Seguridad : Cisco Firepower Management Center

Incapaz de descargar o de poner al día la alimentación de la inteligencia de Seguridad

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

La alimentación de la inteligencia de Seguridad se comprende de varias listas regularmente actualizadas de IP Addresses determinadas por el equipo de investigación de la vulnerabilidad (VRT) para tener una reputación pobre. Es importante mantener la alimentación de la inteligencia puesta al día regularmente, de modo que el sistema de FireSIGHT pueda utilizar la información actualizada para filtrar su tráfico de la red. Este documento describe algunas técnicas de Troubleshooting que usted pueda utilizar para resolver problemas los problemas con la actualización de la alimentación de la inteligencia de Seguridad.

Contribuido por Nazmul Rajib y Lipkey adoptivo, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene conocimiento de la alimentación de la inteligencia del centro de administración y de Seguridad de Cisco FireSIGHT.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software y hardware.

  • Centro de administración de FireSIGHT
  • Versión de software 5.2 o más adelante

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Síntomas

En la interfaz del Web User

Cuando ocurre el error de la actualización de la alimentación de la inteligencia de Seguridad, el centro de administración de FireSIGHT visualiza las alertas de la salud.

En la interfaz de línea de comando

Para determinar la causa raíz de un incidente de la actualización con la alimentación de la inteligencia de Seguridad, funcione con el siguiente comando en el CLI del centro de administración de FireSIGHT:

admin@Sourcefire3D:~$ cat /var/log/messages

Busque las advertencias siguientes en los mensajes:

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed

 o,

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer

Pasos para la resolución de problemas

Paso 1: Acceda el CLI del centro de administración de FireSIGHT usando el Secure Shell (SSH).

Paso 2: Ping intelligence.sourcefire.com del centro de administración de FireSIGHT.

admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com

Usted debe recibir el ouput similar a ése mostrado abajo:

64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms

Si usted no recibe una respuesta similar a ésa arriba, usted tiene muy probablemente un problema de conectividad saliente o usted no tiene una ruta a intelligence.sourcefire.com.

Paso 3: Resuelva el nombre de host para intelligence.sourcefire.com

admin@Sourcefire3D:~$ sudo nslookup intelligence.sourcefire.com

Usted debe recibir una respuesta similar a ésa mostrada abajo:

Server: 8.8.8.8
Address: 8.8.8.8#53

Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x

Nota: La salida antedicha utiliza el servidor DNS público de Google, como un ejemplo.  La salida depende de las configuraciones DNS configuradas en el sistema > el Local > configuración bajo sección de la red. Si usted no recibe una respuesta similar a ésa mostrada arriba, aseegurese por favor que las configuraciones DNS están correctas.

Precaución: El servidor utiliza el esquema de la dirección IP del ordenamiento cíclico para el Equilibrio de carga, la tolerancia de fallas, y el uptime.  Por lo tanto, los IP Addresses pueden cambiar y se recomienda que el Firewall está configurado con el CNAME en vez de una dirección IP. 

Paso 4: Conectividad del control a intelligence.sourcefire.com usando el telnet.

admin@Sourcefire3D:~$ sudo telnet intelligence.sourcefire.com 443

Usted debe recibir la salida similar a ésa mostrada abajo:

Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.

Si usted podía completar el paso 2 con éxito pero no puede al telnet a intelligence.sourcefire.com sobre el puerto 443, usted puede tener un puerto de bloqueo 443 de la regla de firewall saliente para intelligence.sourcefire.com.

Paso 5: Verifique las configuraciones de representación en el sistema > el Local > la configuración bajo sección de la red adentro Configuración manual del proxy.

Nota: Si este proxy hace el examen SSL usted necesitará poner en el lugar una regla de puente para desviar el proxy para intelligence.sourcefire.com

Paso 6: Verifique que el tráfico HTTPS usado para descargar la alimentación de la inteligencia de Seguridad no esté pasando con un decryptor SSL. Si el tráfico está pasando con un decryptor SSL usted necesitará desviar todo el tráfico que va a intelligence.sourcefire.com.

Nota: La razón que el descifrado SSL se debe desviar para la alimentación de la inteligencia de Seguridad es el decryptor SSL envía el centro de administración de FireSIGHT un certificado desconocido en el contacto SSL. El certificado que se envía al centro de administración de FireSIGHT no es firmado por un Sourcefire confiaba en que el CA y por lo tanto la conexión es untrusted.

Documentos Relacionados


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 117997