Settings для vFTD
В принципе, из названий и так понятно, что за что отвечает, поэтому остановлюсь лишь на одном: на связке External Authentication + Secure Shell/HTTP.
Такая связка нужна для того, чтобы мы смогли попасть непосредственно в консоль ASAv. Создать локальные учетные записи нельзя, поэтому для аутентификации приходится использовать либо LDAP, либо RADIUS (External Authentication). Все вроде бы как обычно: сначала настроить метод аутентификации, а затем с каких адресов, на какой интерфейс и по какому протоколу можно заходить. И если с SSH все отлично, то вот HTTP видимо сделан «на будущее». HTTP на Cisco ASA обычно настраивается для доступа через ASDM, но в данном случае образ ASDM отсутствует на ASAv и опций для его загрузки и настройки в FMC нет, вот и получаем, что при доступе через браузер у нас ошибка 404, а при подключении через ASDM «Unable to launch device manager»:
Рисунок 6 – Подключение к FTD по HTTP
Попав в консоль по SSH, первым делом смотрим show version:
Рисунок 7 – Show version через SSH
Тут и информация по версии vFTD и по софту/железу ASAv. Много Немного поковыряв CLI, приходим к выводу, что создан он с одной лишь целью – мониторинг и траблшутинг. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п. Режим конфигурации (conf t) отсутствует. Единственное, что можно настроить из enable режима, – это aaa-server для аутентификации пользователей к этому же CLI. И тут два варианта: либо это ограничения доступа учетных записей, либо такой уж образ ASAv, хотя название для него вполне стандартное (asa961-smp-k8.bin). Но все же внимательно просмотрев выводимую конфигурацию, появляется склонность ко второму варианту, но не без участия первого.
Рисунок 8 – Компоненты классических настроек ASA
Все настраиваемы «объекты» во вкладке Objects создаются с целью дальнейшего их использования различными политиками, в частности политикой, применяемой к устройству во вкладке Device Management.
Настройка политики во вкладке Device Management включает в себя:
Аналогичный при настройке отдельного сенсора FP.
Рисунок 9 – Раздел Devices
Статическая и динамическая (EIGRP, OSPF, RIP, BGP, Multicast). Видимо, за возможность настройки BGP стоит поблагодарить версию 9.6(1) виртуальной ASA.
Рисунок 10 – Настройка маршрутизации
А вот и пример применения «объекта» SLA для статического маршрута и его отображение в CLI:
Рисунок 11 – Пример настройки SLA
Здесь без нюансов и ограничений, доступны все варианты правил NAT.
Рисунок 12 – Настройка правил трансляций
4. Настройка интерфейсов.
Рисунок 13 – Настройка интерфейсов
С интерфейсами все вполне стандартно, за исключением одного момента – привычный всем security-level задать нельзя, все интерфейсы идут с нулевым уровнем безопасности. Но несмотря на то, что в конфигурации отсутствует разрешение на прохождение трафика между интерфейса с одинаковым уровнем безопасности (same-security-traffic permit inter-interface), всё прекрасно работает.
5. Настройка Inline сетов.
Tap mode – вместо того, что бы пропускать весь трафик через сенсор, на сенсор будет попадать только копия трафика, соответственно активные действия по отношению к трафику применяются не будут. Но при этом события (например, события IPS) генерироваться будут. Своего рода режим мониторинга для трафика на выбранной паре интерфейсов («span mode», если сравнивать с отдельным сенсором FP). Propagate Link State – режим bypass, пропускаем весь трафик без проверки, при этом, если один из интерфейсов в паре отправляется в состоянии down, то и со вторым происходит тоже самое (как только проблемный интерфейс возвращает себе состояние up, второй поднимается автоматически). Strict TCP Enforcement – включение контроля тройного рукопожатия для TCP сессий. Tap mode и Strict TCP Enforcement одновременно включить нельзя.
Рисунок 14 – Настройка Inline Sets
6. Настройка сервиса DHCP.
В трех вариантах: DHCP сервер, DHCP релей и DDNS.
Рисунок 15 – Настройка DHCP
На этом, пожалуй, всё. Что же касается параметров классического инспектирования трафика: их изменить нельзя, хотя в CLI они выглядят вполне стандартно с небольшими дополнениями в виде ip опций и дополнительных опций для tcp.
Настройка политик по подпискам (NGFW, NGIPS, AMP)
Настройки всех политик выполняются тем же самым образом, что и раньше. Главное не забывать выбирать необходимое устройство при их развертывании. Интересный момент заключается в политиках NGFW (Access Control Policy) – все настроенные и примененные правила можно посмотреть через CLI. В CLI они отображаются в качестве ACL, который имеет специфическое имя и не менее специфический синтаксис:
Рисунок 16 – Правила Access Control Policy.
И главное здесь то, что такой ACL применяется глобально (access-group CSM_FW_ACL_ global) и более того отсутствие в конце ACL классического правила deny any any, фактически, действительно означает его отсутствие. Весь трафик, который не попадает под созданные правила (в том числе в направлении outside-inside), обрабатывается «действием по умолчанию» (Default Action, рисунок 16). Поэтому, стоит крайне внимательно отнестись к составлению правил, дабы избежать ситуации, когда весь входящий трафик разрешен. Какие-либо нюансы в настройке файловых политик или политик IPS замечены не были.
На первый взгляд версия 6.0.1 FTD показалась крайне «сыроватой», но на то она и первая версия, апдейты не за горами (на момент написания статьи вышел апгрейд до версии 6.0.1.1, включающий в себя ряд багфиксов). На текущий момент, нельзя перенести весь функционал классической ASA на новую платформу и, конечно же, особенно сильно смущает отсутствие VPN. В любом случае, решение на базе ASA FTD хорошо подойдет для ситуаций, в которых необходим исключительно функционал FirePOWER. В любых других ситуациях стоит по-прежнему использовать «раздельный» вариант Cisco ASA with FirePOWER Services. А для тех, кто дочитал до конца (или начал с конца) и всерьез задумался об использовании такого решения (а может уже использует), небольшой «лайфхак» ниже под катом.
Настроить костыльный Site-to-Site VPN можно. Доступ по SSH у нас есть и, да, редактировать конфигурацию мы не можем. Но можем ее загружать – команда copy доступна в полном объеме. Всё, что нам нужно это выгрузить running-config, например, на tftp сервер и отредактировав его, загрузить обратно. Все необходимые строки для VPN можно добавить в разрыв между предпоследней и последней строками конфигурационного файла (Cryptochecksum и end):
Загружать подготовленную конфигурацию нужно командой, с четким указанием расположения конфигурационного файла на FTD:
После того как файл скопируется, SSH соединение оборвется, нужно будет снова подключиться и сохранить конфигурацию (write memory). Выполнив соответствующую конфигурацию на другой стороне, мы получим полноценный, работающий Site-to-Site VPN.
И все бы ничего, но это был бы не «костыль», если бы не один нюанс: созданный таким образом access-list для крипто карты, будет удаляться из конфигурации FTD каждый раз, когда мы применяем любые изменение в консоли FMC (выполняем Deploy). В этой ситуации, к нам на помощь, приходит Embedded Event Manager (EEM), добавленный в ASA с версии 9.2(1). Точно так же, как и с конфигурацией VPN, добавляем в конфигурацию EEM:
Такой EEM будет добавлять каждые 5 секунд в конфигурацию необходимый нам ACL. Так же необходимо добавлять команду привязки ACL к крипто карте, так как удаление ACL из конфигурации приводит и к удалению привязки. Таким образом мы получаем вполне работоспособный VPN.
В такой реализации, стоит ожидать потери пакетов, в моменты развертывания политик с FMC на FTD:
Возможная альтернатива event timer’у в EEM – это выполнение действий при появлении сообщения в логах с конкретным id (event syslog id). Такой вариант не был протестирован, поэтому о его успехе я сказать ничего не могу (даже в случае корректно подобранного id).
User Guide for Cisco Security Manager 4.18
Book Title
User Guide for Cisco Security Manager 4.18
Chapter Title
Getting Started with Security Manager
View with Adobe Reader on a variety of devices
Results
Chapter: Getting Started with Security Manager
Getting Started with Security Manager
The following topics describe Cisco Security Manager, how to get started with the application, and how to complete its configuration.
Product Overview
Note From version 4.17, though Cisco Security Manager continues to manage the following devices, it will not provide support for any enhancements:
Caution 
From version 4.18, Cisco Security Manager does not support SFR from ASA 9.10(1) onwards for ASA 5512, ASA 5506, ASA 5506H and ASA 5506W models. Therefore, if you upgrade to 9.10(1) through Image Manager, the exiting SFR configuration will be lost.
Cisco Security Manager (Security Manager) enables you to manage security policies on Cisco security devices. Security Manager supports integrated provisioning of firewall, and VPN (site-to-site, remote access, and SSL) services across ASA security appliances.
For a complete list of devices and OS versions supported by Security Manager, please refer to Supported Devices and Software Versions for Cisco Security Manager on Cisco.com.
Security Manager also supports provisioning of many platform-specific settings, for example, interfaces, routing, identity, QoS, logging, and so on.
Security Manager efficiently manages a wide range of networks, from small networks consisting of a few devices to large networks with thousands of devices. Scalability is achieved through a rich feature set of shareable objects and policies and device grouping capabilities.
Security Manager supports multiple configuration views optimized around different task flows and use cases.
The following topics provide an overview of Security Manager:
Primary Benefits of Cisco Security Manager
These are the primary benefits of working with Security Manager:
– Event Viewer —Event Viewer monitors your network for system log (syslog) events from ASA and FWSM devices, as well as security contexts and SDEE events from IPS devices and virtual sensors. Event Viewer collects these events and provides an interface by which you can view them, group them, and examine their details in near real time.
– Report Manager —Report Manager lets you collect, display and export a wide variety of network usage and security information for ASA and IPS devices, and for ASA-hosted remote-access IPsec and SSL VPNs. These reports aggregate security data such as top sources, destinations, attackers, victims, as well as security information such as top bandwidth, duration, and throughput users. Data is available for hourly, daily, and monthly periods. (Report Manager aggregates information collected from devices monitored by the Event Manager service. Thus, to view reports about a device, you must be monitoring that device in Event Viewer.)
Note Report Manager does not report FWSM events even though Event Viewer works with FWSM.
– Health and Performance Monitor —Health and Performance Monitor (HPM) periodically polls monitored ASA devices, IPS devices, and ASA-hosted VPN services for key health and performance data, including critical and non-critical issues, such as memory usage, interface status, dropped packets, tunnel status, and so on. This information is used for alert generation and email notification, and to display trends based on aggregated data, which is available for hourly, daily, and weekly periods.
Note Health and Performance Monitor does not monitor FWSM devices.
– Dashboard —The Dashboard is a configurable launch point for Security Manager that makes IPS and FW tasks more convenient for you. In addition to the original dashboard, you can create new, additional dashboards, and you can customize all dashboards. By using the dashboard, you can accomplish in one place many tasks that are found in several other areas of Security Manager, such as the IPS Health Monitor page, Report Manager, Health and Performance Monitor, and IP Intelligence Settings. For detailed information on the dashboard, see Dashboard Overview.
Additional features let you monitor devices from Security Manager using other closely related applications, including Cisco Security Monitoring, Analysis and Response System (CS-MARS), Cisco Performance Monitor, and device managers such as ASDM (read-only versions of which are included with Security Manager).
Security Manager Policy Feature Sets
Security Manager provides the following primary feature sets for configuration policies:
Configuration and management of firewall policies across multiple platforms, including IOS routers, ASA/PIX devices, and Catalyst Firewall Service Modules (FWSMs). Features include:
– Access control rules—Permit or deny traffic on interfaces through the use of access control lists for both IPv4 and IPv6 traffic.
– Botnet Traffic Filter rules—(ASA only.) Filter traffic based on known malware sites and optionally drop traffic based on threat level.
– Inspection rules—Filter TCP and UDP packets based on application-layer protocol session information.
– AAA/Authentication Proxy rules—Filter traffic based on authentication and authorization for users who log into the network or access the Internet through HTTP, HTTPS, FTP, or Telnet sessions.
– Web filtering rules—Use URL filtering software, such as Websense, to deny access to specific web sites.
– ScanSafe Web Security—(Routers only.) Redirect HTTP/HTTPS traffic to the ScanSafe web security center for content scanning and malware protection services.
– Transparent firewall rules—Filter layer-2 traffic on transparent or bridged interfaces.
– Zone-based firewall rules—Configure access, inspection, and web filtering rules based on zones rather than on individual interfaces.
Setup and configuration of IPsec site-to-site VPNs. Multiple device types can participate in a single VPN, including IOS routers, PIX/ASA devices, and Catalyst VPN Service Modules. Supported VPN topologies are:
– Point to point
– Hub and spoke
– Full mesh
– Extranet (a point-to-point connection to an unmanaged device)
Supported IPsec technologies are:
– Regular IPsec
– GRE
– GRE Dynamic IP
– DMVPN
– Easy VPN
– GET VPN
Setup and configuration of IPsec and SSL VPNs between servers and mobile remote workstations running Cisco VPN client or AnyConnect client software. For more information, see Chapter 30, “Managing Remote Access VPNs: The Basics”.
Management and configuration of Cisco IPS sensors (appliances and service modules) and IOS IPS devices (Cisco IOS routers with IPS-enabled images and Cisco Integrated Services Routers).
Configuration of advanced platform-specific features and settings on PIX/ASA devices and Catalyst FWSMs. These features provide added value when managing security profiles and include:
– Interface configuration
– Identity-aware firewall settings
– Device administration settings
– Security
– Routing
– Multicast
– Logging
– NAT
– Bridging
– Failover
– Security contexts
Configuration of advanced platform-specific features and settings on IOS routers. These features provide added value when managing security profiles and include:
– Interface configuration
– Routing
– NAT
– 802.1x
– NAC
– QoS
– Dialer interfaces
– Secure device provisioning
Configuration of VLAN, network connectivity, and service module features and settings on Catalyst 6500/7600 devices and on other Catalyst switches.
Flexconfig policies and policy objects enable you to provision features that are available on the device but not natively supported by Security Manager. They enable you to manually specify a set of CLI commands and to deploy them to devices using Security Manager’s provisioning mechanisms. These commands can be either prepended or appended to the commands generated by Security Manager to provision security policies.
Security Manager Applications Overview
The Security Manager client has six main applications and one application designed for mobile devices:
You can open any of these applications directly from the Windows Start menu or a desktop icon, or you can open them from within any of these applications through the application’s Launch menu. For information on opening applications, see Logging In to and Exiting the Security Manager Client.
The Security Manager client has an additional application, CSM Mobile, which is designed specifically for mobile devices:
Device Monitoring Overview
Security Manager includes several facilities for monitoring devices:
For information on all of the types of reports available in Security Manager, see Understanding the Types of Reports Available in Security Manager.
IPv6 Support in Security Manager
Security Manager provides increasing support for IPv6 configuration, monitoring, and reporting.
Beginning with version 4.12, Security Manager supports communication from Security Manager server to the managed devices over either IPv6 address or IPv4 address. This feature is available only for firewall devices, that is, those devices where the OS type is either ASA or FWSM. To enable communication over IPv6 addresses, you must first enable IPv6 address on the Security Manager server. See Configuring IPv6 on Security Manager Server for more information.
Note The communication between Security Manager server and Security Manager client is over IPv4 address only. IPv6 address is not supported for server to client communication. Also, if ACS server is used for authentication, the ACS must have IPv4 address. IPv6 communication to ACS server is not supported. Auto Update Server (AUS) does not support IPv6 addresses.
For versions prior to 4.12, to manage a device that supports IPv6 addressing with Security Manager, you must configure the device’s management address as an IPv4 address. All communications between the device and Security Manager, such as policy discovery and deployment, use IPv4 transport. If the IPv6 policies are not appearing for a supported device, rediscover the device policies; if necessary, delete the device from the inventory and add it again.
Configuring IPv6 on Security Manager Server
Follow these steps to configure IPv6 on Security Manager server for communicating with a device over IPv6 address.
Step 1 On the Security Manager server, go to Start > Control panel > Network and Internet > Network Connections.
Step 2 Click the available Network Connection to open the Ethernet Status window. Click Propertie s. The Ethernet Properties window appears.
Step 3 On the Networking tab, check the Internet Protocol Version 6 (TCP/IPv6) check box, and then click Properties. The Internet Protocol Version 6 (TCP/IPv6) Properties window appears.
Step 4 Configure the IPv6 static address and DNS servers, and click OK.
Note You must configure Security Manager server hostname to resolve to IPv4 addresses only. The server hostname should not resolve to IPv6 address.
Configuring IPv6 Policies
In general, you can configure IPv6 policies on the following types of device. In addition, you can monitor IPv6 alerts generated by IPS, ASA, and FWSM devices. For other types of devices, use FlexConfig policies to configure IPv6 settings. For more specific information on IPv6 device support, see the Supported Devices and Software Versions for Cisco Security Manager document on Cisco.com.
Following is a summary of the Security Manager features that support IPv6 addressing:
– Networks/Hosts. See Understanding Networks/Hosts Objects.
– Services. This object includes predefined services for ICMP6 and DHCPv6, which you can use only with IPv6 policies. The other services apply to both IPv4 and IPv6. For more information on service objects, see Understanding and Specifying Services and Service and Port List Objects.
– AAA Rules. See Chapter 15, “Managing Firewall AAA Rules”.
– Access Rules. See Configuring Access Rules.
– Inspection Rules. See Chapter 17, “Managing Firewall Inspection Rules”.
– Settings > Access Control. See Configuring Settings for Access Control.
– Tools:
– (ASA 7.0+ routed mode; ASA 8.2+ transparent mode; FWSM 3.1+ routed mode.) Interfaces: IPv6 tab of the Add Interface and Edit Interface dialog boxes. See Configuring IPv6 Interfaces (ASA/FWSM).
– (ASA only.) Platform > Bridging > IPv6 Neighbor Cache. See Managing the IPv6 Neighbor Cache.
– (ASA 5505 8.2/8.3 only.) Platform > Bridging > Management IPv6. See Management IPv6 Page (ASA 5505).
– (ASA 8.4.2+ only.) Platform > Device Admin > Server Access > DNS. See DNS Page.
There is also a predefined FlexConfig policy object that uses these variables, ASA_add_IPv6_ACEs.
Policy Object Changes in Security Manager 4.4
Certain changes were made to a few policies and policy objects in Security Manager 4.4, in order to unify previously separate IPv4 and IPv6 elements. The most important of these changes are to the Networks/Hosts object (which itself represents a unification of the Networks/Hosts and the Networks/Hosts-IPv6 objects):
Other related changes include unification of IPv4 and IPv6 versions of device-specific policies such as Access Rules, Inspection Rules, and so on.
Further, when editing policies and objects, IPv4, IPv6, or mixed-mode (both IPv4 and IPv6) entries are automatically filtered in elements, such as dialog boxes, in which one or more of those entries is not appropriate to that element.
Logging In to and Exiting Security Manager
Security Manager has two main interfaces:
These topics describe how to log in to and exit these interfaces:
Understanding User Permissions
Cisco Security Manager authenticates your username and password before you can log in. After you are authenticated, Security Manager establishes your role within the application. This role defines your permissions (also called privileges), which are the set of tasks or operations that you are authorized to perform. If you are not authorized for certain tasks or devices, the related menu items, items in tables of contents, and buttons are hidden or disabled. In addition, a message tells you that you do not have permission to view the selected information or perform the selected operation.
Authentication and authorization for Security Manager is managed either by the CiscoWorks server or the Cisco Secure Access Control Server (ACS). By default, CiscoWorks manages authentication and authorization, but you can configure Security Manager to use your Cisco Secure ACS setup.
When using ACS, if all of the ACS servers become unavailable, you cannot perform tasks in Security Manager. If you are logged in, you might be abruptly logged out of the system (without an opportunity to save changes) if you try to perform a task that requires ACS authorization. If this happens, you get a message stating this is the reason you are getting logged off.
For more information about authorization control in the Event Viewer and Report Manager applications, see the following topics:
Logging In to the Cisco Security Management Suite Server
Use the Cisco Security Management Suite home page, and CiscoWorks Common Services, to install the Security Manager client and to manage the server. You can also access other CiscoWorks applications you installed, such as RME.
Note The Software Center > Software Update feature in Common Services is not supported by Cisco Security Manager.
Step 1 In your web browser, open one of these URLs, where SecManServer is the name of the computer where Security Manager is installed. Click Yes on any Security Alert windows.
The Cisco Security Management Suite login screen is displayed. Verify on the page that JavaScript and cookies are enabled and that you are running a supported version of the web browser. For information on configuring the browser to run Security Manager, see Installation Guide for Cisco Security Manager.
Step 2 Log in to the Cisco Security Management Suite server with your username and password. When you initially install the server, you can log in using the username admin and the password defined during product installation.
Step 3 On the Cisco Security Management Suite home page, you can access at least the following features. Other features might be available depending on how you installed the product.
Step 4 To exit the application, click Logout in the upper right corner of the screen. If you have both the home page and the Security Manager client open at the same time, exiting the browser connection does not exit the Security Manager client.
Note To meet PCI compliance, TLS 1.0 is disabled from CSM server. Hence, CSM server will not allow any TLS 1.0 clients to connect. This change is not applicable for CSM server to device communication. Existing CSM server to device communication will be supported as is.
Logging In to and Exiting the Security Manager Client
Use the Security Manager client to perform most Security Manager tasks.
Tip You must log into the workstation using a Windows user account that has Administrator privileges to fully use the Security Manager client applications. If you try to operate the applications with lesser privileges, you might find that some features do not work correctly.
Install the client on your computer. To install the client, log into the Security Manager server as described in Logging In to the Cisco Security Management Suite Server, and then click Cisco Security Manager Client Installer and follow the instructions in the installation wizard.
Step 1 Select one of the following applications from the Start > All Programs > Cisco Security Manager Client menu:
Tip If the client was installed on the workstation, but it does not appear in your Start menu, it probably was installed by another user. To make Security Manager Client visible in the Start menu for every user of the client station, copy the Cisco Security Manager Client folder from Documents and Settings\ \Start Menu\Programs\Cisco Security Manager to Documents and Settings\All Users\Start Menu\Programs\Cisco Security Manager.
Step 2 In the application’s login window, select the server to which you want to log in, and enter your Security Manager username and password. Click Login.
The client logs in to the server and opens the application you selected based on the following conditions. Note that these conditions are per application, for example, if you have Configuration Manager open on one workstation, opening Event Viewer from a different workstation has no implications for your Configuration Manager session unless or until you start Configuration Manager from Event Viewer.
Tip The client automatically closes if it is idle for 120 minutes. To change the idle timeout, in Configuration Manager, select Tools > Security Manager Administration, select Customize Desktop from the table of contents, and enter the desired timeout period. You can also disable the feature so that the client does not close automatically. All applications use the same timeout setting, and working in one application resets the timer for all other applications.
Step 3 To exit the application, select File > Exit.
These topics provide an overview of the different views in which you can work in Configuration Manager, the basic task flow for defining and deploying policies to devices, and some basic concepts:
Configuration Manager Overview
The Configuration Manager application provides three views in which you can manage devices and policies: Device view, Policy view, and Map view. You can switch between these views according to your needs using toolbar buttons or the View menu.
Each view presents a different way to access Configuration Manager functionality. What you can do, and how you do it, are determined by the view you select. In the Device and Policy views you see two selectors on the left and a work area on the right. In each of these, your selection in the upper selector determines what you can select in the lower selector. Your selection in the lower selector determines what you view in the work area. This design enables you to quickly and easily drill down to the network details that you want to view or edit.
Besides the main views, there are several additional tools used for configuring other items such as site-to-site VPNs and policy objects, or for monitoring devices. These tools are typically available from the Manage menu, although some are available on the Policy, Activities, Tools, or Launch menus. Some tools have related buttons in the toolbar. These tools open in a separate window so that you do not loose your place in the main view that you are currently using.
The following topics provide reference information about the basic features of the user interface:
Device View Overview
Device view in Configuration Manager enables you to add devices to the Security Manager inventory and to centrally manage device policies, properties, interfaces, and so on. The following figure identifies the functional areas of the Device view.
This is a device-centric view in which you can see all devices that you are managing and you can select specific devices to view their properties and define their settings and policies.
Note Security Manager also provides the ability to see the status of the devices in the Security Manager inventory. To access the Device Status View, select View > Device Status View or select one of the folder nodes in the Device selector. For more information, see Working with Device Status View.
In Device View, you can define security policies locally on specific devices. You can then share these policies to make them globally available to be assigned to other devices.
Figure 1-1 Device View Overview
| 1 |
| 1 |
| 1 | |||
| Question | Non-Workflow Mode with Ticket Management Enabled | Non-Workflow Mode with Ticket Management Disabled | Workflow Mode |
|---|---|---|---|
| Command | Description | ||
| Command | Description | ||
| Menu Command | Description | ||
| Menu Command | Description | ||
| Menu Command | Description | ||
| Menu Command | Description | ||
| Menu Command | Description | ||
