Introduction
Este documento descreve como solucionar problemas com as atualizações do Security Intelligence Feed. O feed de inteligência de segurança é composto de várias listas regularmente atualizadas de endereços IP com má reputação, conforme determinado pelo Cisco Talos Security Intelligence and Research Group (Talos). É importante manter o feed de inteligência atualizado regularmente para que um Cisco FireSIGHT System possa usar informações atualizadas para filtrar o tráfego da rede.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco FireSIGHT Management Center
- Feed de inteligência de segurança
Componentes Utilizados
As informações neste documento são baseadas em um Cisco FireSIGHT Management Center que executa o software versão 5.2 ou posterior.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Problema
Ocorre uma falha na atualização do feed de inteligência de segurança. Você pode verificar a falha por meio da GUI da Web ou da CLI (explicado mais nas seções a seguir).
Verifique o problema na GUI da Web
Quando ocorre uma falha na atualização do feed do Security Intelligence, o FireSIGHT Management Center exibe alertas de integridade.
Verifique o problema na CLI
Para determinar a causa raiz de uma falha de atualização com o Security Intelligence Feed, insira este comando no CLI do FireSIGHT Management Center:
admin@Sourcefire3D:~$ cat /var/log/messages
Procure um destes avisos nas mensagens:
Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed
Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer
Solução
Conclua estes passos para fazer o troubleshooting do problema:
- Verifique se o site intelligence.sourcefire.com está ativo. Navegue até https://intelligence.sourcefire.comin um navegador. Você deve receber um rosto sorridente, o que indica que o site está ao vivo.
- Acesse o CLI do FireSIGHT Management Center via Secure Shell (SSH).
- Faça ping no intelligence.sourcefire.com do FireSIGHT Management Center:
admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
Você deve receber uma saída semelhante a esta:
64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms
Se você não receber uma resposta semelhante à mostrada, você poderá ter um problema de conectividade de saída ou não terá uma rota para intelligence.sourcefire.com.
- Resolva o nome do host para intelligence.sourcefire.com:
admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
Você deve receber uma resposta semelhante a esta:
Server: 8.8.8.8
Address: 8.8.8.8#53
Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x
Note: A saída mencionada acima usa o servidor do Sistema de Nome de Domínio Público (DNS - Public Domain Name System) do Google como exemplo. A saída depende das configurações de DNS configuradas em System > Local > Configuration, na seção Network. Se você não receber uma resposta semelhante à mostrada, verifique se as configurações de DNS estão corretas.
Caution: O servidor usa um esquema de endereço IP round-robin para balanceamento de carga, tolerância a falhas e tempo de atividade. Portanto, os endereços IP podem mudar e a Cisco recomenda que o firewall seja configurado com um CNAME em vez de um endereço IP.
- Verifique a conectividade com intelligence.sourcefire.com com o uso de Telnet:
admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
Você deve receber uma saída semelhante a esta:
Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.
Note: Se você conseguir concluir a segunda etapa com êxito, mas não puder executar telnet para intelligence.sourcefire.com sobre a porta 443, você poderá ter uma regra de firewall que bloqueia a porta 443 de saída para intelligence.sourcefire.com.
- Navegue até System > Local > Configuration e verifique as configurações de proxy da configuração Manual Proxy na seção Network.
Note: Se esse proxy fizer a inspeção SSL (Secure Sockets Layer), você deverá colocar em prática uma regra de desvio que ignore o proxy para intelligence.sourcefire.com.
- Teste se você pode executar uma solicitação HTTP GET contra intelligence.sourcefire.com:
admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
Note: A face sorridente no final da saída do comando curl indica uma conexão bem-sucedida.
Observação: se você usar um proxy, o comando curl exigirá um nome de usuário. O comando será curl -U <user> -vk https://intelligence.sourcefire.com. Além disso, após inserir o comando, você será solicitado a inserir a senha do proxy.
- Verifique se o tráfego HTTPS usado para baixar o feed Security Intelligence não passa por um decodificador SSL. Para verificar se não há descriptografia de SSL, valide as informações do certificado do servidor na saída da Etapa 6. Se o certificado do servidor não corresponder ao exibido no exemplo a seguir, você pode ter um decodificador SSL que renuncia o certificado. Se o tráfego passa por um descriptografador SSL, você deve ignorar todo o tráfego que vai para intelligence.sourcefire.com.
admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
Note: A descriptografia de SSL deve ser ignorada para o feed Security Intelligence porque o decodificador de SSL envia ao FireSIGHT Management Center um certificado desconhecido no handshake SSL. O certificado enviado para o FireSIGHT Management Center não é assinado por uma CA confiável do Sourcefire, portanto, a conexão não é confiável.
Informações Relacionadas