Безопасность : Cisco Firepower Management Center

Расследуйте проблемы с фильтрацией URL на системе FireSIGHT

20 февраля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Особенность фильтрации URL на Центре управления FireSIGHT категоризирует движение проверенных хозяев и позволяет вам писать условие в правиле управления доступом, основанном на репутации. Этот документ описывает общие вопросы с Фильтрацией URL.

Внесенный Nazmul Rajib, Cisco инженер TAC.

URL, фильтрующий процесс поиска

Проблемы возможности соединения облака

Шаг 1: проверьте лицензии

Лицензия установлена?

Можно добавить категорию и основанные на репутации условия URL к правилам управления доступом без лицензии Фильтрации URL, однако вы не можете применить политику управления доступом, пока вы сначала не добавляете, что Фильтрация URL лицензирует для Центра управления FireSIGHT, затем позволяет его на устройствах, предназначенных политикой.

Лицензия истекает?

Если лицензия Фильтрации URL истекает, правила управления доступом с категорией и основанными на репутации условиями URL прекращают фильтровать URLs, и Центр управления FireSIGHT больше не связывается с облачным сервисом.

Наконечник: Прочитайте этот документ, чтобы изучить, как активировать опцию Фильтрации URL на Системе FireSIGHT и применить лицензию Фильтрации URL на устройство, которым управляют.

Шаг 2: проверьте медицинские тревоги

URL, Фильтрующий модуль Монитора, отслеживает связи между Центром управления FireSIGHT и облаком Cisco, где система получает свою фильтрацию URL (категория и репутация) данные для обычно посещаемого URLs. URL, Фильтрующий модуль Монитора также, отслеживает связи между Центром управления FireSIGHT и любыми устройствами, которыми управляют, где вы позволили фильтрацию URL. 

Для предоставления возможности URL, Фильтрующего модуль Монитора, пойдите в страницу Конфигурации Политики в области охраны здоровья, выберите Монитор Фильтрации URL. Выберите На для Позволенного выбора позволить использование модуля для тестирования состояния здоровья. Необходимо применить политику в области охраны здоровья к Центру управления FireSIGHT, если вы хотите, чтобы ваши параметры настройки вступили в силу.

  • Критическая Тревога: Если Центр управления FireSIGHT успешно не общается с или восстанавливает обновление от облака, классификации статусов для того модуля изменения Критического.
  • Предупреждение Тревоги: Если Центр управления не может выдвинуть новые данные о фильтрации URL к своим устройствам, которыми управляют, если Центр управления FireSIGHT успешно общается с облаком, изменениями статуса модуля Предупреждения.

Шаг 3: проверьте параметры настройки DNS

Центр управления FireSIGHT общается со следующими серверами во время поиска облака:

database.brightcloud.com
service.brightcloud.com

Как только вы удостоверяетесь, что оба сервера позволены на брандмауэре, управляют следующими командами на Центре управления FireSIGHT и проверяют, ли Центр управления в состоянии решить cnames:

admin@FireSIGHT:~$ sudo nslookup database.brightcloud.com
admin@FireSIGHT:~$ sudo nslookup service.brightcloud.com

Шаг 4: проверьте возможность соединения к необходимым портам

Системы FireSIGHT используют порты 443/HTTPS и 80/HTTP для связи с облачным сервисом.

Как только вы подтверждаете, что Центр управления в состоянии выполнить успешный nslookup, проверьте возможность соединения для переноса 80 и порт 443 использования TELNET. В то время как неизвестные вопросы URL сделаны в service.brigthcloud.com в порту 80, база данных URL загружена с помощью database.brightcloud.com в порту 443.

telnet database.brightcloud.com 443
telnet service.brightcloud.com 80

Следующая продукция является примером успешной связи TELNET с database.brightcloud.com.

Connected to database.brightcloud.com.
Escape character is '^]'.

Управление доступом и проблемы Miscategorization

Проблема 1: URL с Отменявшим Уровнем Репутации Позволен / Заблокированный

Если вы замечаете, что URL позволен или заблокирован, но вы не выбирали уровень репутации того, что URL в вашем Правлении Управления доступом, прочитайте следующий раздел, чтобы понять, как делает URL, фильтрующий работы правила.

Действие правила, Позволяют

При создании правила Позволить движение, основанное на уровне репутации выбирание уровня репутации также выбирает все уровни репутации, менее безопасные, чем уровень, который вы первоначально выбрали. Например, при формировании правила позволить Мягкие места с угрозами безопасности (уровень 3) это также автоматически позволяет Мягкие места (уровень 4) и Известный (уровень 5) места.

Действие правила является Блоком

При создании правила Заблокировать движение, основанное на уровне репутации выбирание уровня репутации также выбирает все уровни репутации, более серьезные, чем уровень, который вы первоначально выбрали. Например, при формировании правила заблокировать Мягкие Сайты с угрозами безопасности (уровень 3) это также автоматически блокирует Подозрительные сайты (уровень 2) и Высокий риск (уровень 1) места. 

Матрица выбора URL

Отобранный уровень репутацииОтобранное действие правила
Высокий рискПодозрительное место

Мягкое место с угрозой безопасности

Мягкое местоИзвестный
1 - Высокий рискЗаблокируйте, позвольтеПозволитьПозволитьПозволитьПозволить
2 - Подозрительные местаБлокЗаблокируйте, позвольтеПозволитьПозволитьПозволить
3 - Мягкие места с угрозой безопасностиБлокБлокЗаблокируйте, позвольтеПозволитьПозволить
4 - Мягкие местаБлокБлокБлокЗаблокируйте, позвольтеПозволить
5 - ИзвестныйБлокБлокБлокБлокЗаблокируйте, позвольте

Проблема 2: Групповой символ не Работает в Правиле Управления доступом

Система FireSIGHT не поддерживает определение группового символа в условии URL. Следующее условие может не привести в готовность на cisco.com.


*cisco*.com
Кроме того, неполный URL может соответствовать против другого движения, вызывающего нежеланный результат. При определении отдельного URLs в условиях URL необходимо тщательно рассмотреть другое движение, которое могло бы быть затронуто. Например, рассмотрите сценарий, где вы хотите явно заблокировать cisco.com. Однако соответствие подстроки означает, что блокирование cisco.com также блокирует sanfrancisco.com, который не мог бы быть вашим намерением.

При входе в URL войдите в доменное имя и опустите информацию о подобласти. Например, напечатайте cisco.com, а не www.cisco.com. При использовании cisco.com в Позволить правиле, пользователи могли рассмотреть к любому следующему URLs:

http://cisco.com
http://cisco.com/newcisco
http://www.cisco.com

Проблема 3: Категория URL и Репутация не Населены

Если URL не находится в местной базе данных, и это - первый раз, когда URL замечен в движении, категория или репутация не могли бы быть населены. Это означает, что в первый раз неизвестный URL замечен, это не соответствует правилу AC. Иногда поиски URL для обычно посещаемого URLs могут не решить в первый раз, когда URL замечен. Эта проблема закреплена на Версии 5.3.0.3, 5.3.1.2, и 5.4.0.2, 5.4.1.1.

Связанный документ


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.