Sécurité : Cisco Firepower Management Center

Panne automatique de mise à jour de téléchargement à un centre de Gestion de FireSIGHT

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (21 avril 2016) | Commentaires

Introduction

Vous pouvez mettre à jour un centre de Gestion de Cisco FireSIGHT manuellement ou automatiquement. Afin d'exécuter une mise à jour logicielle automatique, vous pouvez créer une tâche de programme à votre centre de Gestion de s'exécuter à un futur temps. Dans certains cas, une tâche programmée de mettre à jour un centre de Gestion de FireSIGHT avec la dernière version logicielle peut échouer. Ce document discute cette question et fournit la recommandation.

Contribué par Nazmul Rajib, construction de Cisco.

Possibles raison pour la panne

Un centre de Gestion de FireSIGHT peut pour télécharger un fichier de mise à jour de l'infrastructure de mise à jour de téléchargement de Cisco, quand un du suivant se produit dans votre réseau :

  • La stratégie de sécurité de votre société bloque le trafic DNS.
  • Configuration en dehors de votre téléchargement d'incidences de centre de Gestion. Par exemple, une règle de Pare-feu peut permettre seulement une adresse IP pour support.sourcefire.com.

Attention : Cisco utilise des DN de recherche séquentielle pour l'Équilibrage de charge, la tolérance aux pannes, et la disponibilité. Par conséquent, les adresses IP des serveurs DNS peuvent changer.

Incidence

Si vous utilisez la méthode suivante…Action à entreprendre
Configuration de paramètres systèmes par défaut pour le téléchargement automatiqueAucune action requise
Téléchargez les fichiers de mise à jour manuellement et téléchargez-les au centre de Gestion de FireSIGHTAucune action requise
Les règles de Pare-feu de filtrer l'accès à Cisco ont géré l'infrastructure de mise à jour de téléchargementSuivez la solution
  • Des pannes sont partiellement atténuées par les trois relances et le prochain passage programmé. Les pannes répétées sont probables une indication d'un facteur externe tel que des Pare-feu ou une panne avec l'infrastructure.
  • Pendant que les DN de recherche séquentielle est sur le nom de domaine, vous devez prendre des mesures pour s'assurer qu'il n'y a aucune panne intermittente de téléchargement.

Vérification

Vérifiez les configurations de DN

Assurez-vous que votre centre de Gestion de FireSIGHT est configuré pour utiliser votre serveur DNS.

Attention : Cisco recommande vivement que vous gardiez les valeurs par défaut.

Vous pouvez configurer les configurations de DN dans le système > les gens du pays > la configuration, sous la section de réseau. Sous les configurations partagées section, vous pouvez spécifier jusqu'à trois serveurs DNS.

Remarque: Si vous sélectionniez le DHCP dans le déroulant de configuration, vous ne pouvez pas manuellement spécifier les configurations partagées.

Vérifiez la connexion

Vous pouvez utiliser de diverses commandes, telles que le telnet, le nslookup, ou la fouille de déterminer l'état du serveur DNS, et les configurations de DN à votre centre de Gestion de FireSIGHT. Exemple :

telnet support.sourcefire.com 443
nslookup support.sourcefire.com
dig support.sourcefire.com

Connexion de test au site du support technique d'une appliance (pour télécharger des mises à jour, etc.), vous pouvez se connecter dans votre appliance par l'intermédiaire de l'accès de SSH ou de direct-console, et utilisez la commande suivante :

admin@FireSIGHT:~# sudo openssl s_client -connect support.sourcefire.com:443

Le cette commande montre la négociation de certificat, aussi bien que te fournit un équivalent d'une session de telnet à un web server du port 80. Voici un exemple de la sortie de commande :

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 44A18130176C9171F50F33A367B55F5CFD10AA0FE87F9C5C1D8A7A7E519C695B
Session-ID-ctx:
Master-Key: D406C5944B9462F1D6CB15D370E884B96B82049300D50E74F9
B8332F84786F05C35BF3FD806672630BE26C2218AE5BDE
Key-Arg : None
Start Time: 1398171146
Timeout : 300 (sec)
Verify return code: 0 (ok)
---

Il ne devrait y avoir aucune demande en ce moment, cependant, car la session attend l'entrée - on peut alors émettre la commande :

GET /

Vous devriez recevoir le HTML cru qui est la page de connexion de site du support technique.

Dépannage

Option 1 : Remplacez l'adresse IP statique par le nom de domaine support.sourcefire.com sur des Pare-feu. Si vous devez utiliser une adresse IP statique, assurez-vous que c'est correct. Voici les informations détaillées du serveur de téléchargement :

  • Domaine : support.sourcefire.com
  • URL : https://support.sourcefire.com
  • Port : 443/tcp (bidirectionnel)
  • Adresse IP : 50.19.123.95, 50.16.210.129

Les adresses IP supplémentaires qui sont également utilisées par support.sourcefire.com (dans la méthode de recherche séquentielle) sont :

  • 54.221.210.248
  • 54.221.211.1
  • 54.221.212.60
  • 54.221.212.170
  • 54.221.212.241
  • 54.221.213.96
  • 54.221.213.209
  • 54.221.214.25
  • 54.221.214.81

Option 2 : Vous pouvez télécharger des mises à jour manuellement utilisant un navigateur Web, et puis l'installez manuellement pendant votre fenêtre de maintenance.

Option 3 : Ajoutez un enregistrement A pour support.sourcefire.com sur votre serveur DNS.

Documents connexes



Document ID: 118791