Безопасность : устройства безопасности электронной почты Cisco ESA

ESA с AMP Получает "Сервис Репутации Файла в облаке, недостижимая" Ошибка

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает предупреждение, приписанное Cisco Email Security Appliance (ESA) с Усовершенствованной вредоносной защитой (AMP), включенной на нем, куда сервис не связывается по порту 443 для Уровня защищенных сокетов (SSL).

Внесенный Робертом Шервином, специалистом службы технической поддержки Cisco.

Корректный "Сервис Репутации Файла в облаке является недостижимой" Ошибкой, Полученной для AMP

AMP был освобожден для использования на ESA в Версии 8.5.5 AsyncOS и позже. С лицензируемым AMP и включил на ESA, администраторы получают это сообщение:

The Warning message is:

amp The File Reputation service in the cloud is unreachable.

Last message occurred 2 times between Mon Jan 26 10:17:15 2015 and Mon Jan 26 10:18:16 2015.

Version: 8.5.6-092
Serial Number: 123A82F6780EEE9E1E10-AAA5DBEFCEEE
Timestamp: 26 Jan 2015 10:56:28 -0600

Сервис AMP мог бы быть включен, но вероятно не связывается по порту 443. 

Чтобы гарантировать, что AMP передает более чем 443, выполните ampconfig> усовершенствованный от CLI и быть уверенными, что Y выбран для вас, хотят включить связь SSL (порт 443) для репутации файла? [Y]>:

> ampconfig

File Reputation: Enabled
File Analysis: Enabled
File types selected for File Analysis:
Adobe Portable Document Format (PDF)
Microsoft Office 2007+ (Open XML)
Microsoft Office 97-2004 (OLE)
Microsoft Windows / DOS Executable


Choose the operation you want to perform:
- SETUP - Configure Advanced-Malware protection service.
- ADVANCED - Set values for AMP parameters (Advanced configuration).
- CLEARCACHE - Clears the local File Reputation cache.
[]> advanced

Enter cloud query timeout?
[15]>

Enter cloud domain?
[a.immunet.com]>

Enter reputation cloud server pool?
[cloud-sa.amp.sourcefire.com]>

Do you want use the recommended reputation threshold from cloud service? [Y]>

Enter file analysis server URL?
[https://intel.api.sourcefire.com]>

Enter heartbeat interval?
[15]>

Do you want to enable SSL communication (port 443) for file reputation? [Y]>

Proxy server detail:
Server :
Port :
User :

Do you want to change proxy detail [N]>

При использовании GUI нажмите Security Services> File Reputation и Analysis> Edit Global Settings> (выпадающий) Advanced и гарантируйте, что флажок Use SSL включен как показано здесь:

Передайте любого и все изменения к конфигурации.

Наконец, рассмотрите текущий журнал AMP для наблюдения успешности или неуспешности подключения и сервиса. Можно выполнить это от CLI с хвостовым усилителем.

До изменений, внесенных в ampconfig>, совершенствовался, вы видели бы это в журналах AMP:

Mon Jan 26 10:11:16 2015 Warning: amp The File Reputation service in the cloud 
is unreachable.
Mon Jan 26 10:12:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:13:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:14:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:15:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:16:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:17:15 2015 Warning: amp The File Reputation service in the cloud
is unreachable.
Mon Jan 26 10:18:16 2015 Warning: amp The File Reputation service in the cloud
is unreachable.

После того, как изменение делается в ampconfig> усовершенствованным, вы видите это в журналах AMP:

Mon Jan 26 10:18:47 2015 Info: amp File reputation service initialized 
successfully
Mon Jan 26 10:18:47 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:18:48 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:19:19 2015 Info: amp stunnel process started pid [3725]
Mon Jan 26 10:19:22 2015 Info: amp The File Reputation service in the cloud
is reachable.
Mon Jan 26 10:19:22 2015 Info: amp File reputation service initialized
successfully
Mon Jan 26 10:19:22 2015 Info: amp File Analysis service initialized
successfully
Mon Jan 26 10:19:23 2015 Info: amp The File Analysis server is reachable
Mon Jan 26 10:20:24 2015 Info: amp File reputation query initiating. File Name =
'amp_watchdog.txt', MID = 0, File Size = 12 bytes, File Type = text/plain
Mon Jan 26 10:20:24 2015 Info: amp Response received for file reputation query
from Cloud. File Name = 'amp_watchdog.txt', MID = 0, Disposition = file unknown,
Malware = None, Reputation Score = 0, sha256 = a5f28f1fed7c2fe88bcdf403710098977
fa12c32d13bfbd78bbe27e95b245f82, upload_action = 1

amp_watchdog.txt файл отображается каждые 10 минут в журналах. Этот файл является частью поддержки активности для AMP.

В журналах AMP обычный запрос был бы подобен этому:

Wed Jan 14 15:33:01 2015 Info: File reputation query initiating. File Name = 
'securedoc_20150112T114401.html', MID = 703, File Size = 108769 bytes, File
Type = text/html
Wed Jan 14 15:33:02 2015 Info: Response received for file reputation query from
Cloud. File Name = 'securedoc_20150112T114401.html', MID = 703, Disposition = file
unknown, Malware = None, Reputation Score = 0, sha256 = c1afd8efe4eeb4e04551a8a0f5
533d80d4bec0205553465e997f9c672983346f, upload_action = 1

С этой информацией, должна существовать возможность для корреляции Идентификатора сообщения (MID) в почтовых журналах.

Устранение неполадок

Межсетевой экран анализа и настройки сети, чтобы гарантировать, что связь SSL открыта для них:

ПортПротоколВходящий/исходящийИмя узлаОписание
443TCP  /*Согласно конфигурации в Сервисах безопасности> Репутация Файла и Анализ, Усовершенствованный раздел.Доступ к облачным сервисам для анализа файла.
32137TCP  /*Согласно конфигурации в Сервисах безопасности> Репутация Файла и Анализ, Усовершенствованный раздел, Усовершенствованный раздел, Облачный параметр Пула Сервера.Доступ к облачным сервисам для получения репутации файла.

Можно протестировать основное подключение от ESA до облачного сервиса более чем 443 через Telnet, чтобы гарантировать, что устройство может успешно достигнуть сервисов AMP.

Примечание: Адреса для Анализа Репутации и Файла Файла настроены на CLI с ampconfig> усовершенствованный, или от GUI с Сервисами безопасности>, Репутация Файла и Анализ> Редактируют Глобальные параметры> Усовершенствованный (выпадающий).

Пример Репутации файла:

ironport:service 36] telnet cloud-sa.amp.sourcefire.com 443
Trying 184.73.186.190...
Connected to cloud-sa.amp.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Аналитический пример файла:

ironport:service 37] telnet intel.api.sourcefire.com 443
Trying 198.148.79.52...
Connected to intel.api.sourcefire.com.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.