Segurança : Cisco Firepower Management Center

Falha automática da atualização da transferência em um centro de gerenciamento de FireSIGHT

26 Junho 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (23 Abril 2015) | Feedback

Introdução

Você pode atualizar um centro de gerenciamento de Cisco FireSIGHT manualmente ou automaticamente. A fim executar uma atualização de software automática, você pode criar uma tarefa da programação em seu centro de gerenciamento ser executado em uma estadia futura. Em alguns casos, uma tarefa programada atualizar um centro de gerenciamento de FireSIGHT com liberação de software mais recente pode falhar. Este documento discute esta edição e fornece a recomendação.

Contribuído por Nazmul Rajib, planejamento de Cisco.

Razões possíveis para a falha

Um centro de gerenciamento de FireSIGHT pode não transfere um arquivo da atualização da infraestrutura da atualização da transferência de Cisco, quando um do seguinte ocorre em sua rede:

  • A política de segurança de sua empresa obstrui o tráfego DNS.
  • Configuração fora de sua transferência dos impactos do centro de gerenciamento. Por exemplo, uma regra do Firewall pode permitir somente um endereço IP de Um ou Mais Servidores Cisco ICM NT para support.sourcefire.com.

Cuidado: Cisco utiliza o arredondamento robin DNS para o Balanceamento de carga, a tolerância de defeito, e o uptime. Consequentemente, os endereços IP de Um ou Mais Servidores Cisco ICM NT dos servidores DNS podem mudar.

Impacto

Se você usa o seguinte método…Item de ação
Configuração de padrão de sistema para a transferência automáticaNenhuma ação exigida
Transfira os arquivos da atualização manualmente e transfira-os arquivos pela rede ao centro de gerenciamento de FireSIGHTNenhuma ação exigida
As regras do Firewall para filtrar o acesso a Cisco controlaram a infraestrutura da atualização da transferênciaSiga a solução
  • As falhas são abrandadas parcialmente pelas três novas tentativas e pela corrida em seguida programada. As falhas repetidas são prováveis uma indicação de um fator externo tal como Firewall ou uma indisponibilidade com a infraestrutura.
  • Enquanto o arredondamento robin DNS está no Domain Name, você precisa de tomar etapas para assegurar-se de que não haja nenhuma falha intermitente da transferência.

Verificação

Verifique os ajustes DNS

Assegure-se de que seu centro de gerenciamento de FireSIGHT esteja configurado para usar seu servidor DNS.

Cuidado: Cisco recomenda fortemente que você mantém as configurações padrão.

Você pode configurar os ajustes DNS no sistema > no Local > na configuração, sob a seção da rede. Sob os ajustes compartilhados seção, você pode especificar até três servidores DNS.

Nota: Se você selecionou o DHCP na gota-para baixo da configuração, você não pode manualmente especificar os ajustes compartilhados.

Verifique a conexão

Você pode usar vários comandos, tais como o sibilo, o nslookup, ou a escavação determinar o estado do servidor DNS, e os ajustes DNS em seu centro de gerenciamento de FireSIGHT. Por exemplo:

ping support.sourcefire.com
nslookup support.sourcefire.com
dig support.sourcefire.com

Conexão de teste à site de suporte de um dispositivo (para transferir atualizações, etc.), você pode registrar em seu dispositivo através do SSH ou do acesso do console direta, e usa o comando seguinte:

admin@FireSIGHT:~# sudo openssl s_client -connect support.sourcefire.com:443

Este comando mostra a negociação do certificado, assim como fornece-o um equivalente de uma sessão de Telnet a um web server da porta 80. Está aqui um exemplo do comando output:

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 44A18130176C9171F50F33A367B55F5CFD10AA0FE87F9C5C1D8A7A7E519C695B
Session-ID-ctx:
Master-Key: D406C5944B9462F1D6CB15D370E884B96B82049300D50E74F9
B8332F84786F05C35BF3FD806672630BE26C2218AE5BDE
Key-Arg : None
Start Time: 1398171146
Timeout : 300 (sec)
Verify return code: 0 (ok)
---

Não deve haver nenhuma alerta neste momento, contudo, porque a sessão está esperando a entrada - uma pode então emitir o comando:

GET /

Você deve receber o HTML cru que é a página de login da site de suporte.

Troubleshooting

Opção 1: Substitua o endereço IP estático com o Domain Name support.sourcefire.com em Firewall. Se você tem que usar um endereço IP estático, certifique-se de que isto está correto. Está aqui a informação detalhada do server da transferência:

  • Domínio: support.sourcefire.com
  • URL: https://support.sourcefire.com
  • Porta: 443/tcp (bidirecional)
  • Endereço IP: 50.19.123.95, 50.16.210.129

Os endereços IP de Um ou Mais Servidores Cisco ICM NT adicionais que são usados igualmente por support.sourcefire.com (no método do arredondamento robin) são:

  • 54.221.210.248
  • 54.221.211.1
  • 54.221.212.60
  • 54.221.212.170
  • 54.221.212.241
  • 54.221.213.96
  • 54.221.213.209
  • 54.221.214.25
  • 54.221.214.81

Opção 2: Você pode transferir as atualizações que usam manualmente um navegador da Web, e instala-o então manualmente durante sua janela de manutenção.

Opção 3: Adicionar um registro A para support.sourcefire.com em seu servidor DNS.

Documentos relacionados


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118791