Sécurité : Cisco Firepower Management Center

Incapable de télécharger ou mettre à jour le flux de renseignements de sécurité

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Le flux de renseignements de sécurité est composé de plusieurs listes d'adresses IP régulièrement à jour déterminées par l'équipe de recherche de vulnérabilité (VRT) pour avoir une réputation pauvre. Il est important de conserver le flux d'intelligence régulièrement mis à jour, de sorte que le système de FireSIGHT puisse employer les informations à jour pour filtrer votre trafic réseau. Ce document décrit quelques techniques de dépannage que vous pouvez employer pour dépanner des questions avec la mise à jour de flux de renseignements de sécurité.

Contribué par Nazmul Rajib et Lipkey adoptif, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance du flux de centre et de renseignements de sécurité de Gestion de Cisco FireSIGHT.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Centre de Gestion de FireSIGHT
  • Version de logiciel 5.2 ou plus tard

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Symptômes

Sur l'interface utilisateur d'utilisateur web

Quand la panne de mise à jour de flux de renseignements de sécurité se produit, le centre de Gestion de FireSIGHT affiche des alertes de santés.

Sur l'interface de ligne de commande

Afin de déterminer la cause principale d'une panne de mise à jour avec le flux de renseignements de sécurité, exécutez la commande suivante dans le CLI du centre de Gestion de FireSIGHT :

admin@Sourcefire3D:~$ cat /var/log/messages

Recherchez les avertissements suivants dans les messages :

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed

 ou,

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer

Étapes de dépannage

Étape 1 : Accédez au CLI du centre de Gestion de FireSIGHT utilisant le Protocole Secure Shell (SSH).

Étape 2 : Ping intelligence.sourcefire.com du centre de Gestion de FireSIGHT.

admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com

Vous devriez recevoir la sortie semblable à cela affichée ci-dessous :

64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms

Si vous ne recevez pas une réponse semblable à celle en haut, vous avez très probablement un problème de connectivité sortant ou vous n'avez pas une artère à intelligence.sourcefire.com.

Étape 3 : Résolvez l'adresse Internet pour intelligence.sourcefire.com

admin@Sourcefire3D:~$ sudo nslookup intelligence.sourcefire.com

Vous devriez recevoir une réponse semblable à cela affichée ci-dessous :

Server: 8.8.8.8
Address: 8.8.8.8#53

Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x

Remarque: La sortie ci-dessus utilise le serveur DNS public de Google, comme exemple.  La sortie dépend des configurations de DN configurées dans le système > les gens du pays > la configuration sous la section de réseau. Si vous ne recevez pas une réponse semblable à cela affichée ci-dessus, assurez-vous s'il vous plaît que les configurations de DN sont correctes.

Attention : Le serveur utilise le schéma d'adresse IP de recherche séquentielle pour l'Équilibrage de charge, la tolérance aux pannes, et la disponibilité.  Par conséquent, les adresses IP peuvent changer et l'il est recommandé que le Pare-feu est configuré avec CNAME au lieu d'une adresse IP. 

Étape 4 : Connectivité de contrôle à intelligence.sourcefire.com utilisant le telnet.

admin@Sourcefire3D:~$ sudo telnet intelligence.sourcefire.com 443

Vous devriez recevoir la sortie semblable à cela affichée ci-dessous :

Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.

Si vous pouviez se terminer l'étape 2 avec succès mais ne pouvez pas au telnet à intelligence.sourcefire.com au-dessus du port 443, vous pouvez avoir un port de blocage 443 de règle de Pare-feu sortant pour intelligence.sourcefire.com.

Étape 5 : Vérifiez les paramètres de proxy au système > aux gens du pays > à la configuration sous la section de réseau en configuration de proxy manuelle.

Remarque: Si ce proxy fait l'inspection SSL vous devrez mettre en place une règle de contournement de sauter le proxy pour intelligence.sourcefire.com

Étape 6 : Vérifiez que le trafic HTTPS utilisé pour télécharger le flux de renseignements de sécurité ne va pas par un decryptor SSL. Si le trafic va par un decryptor SSL vous devrez sauter tout le trafic allant à intelligence.sourcefire.com.

Remarque: La raison pour laquelle le déchiffrement SSL doit être sauté pour le flux de renseignements de sécurité est le decryptor SSL envoie au centre de Gestion de FireSIGHT un certificat inconnu dans la prise de contact SSL. Le certificat qui est envoyé au centre de Gestion de FireSIGHT n'est pas signé par un Sourcefire a fait confiance que le CA et donc la connexion est non approuvé.

Documents connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117997