Segurança : Cisco Firepower Management Center

Incapaz de transferir ou atualizar a alimentação da inteligência de Segurança

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

A alimentação da inteligência de Segurança é compreendida de diversas lista regularmente actualizadas de endereços IP de Um ou Mais Servidores Cisco ICM NT determinados pela equipa de investigação da vulnerabilidade (VRT) ter uma reputação deficiente. É importante manter a alimentação da inteligência actualizada regularmente, de modo que o sistema de FireSIGHT possa usar a informação atualizada para filtrar seu tráfego de rede. Este documento descreve algumas técnicas de Troubleshooting que você pode usar para pesquisar defeitos edições com a atualização da alimentação da inteligência de Segurança.

Contribuído por Nazmul Rajib e por Lipkey adotivo, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento da alimentação da inteligência do centro de gerenciamento e de Segurança de Cisco FireSIGHT.

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Centro de gerenciamento de FireSIGHT
  • Versão de software 5.2 ou mais atrasado

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Sintomas

Na relação de usuário de web

Quando a falha da atualização da alimentação da inteligência de Segurança ocorre, o centro de gerenciamento de FireSIGHT indica alertas da saúde.

Na interface da linha de comando

A fim determinar a causa de raiz de uma falha da atualização com a alimentação da inteligência de Segurança, execute o comando seguinte no CLI do centro de gerenciamento de FireSIGHT:

admin@Sourcefire3D:~$ cat /var/log/messages

Procure os seguintes avisos nas mensagens:

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed

 ou,

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer

Passos de Troubleshooting

Passo 1: Alcance o CLI do centro de gerenciamento de FireSIGHT usando o Shell Seguro (ssh).

Passo 2: Sibilo intelligence.sourcefire.com do centro de gerenciamento de FireSIGHT.

admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com

Você deve receber as saídas similares àquela mostrada abaixo:

64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms

Se você não recebe uma resposta similar àquela acima, você tem muito provavelmente um problema de conectividade de partida ou você não tem uma rota a intelligence.sourcefire.com.

Passo 3: Resolva o hostname para intelligence.sourcefire.com

admin@Sourcefire3D:~$ sudo nslookup intelligence.sourcefire.com

Você deve receber uma resposta similar àquela mostrada abaixo:

Server: 8.8.8.8
Address: 8.8.8.8#53

Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x

Nota: A saída acima usa o servidor DNS público de Google, como um exemplo.  A saída depende dos ajustes DNS configurados no sistema > no Local > na configuração sob a seção da rede. Se você não recebe uma resposta similar àquela mostrada acima, certifique-se por favor de que os ajustes DNS estão corretos.

Cuidado: O server usa o esquema do endereço IP de Um ou Mais Servidores Cisco ICM NT do arredondamento robin para o Balanceamento de carga, a tolerância de defeito, e o uptime.  Consequentemente, os endereços IP de Um ou Mais Servidores Cisco ICM NT podem mudar e recomenda-se que o Firewall está configurado com CNAME em vez de um endereço IP de Um ou Mais Servidores Cisco ICM NT. 

Passo 4: Verifique a Conectividade a intelligence.sourcefire.com usando o telnet.

admin@Sourcefire3D:~$ sudo telnet intelligence.sourcefire.com 443

Você deve receber a saída similar àquela mostrada abaixo:

Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.

Se você podia terminar com sucesso etapa 2 mas é incapaz ao telnet a intelligence.sourcefire.com sobre a porta 443, você pode ter uma porta de bloqueio 443 da regra do Firewall de partida para intelligence.sourcefire.com.

Passo 5: Verifique os ajustes do proxy no sistema > no Local > na configuração sob a seção da rede na configuração manual de proxy.

Nota: Se este proxy faz a inspeção SSL você precisará de pôr no lugar uma regra do desvio para contornear o proxy para intelligence.sourcefire.com

Passo 6: Verifique que o tráfego HTTPS usado para transferir a alimentação da inteligência de Segurança não está atravessando um decryptor SSL. Se o tráfego está atravessando um decryptor SSL você precisará de contornear todo o tráfego que vai a intelligence.sourcefire.com.

Nota: A razão que a decriptografia de SSL deve ser contorneada para a alimentação da inteligência de Segurança é o decryptor SSL envia ao centro de gerenciamento de FireSIGHT um certificado desconhecido na saudação de SSL. O certificado que é enviado ao centro de gerenciamento de FireSIGHT não é assinado por um Sourcefire confiou que CA e consequentemente a conexão é não confiável.

Documentos relacionados


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117997