Hier erkläre ich kurz, wie eine Cisco ASA 5508-FTD Firewall neu aufgespielt (ge-imaged) werden kann.

Dies funktioniert genauso mit der 5506-FTD und 5516-FTD. Bisher (Mai 2019) ist dies auch leider der einzige Weg, wie man bei diese Geräte auch echte Werkseinstellungen zurücksetzten kann. Für mein Beispiel nutze ich Windows 10. Dies kann aber auch unter jedem anderen Betriebssystem erledigt werden, welches den Cisco Konsolenport unterstützt.


Warnung: Da es in dieser Anleitung um ein Re-Image von FTD zu FTD geht, gehe ich davon aus, das ROMMON bereits in Version 1.1.8 oder höher installiert ist. Dies ist laut Cisco die Voraussetzung um FTD installieren und nutzen zu können.

Achtung: Die 5506 Geräte können bislang nur mit maximal Version 6.2 geimaged werden. Daher werden hier andere Dateien zum aufspielen genutzt. Diese sind im nächsten Abschnitt aufgelistst.


Benötigt wird

  • Eine Cisoc ASA-55xx-FTD
  • Ein Computer welcher die Cisco Serial-USB Konsole unterstützt
  • TFTP-Server auf dem Computer (optional zusätzlich Web- oder FTP-Server)
  • Cisco FTD Boot-Image
    • ftd-boot-9.9.2.0.lfbff für ASA 5506
    • ftd-boot-9.10.1.3.lfbff für ASA 5508 und 5516
  • Cisco ASA-FTD System Install-Image
    • ftd-6.2.3-83.pkg für ASA 5506
    • ftd-6.3.0-83.pkg für ASA 5508 und 5516
  • Unegfähr 60 Minuten Zeit

Übersicht in Stichpunkten

  1. Verbinden der Serialen Konsole
  2. Neustart FTD und Abbruch des Bootvorgangs mit 'ESC'
  3. Im Rommon löschen disk0
  4. Download und Booten des Boot-Image vom Webserver
  5. Konfigurieren der Setup-Umgebung
  6. Download und Installieren des FTD-Image

Schritt für Schritt

Zuallererst verbinden wir die USB-Serial-Konsole der FTP mit dem Computer. Zusätzlich muss das Netzwerkinterface GE MGMT mit dem Netzwerk verbunden werden. In dieser Anleitung hat der Computer die IP 192.168.0.199 aus dem gleichen Netzwerk.

Nach dieser Vorbereitung muss die FTD neu gestartet bzw. eingeschaltet werden. Während des Startvorgangs muss beim Erscheinen der entsprechenden Meldung der Bootvorgang mittels ESC unterbrochen werden.

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.

Das System startet nun rommon. Zuerst löschen wir disk0. Um anschließend alle Parameter zu setzen, die zum Download des Boot-Image benötigt werden. Diese Einstellungen bitte an das eigene System anpassen.

rommon 1 > erase disk0:
erase: Erasing 7515 MBytes .........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................
rommon 2 > address 192.168.0.20
rommon 3 > netmask 255.255.255.0
rommon 4 > server 192.168.0.199
rommon 5 > gateway 192.168.0.1
rommon 6 > file ftd-boot-9.10.1.3.lfbff
rommon 7 > set
    ADDRESS=192.168.0.20
    NETMASK=255.255.255.0
    GATEWAY=192.168.0.1
    SERVER=192.168.0.199
    IMAGE=ftd-boot-9.10.1.3.lfbff
    CONFIG=
    PS1="rommon ! > "

Das Boot-Image wird nun wie folgt heruntergeladen.

rommon 8 > sync
rommon 9 > tftpdnld

Dieser Vorgang dauert einen kurzen Moment. Im Anschluss konfigurieren wir auch diese neue Umgebung mit folgenden Befehlen:

            Cisco FTD Boot 6.3.0 (9.10.1.3)
              Type ? for list of commands
firepower-boot>setup


                Welcome to Cisco FTD Setup
                  [hit Ctrl-C to abort]
                Default values are inside []

Enter a hostname [firepower]: fw-xxxx-001
Do you want to configure IPv4 address on management interface?(y/n) [Y]: y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [Y]: n
Enter an IPv4 address: 192.168.0.20
Enter the netmask: 255.255.255.0
Enter the gateway: 192.168.0.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]:
                                                                                N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address [192.168.0.1]: 192.168.0.1
Do you want to configure Secondary DNS Server? (y/n) [y]: n
Any previously configured secondary DNS servers will be removed.
Do you want to configure Local Domain Name? (y/n) [n]: n
Do you want to configure Search domains? (y/n) [y]: n
Any previously configured search domains will be removed.
Do you want to enable the NTP service? [Y]: n
Please review the final configuration:
Hostname:               fw-xxxx-001
Management Interface Configuration

IPv4 Configuration:     static
        IP Address:     192.168.0.20
        Netmask:        255.255.255.0
        Gateway:        192.168.0.1

IPv6 Configuration:     Stateless autoconfiguration

DNS Configuration:
        DNS Server:
                        192.168.0.1

NTP configuration:      Disabled

CAUTION:
You have selected IPv6 stateless autoconfiguration, which assigns a global address
based on network prefix and a device identifier. Although this address is unlikely
to change, if it does change, the system will stop functioning correctly.
We suggest you use static addressing instead.

Apply the changes?(y,n) [Y]: y
Configuration saved successfully!
Applying...
Restarting network services...
Done.
Press ENTER to continue...

Jetzt kann das eigentliche Install-Image geladen und installiert werden. Ich lade dies von einem Webserver über HTTP, da dies deutlich schneller ist, als TFTP.

firepower-boot>system install noconfirm http://192.168.0.199/ftd-6.3.0-83.pkg

######################## WARNING ############################
# The content of disk0: will be erased during installation! #
#############################################################

Do you want to continue? [y/N] y
Erasing disk0 ...
Verifying...
Downloading
Extracting
Package Detail
        Description:                    Cisco ASA-FTD 6.3.0-83 System Install
        Requires reboot:                Yes

Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Starting upgrade process ...
Populating new system image

Broadcast message from root@fw-xxxx-001 (ttyS1) (Fri May 24 00:34:32 201Stopping all devices.
Can not open /dev/qat_adf_ctl
Stopping OpenBSD Secure Shell server: sshd
stopped /usr/sbin/sshd (pid 980)
done.
Stopping Advanced Configuration and Power Interface daemon: stopped /usr/sbin/acpid (pid 985)
acpid.
Stopping system message bus: dbus.
Stopping ntpd: start-stop-daemon: warning: killing process 990: No such process
done
Stopping internet superserver: xinetd.
Failed to stop kdump!
Stopping crond: OK
Deconfiguring network interfaces... acpid: exiting
done.
SSP-Security-Module is shutting down ...
Sending ALL processes the TERM signal ...
Sending ALL processes the KILL signal ...
Deactivating swap...
Unmounting local filesystems...
Rebooting...

Nach dem Reboot startet ein initialer Einrichtungsvorgang, welcher auf einer Cisco ASA-5508-FTD ungefähr 20 Minuten läuft. Anschließend wird das Login angezeigt und das System ist bereit zur Erstkonfiguration.

Cisco ASA5508-X Threat Defense v6.3.0 (build 83)
firepower login: