Sécurité : Appareil de sécurité de courriel Cisco

L'ESA avec l'AMPÈRE reçoit « le service de réputation de fichier dans le nuage est » erreur inaccessible

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit l'alerte attribuée à l'appliance de sécurité du courrier électronique de Cisco (ESA) avec la protection avancée de malware (AMPÈRE) activée là-dessus où le service ne communique pas au-dessus du port 443 pour Secure Sockets Layer (SSL).

Contribué par Robert Sherwin, ingénieur TAC Cisco.

Corrigez « le service de réputation de fichier dans le nuage est » erreur inaccessible reçue pour l'AMPÈRE

L'AMPÈRE a été libéré pour l'usage sur l'ESA dans la version 8.5.5 et ultérieures d'AsyncOS. L'AMPÈRE autorisé et étant activé sur l'ESA, les administrateurs reçoivent ce message :

The Warning message is:

amp The File Reputation service in the cloud is unreachable.

Last message occurred 2 times between Mon Jan 26 10:17:15 2015 and Mon Jan 26 10:18:16 2015.

Version: 8.5.6-092
Serial Number: 123A82F6780EEE9E1E10-AAA5DBEFCEEE
Timestamp: 26 Jan 2015 10:56:28 -0600

Le service d'AMPÈRE pourrait être activé, mais ne communique pas probablement au-dessus du port 443. 

Afin de s'assurer que l'AMPÈRE communique plus de 443, exécutez l'ampconfig > avancé du CLI et soyez sûr que Y est sélectionné pour vous veulent activer la transmission SSL (port 443) pour la réputation de fichier ? [Y] > :

> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced

Enter cloud query timeout?
[15]>

Enter cloud domain?
[a.immunet.com]>

Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]>

Do you want use the recommended reputation threshold from cloud service? [Y]>

Enter file analysis server URL?
[https://intel.api.sourcefire.com]>

Enter heartbeat interval?
[15]>

Do you want to enable SSL communication (port 443) for file reputation? [Y]>

Proxy server detail:
Server :
Port :
User :

Do you want to change proxy detail [N]>

Si vous utilisez le GUI, cliquez sur Security les services > la réputation de fichier et l'analyse > éditent des paramètres généraux > a avancé (déroulant) et s'assure que la case SSL d'utilisation est activée comme affiché ici :

Commettez l'intégralité de modifications pour votre configuration.

En conclusion, passez en revue le log en cours d'AMPÈRE pour voir le succès ou échec de service et de Connectivité. Vous pouvez accomplir ceci du CLI avec l'Ampère de queue.

Avant des modifications apportées à l'ampconfig > a avancé, vous aurait vu ceci dans les logs d'AMPÈRE :

Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:14:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:15:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:16:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:17:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:18:16 2015 Warning: amp The File Reputation service in the cloud
is unreachable.

Après que la modification soit apportée à l'ampconfig > avancé, vous voyez ceci dans les logs d'AMPÈRE :

Mon Jan 26 10:18:47 2015 Info: amp File reputation service initialized 
successfully
Mon Jan 26 10:18:47 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:18:48 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud
is reachable.
Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized
successfully
Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query
from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown,
Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

Le fichier d'amp_watchdog.txt affiche toutes les 10 minutes dans les logs. Ce fichier fait partie de la keep-alive pour l'AMPÈRE.

Dans les logs d'AMPÈRE, une requête normale serait semblable à ceci :

Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File
Type = text/html
Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from
Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file
unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
533d80d4bec0205553465e997f9c672983346f, upload_action = 1

Avec ces informations, vous devriez pouvoir corréler l'ID de message (MID) dans les logs de messagerie.

Dépannez

Pare-feu et paramètres réseau d'examen afin de s'assurer que la transmission SSL est ouverte pour ces derniers :

PortProtocolEntrée/sortieAdresse InternetDescription
443TCPComme configuré dans les Services de sécurité > la réputation et l'analyse de fichier, section avancée.Access aux services en nuage pour l'analyse de fichier.
32137TCPComme configuré dans les Services de sécurité > la réputation et l'analyse de fichier, section avancée, section avancée, paramètre de groupe de serveur de nuage.Access aux services en nuage pour obtenir la réputation de fichier.

Vous pouvez tester la Connectivité de base de votre ESA au service en nuage plus de 443 par l'intermédiaire du telnet afin de s'assurer que votre appliance peut avec succès atteindre les services d'AMPÈRE.

Remarque: Les adresses pour la réputation de fichier et l'analyse de fichier sont configurées sur le CLI avec l'ampconfig > avancé, ou du GUI avec des Services de sécurité > la réputation et l'analyse de fichier > éditez les paramètres généraux > avancé (déroulant).

Exemple de réputation de fichier :

ironport:service 36] telnet cloud-sa.amp.sourcefire.com 443
Trying 184.73.186.190...
Connected to cloud-sa.amp.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Exemple d'analyse de fichier :

ironport:service 37] telnet intel.api.sourcefire.com 443
Trying 198.148.79.52...
Connected to intel.api.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118785