Безопасность : Cisco Firepower Management Center

Неспособный загрузить или обновить подачу разведки безопасности

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Подача Разведки безопасности состоит из нескольких регулярно обновляемых списков IP-адресов, полных решимости Исследовательской группой уязвимости (VRT) иметь плохую репутацию. Важно сохранять подачу разведки регулярно обновленной, так, чтобы Система FireSIGHT могла использовать актуальную информацию для фильтрации сетевого движения. Этот документ описывает некоторые методы поиска неисправностей, которые можно использовать для поиска неисправностей проблем с обновлением Подачи Разведки безопасности.

Внесенный Нэзмулом Рэджибом и Фостером Липки, Cisco инженеры TAC.

Предпосылки

Требования

Cisco рекомендует иметь знание Cisco FireSIGHT Центр управления и Подача Разведки безопасности.

Используемые компоненты

Информация в этом документе основана на этих версиях аппаратного и программного обеспечения:

  • Центр управления FireSIGHT
  • Версия 5.2 программного обеспечения или позже

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Признаки

В интерфейсе интернет-пользователя

Когда неудача обновления Подачи Разведки безопасности происходит, Центр FireSIGHT Managment показывает медицинские тревоги.

На интерфейсе командной строки

Для определения первопричины неудачи обновления с Подачей Разведки безопасности управляйте следующей командой в CLI Центра управления FireSIGHT:

admin@Sourcefire3D:~$ cat /var/log/messages

Ищите соблюдающие предупреждения в сообщениях:

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed

 или,

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer

Поиск неисправностей шагов

Шаг 1: Получите доступ к CLI Центра управления FireSIGHT с помощью Безопасного Shell (SSH).

Шаг 2: Звон intelligence.sourcefire.com от Центра управления FireSIGHT.

admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com

Необходимо получить ouput подобный показанному ниже:

64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms

Если вы не получаете ответ, подобный этому выше, у вас наиболее вероятно есть проблема возможности соединения за границу, или у вас нет маршрута к intelligence.sourcefire.com.

Шаг 3: Решите hostname для intelligence.sourcefire.com

admin@Sourcefire3D:~$ sudo nslookup intelligence.sourcefire.com

Необходимо получить ответ, подобный показанному ниже:

Server: 8.8.8.8
Address: 8.8.8.8#53

Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x

Примечание: вышеупомянутая продукция использует Общественный Сервер DNS Google как пример. Продукция зависит от параметров настройки DNS, формируемых в Системе> Местный> Конфигурация согласно Сетевой Секции. Если вы не получаете ответ, подобный показанному выше, удостоверьтесь, что параметры настройки DNS правильны.

Предостережение: сервер использует схему IP-адреса коллективного письма для балансировки нагрузки, отказоустойчивости и продолжительности работы. Поэтому, IP-адреса могут измениться, и рекомендуется, чтобы брандмауэр формировался с CNAME вместо IP-адреса. 

Шаг 4: Проверьте возможность соединения к intelligence.sourcefire.com использование TELNET.

admin@Sourcefire3D:~$ sudo telnet intelligence.sourcefire.com 443

Необходимо получить продукцию, подобную показанному ниже:

Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.

Если вы смогли закончить шаг 2 успешно, но неспособны к TELNET к intelligence.sourcefire.com по порту 443, у вас может быть правило брандмауэра, блокирующее порт 443 за границу для intelligence.sourcefire.com.

Шаг 5: Проверьте параметры настройки по доверенности в Системе> Местный> Конфигурация согласно Сетевой Секции в Ручной Конфигурации По доверенности.

Примечание: Если это полномочие сделает контроль SSL, то необходимо будет поместить в место правило обхода обойти полномочие для intelligence.sourcefire.com

Шаг 6: Проверьте, что движение HTTPS, используемое для загрузки подачи разведки безопасности, не проходит SSL decryptor. Если движение пройдет SSL decryptor, то необходимо будет обойти все движение, идущее в intelligence.sourcefire.com.

Примечание: причиной, что декодирование SSL должно быть обойдено для Подачи Разведки безопасности, является SSL decryptor, посылает Центру управления FireSIGHT неизвестное свидетельство в области рукопожатия SSL. Свидетельство, которое посылают в Центр управления FireSIGHT, не подписано Sourcefire, которому доверяют CA, и поэтому связи не доверяют.

Связанные документы


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 117997