Introduction
Ce document décrit comment résoudre les problèmes liés aux mises à jour du flux Security Intelligence. Le flux Security Intelligence se compose de plusieurs listes d'adresses IP régulièrement mises à jour qui ont une mauvaise réputation, comme déterminé par le groupe Cisco Talos Security Intelligence and Research (Talos). Il est important de mettre régulièrement à jour les informations collectées afin qu'un système Cisco FireSIGHT puisse utiliser des informations à jour pour filtrer le trafic réseau.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco FireSIGHT Management Center
- Flux Security Intelligence
Components Used
Les informations contenues dans ce document sont basées sur Cisco FireSIGHT Management Center qui exécute la version 5.2 ou ultérieure du logiciel.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Problème
Une erreur de mise à jour du flux Security Intelligence se produit. Vous pouvez vérifier l'échec via l'interface utilisateur graphique Web ou l'interface de ligne de commande (expliquée plus en détail dans les sections qui suivent).
Vérification du problème à partir de l'interface utilisateur Web
En cas d'échec de la mise à jour du flux Security Intelligence, FireSIGHT Management Center affiche des alertes d'intégrité.
Vérification du problème à partir de la CLI
Afin de déterminer la cause première d'un échec de mise à jour avec le flux Security Intelligence, entrez cette commande dans la CLI de FireSIGHT Management Center :
admin@Sourcefire3D:~$ cat /var/log/messages
Recherchez l'un de ces avertissements dans les messages :
Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed
Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer
Solution
Suivez ces étapes afin de résoudre ce problème :
- Vérifiez que le site intelligence.sourcefire.com est actif. Accédez à https://intelligence.sourcefire.com dans un navigateur. Vous devriez recevoir un smiley, qui indique que le site est actif.
- Accédez à l'interface de ligne de commande de FireSIGHT Management Center via Secure Shell (SSH).
- Envoyez une requête ping à intelligence.sourcefire.com depuis FireSIGHT Management Center :
admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
Vous devriez recevoir un résultat similaire à celui-ci :
64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms
Si vous ne recevez pas de réponse similaire à celle illustrée, vous risquez de rencontrer un problème de connectivité sortante ou vous n'avez pas de route vers intelligence.sourcefire.com.
- Résolvez le nom d'hôte pour intelligence.sourcefire.com :
admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
Vous devriez recevoir une réponse semblable à celle-ci :
Server: 8.8.8.8
Address: 8.8.8.8#53
Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x
Note: Le résultat ci-dessus utilise le serveur DNS (Public Domain Name System) de Google comme exemple. Le résultat dépend des paramètres DNS qui sont configurés dans System > Local > Configuration, sous la section Network. Si vous ne recevez pas de réponse similaire à celle affichée, vérifiez que les paramètres DNS sont corrects.
Attention : Le serveur utilise un schéma d'adresses IP de type round-robin pour l'équilibrage de charge, la tolérance aux pannes et la disponibilité. Par conséquent, les adresses IP peuvent changer, et Cisco recommande que le pare-feu soit configuré avec un CNAME au lieu d'une adresse IP.
- Vérifiez la connectivité à intelligence.sourcefire.com avec l'utilisation de Telnet :
admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
Vous devriez recevoir un résultat similaire à celui-ci :
Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.
Note: Si vous réussissez la deuxième étape mais que vous ne parvenez pas à établir une connexion Telnet avec intelligence.sourcefire.com sur le port 443, vous pouvez avoir une règle de pare-feu qui bloque le port 443 sortant pour intelligence.sourcefire.com.
- Accédez à System > Local > Configuration et vérifiez les paramètres proxy de la configuration Manual Proxy sous la section Network.
Note: Si ce proxy effectue une inspection SSL (Secure Sockets Layer), vous devez mettre en place une règle de contournement qui contourne le proxy pour intelligence.sourcefire.com.
- Testez si vous pouvez effectuer une requête HTTP GET sur intelligence.sourcefire.com :
admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
Note: Le smiley à la fin de la sortie de la commande curl indique une connexion réussie.
Remarque : si vous utilisez un proxy, la commande curl nécessite un nom d'utilisateur. La commande sera curl -U <user> -vk https://intelligence.sourcefire.com. En outre, après avoir entré la commande, vous êtes invité à entrer le mot de passe proxy.
- Vérifiez que le trafic HTTPS utilisé pour télécharger le flux Security Intelligence ne passe pas par un déchiffreur SSL. Afin de vérifier qu'aucun déchiffrement SSL ne se produit, validez les informations du certificat de serveur dans le résultat de l'étape 6. Si le certificat de serveur ne correspond pas à celui affiché dans l'exemple suivant, alors vous pourriez avoir un déchiffreur SSL qui abandonne le certificat. Si le trafic passe par un déchiffreur SSL, vous devez contourner tout le trafic qui va à intelligence.sourcefire.com.
admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
Note: Le décryptage SSL doit être contourné pour le flux Security Intelligence, car le décrypteur SSL envoie au FireSIGHT Management Center un certificat inconnu dans la connexion SSL. Le certificat envoyé à FireSIGHT Management Center n'est pas signé par une autorité de certification approuvée par Sourcefire. La connexion n'est donc pas approuvée.
Informations connexes