セキュリティ : Cisco Firepower Management Center

安全保障局供給をダウンロードするか、またはアップデートすることが不可能

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

安全保障局供給は悪い評判を持つために脆弱性調査チーム(VRT)が判別する IP アドレスの複数の定期的にアップデートされたリストで構成されます。 ネットワークトラフィックをフィルタリングするのに FireSIGHT システムが最新情報を使用できるように知性供給を定期的にアップデートされて保存することは重要です。 この資料は安全保障局供給アップデートで問題を解決するのに使用できるいくつかのトラブルシューティング テクニックを記述したものです。

Nazmul Rajib および養育関係 Lipkey によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は Cisco FireSIGHT Management Center および安全保障局供給のナレッジがあることを推奨します。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • FireSIGHT 管理センター
  • ソフトウェア バージョン 5.2 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

症状

Web ユーザ ユーザー・インターフェース

安全保障局供給アップデート失敗が発生するとき、FireSIGHT Management Center は健全性アラートを表示する。

コマンド ライン インターフェース

安全保障局供給を持つアップデート失敗の根本的な原因を判別するために、FireSIGHT Management Center の CLI の次のコマンドを実行して下さい:

admin@Sourcefire3D:~$ cat /var/log/messages

メッセージの次の警告を探して下さい:

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed

 または、

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer

トラブルシューティングの手順

ステップ 1: セキュア シェル(SSH)を使用して FireSIGHT Management Center の CLI にアクセスして下さい。

ステップ 2: FireSIGHT Management Center からの PING intelligence.sourcefire.com

admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com

下記のように示されているそれと同じような ouput を受け取る必要があります:

64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms

それと同じような応答を上で受け取らない場合、多分送信 接続上の問題がありますまたは intelligence.sourcefire.com にルートがありません

ステップ 3: intelligence.sourcefire.com のためのホスト名を解決して下さい

admin@Sourcefire3D:~$ sudo nslookup intelligence.sourcefire.com

下記のように示されているそれと同じような応答を受け取る必要があります:

Server: 8.8.8.8
Address: 8.8.8.8#53

Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x

上記の出力は Google の公共 DNSサーバを、一例として使用します。  出力はネットワーク セクションの下でシステム > ローカル > 設定で行われる DNS 設定によって決まります。 上に示されているそれと同じような応答を受け取らない場合 DNS 設定が正しいことを確かめて下さい。

注意: サーバはロード バランシング、フォールト トレランスおよび稼働時間のためにラウンドロビン IP アドレス スキーマを使用します。  従って、IP アドレスは変更されるかもしれ、ファイアウォールが IP アドレスの代りに CNAME で設定されることが推奨されます。 

ステップ 4: telnet を使用して intelligence.sourcefire.com への接続をチェックして下さい。

admin@Sourcefire3D:~$ sudo telnet intelligence.sourcefire.com 443

下記のように示されているそれと同じような出力が表示される必要があります:

Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.

ステップ 2 を正常に完了できたが、ポート 443 上の intelligence.sourcefire.com に telnet にない場合、intelligence.sourcefire.com のためのファイアウォール ルール ブロッキング状態 の ポート 443 発信があるかもしれません

ステップ 5: 手動プロキシ設定のネットワーク セクションの下でシステム > ローカル > 設定でプロキシ 設定を確認して下さい。

このプロキシが SSL インスペクションをすればインポートに intelligence.sourcefire.com のためのプロキシをバイパスするバイパス ルールを入れる必要があります

ステップ 6: 安全保障局供給をダウンロードするのに使用される HTTPS トラフィックが SSL 復号化を通過していないことを確認して下さい。 トラフィックが SSL 復号化を通過すれば intelligence.sourcefire.com に行くすべてのトラフィックをバイパスする必要があります

: SSL 復号化が安全保障局供給のためにバイパスする必要があるという原因は SSL 復号化送信 します FireSIGHT Management Center を SSL ハンドシェイクの未知認証です。 FireSIGHT Management Center に送信 される 認証は Sourcefire によって従って CA が接続信頼できないことを信頼しました署名しないし。

関連資料


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117997