Segurança : Cisco Email Security Appliance

O ESA com ampère recebe “o serviço da reputação do arquivo na nuvem é” erro inacessível

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o alerta atribuído à ferramenta de segurança do email de Cisco (ESA) com a proteção avançada do malware (ampère) permitida nele onde o serviço não se comunica sobre a porta 443 para o secure sockets layer (SSL).

Contribuído por Robert Sherwin, engenheiro de TAC da Cisco.

Corrija “o serviço da reputação do arquivo na nuvem é” erro inacessível recebido para o ampère

O ampère foi liberado para o uso no ESA na versão 8.5.5 e mais recente de AsyncOS. Com o ampère licenciado e permitido no ESA, os administradores recebem esta mensagem:

The Warning message is:

amp The File Reputation service in the cloud is unreachable.

Last message occurred 2 times between Mon Jan 26 10:17:15 2015 and Mon Jan 26 10:18:16 2015.

Version: 8.5.6-092
Serial Number: 123A82F6780EEE9E1E10-AAA5DBEFCEEE
Timestamp: 26 Jan 2015 10:56:28 -0600

O serviço ampère pôde ser permitido, mas provavelmente não se comunica sobre a porta 443. 

A fim assegurar que o ampère se comunica sobre 443, execute o ampconfig > avançado do CLI e seja certo que Y está selecionado para você quer permitir uma comunicação SSL (porta 443) para a reputação do arquivo? [Y] >:

> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced

Enter cloud query timeout?
[15]>

Enter cloud domain?
[a.immunet.com]>

Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]>

Do you want use the recommended reputation threshold from cloud service? [Y]>

Enter file analysis server URL?
[https://intel.api.sourcefire.com]>

Enter heartbeat interval?
[15]>

Do you want to enable SSL communication (port 443) for file reputation? [Y]>

Proxy server detail:
Server :
Port :
User :

Do you want to change proxy detail [N]>

Se você usa o GUI, clique Serviços de segurança > reputação do arquivo e a análise > edita configurações globais > avançou (gota-para baixo) e assegura-se de que a caixa de verificação do uso SSL esteja permitida como mostrado aqui:

Comprometa alguns e todas as mudanças para sua configuração.

Finalmente, reveja o log atual ampère para ver o serviço e o sucesso ou a falha da Conectividade. Você pode realizar este do CLI com cauda ampère.

Antes das mudanças feitas ao ampconfig > avançou, você veria isto nos logs ampère:

Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:14:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:15:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:16:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:17:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:18:16 2015 Warning: amp The File Reputation service in the cloud
is unreachable.

Depois que a mudança é feita ao ampconfig > avançado, você vê este nos logs ampère:

Mon Jan 26 10:18:47 2015 Info: amp File reputation service initialized 
successfully
Mon Jan 26 10:18:47 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:18:48 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud
is reachable.
Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized
successfully
Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query
from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown,
Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

O arquivo de amp_watchdog.txt indica os minutos cada 10 nos logs. Este arquivo é parte da manutenção de atividade para o ampère.

Nos logs ampère, uma pergunta normal seria similar a esta:

Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File
Type = text/html
Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from
Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file
unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
533d80d4bec0205553465e997f9c672983346f, upload_action = 1

Com esta informação, você deve poder correlacionar o ID de mensagem (MEADOS DE) nos logs do correio.

Troubleshooting

Reveja o Firewall e as configurações de rede a fim assegurar que uma comunicação SSL está aberta para estes:

PortaProtocoloEntrada/saídaHostnameDescrição
443TCPPara foraComo configurado em Serviços de segurança > em reputação e em análise do arquivo, seção avançada.Alcance para nublar-se serviços para a análise do arquivo.
32137TCPPara foraComo configurado em Serviços de segurança > em reputação e em análise do arquivo, seção avançada, seção avançada, parâmetro do pool do server da nuvem.Alcance para nublar-se serviços para obter a reputação do arquivo.

Você pode testar a conectividade básica de seu ESA ao serviço da nuvem sobre 443 através do telnet a fim assegurar-se de que seu dispositivo possa com sucesso alcançar os serviços ampère.

Nota: Os endereços para a reputação do arquivo e a análise do arquivo são configurados no CLI com ampconfig > avançado, ou do GUI com Serviços de segurança > reputação e análise do arquivo > edite configurações globais > avançado (gota-para baixo).

Arquive o exemplo da reputação:

ironport:service 36] telnet cloud-sa.amp.sourcefire.com 443
Trying 184.73.186.190...
Connected to cloud-sa.amp.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Arquive o exemplo da análise:

ironport:service 37] telnet intel.api.sourcefire.com 443
Trying 198.148.79.52...
Connected to intel.api.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118785