Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Solucione problemas com a filtragem de URL em um sistema FireSIGHT

Opções de download

  • PDF     (580.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (464.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (380.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de Junho de 2017
ID do documento:118852

Linguagem livre de preconceitos

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve problemas comuns com a filtragem de URL. O recurso de filtragem de URL no FireSIGHT Management Center categoriza o tráfego de hosts monitorados e permite gravar uma condição em uma regra de controle de acesso com base na reputação.

Processo de pesquisa de filtragem de URL

Para acelerar o processo de pesquisa de URL, a filtragem de URL fornece um conjunto de dados instalado localmente em um sistema Firepower. Dependendo da quantidade de memória (RAM) disponível em um dispositivo, há dois tipos de conjuntos de dados:

Tipo de Conjunto de Dados Requisito de memória
Na Versão 5.3 Na versão 5.4 ou superior
Conjunto de dados de 20 milhões de URL > 2 GB > 3,4 GB
Conjunto de dados de URL de 1 milhão <= 2 GB <= 3,4 GB

118852-technote-firesight-00-00.png

Problemas de conectividade de nuvem

Passo 1: Verificar as licenças

A licença está instalada?

Você pode adicionar condições de URL baseadas em categoria e reputação às regras de controle de acesso sem uma licença de filtragem de URL, no entanto, não poderá aplicar a política de controle de acesso até que você adicione uma licença de filtragem de URL ao FireSIGHT Management Center e ative-a nos dispositivos visados pela diretiva.

A licença expirou?

Se uma licença de filtragem de URL expirar, as regras de controle de acesso com condições de URL baseadas em categoria e reputação pararão de filtrar URLs, e o FireSIGHT Management Center não entra mais em contato com o serviço de nuvem.

Tip: Leia o exemplo de configuração de filtragem de URL em um sistema FireSIGHT para saber como habilitar o recurso de filtragem de URL em um sistema FireSIGHT e aplicar a licença de filtragem de URL em um dispositivo gerenciado.

Passo 2: Verificar alertas de integridade

O módulo Monitor de filtragem de URL rastreia as comunicações entre o FireSIGHT Management Center e a nuvem da Cisco, onde o sistema obtém seus dados de filtragem de URL (categoria e reputação) para URLs visitados com frequência. O módulo Monitor de filtragem de URL também rastreia as comunicações entre um FireSIGHT Management Center e qualquer dispositivo gerenciado no qual você tenha habilitado a filtragem de URL.

Para ativar o módulo Monitor de Filtragem de URL, vá para a página Configuração de Diretiva de Integridade, escolha Monitor de Filtragem de URL. Clique no botão de opção On para a opção Enabled (Habilitado) para habilitar o uso do módulo para o teste de status de integridade. Você deve aplicar a política de integridade ao FireSIGHT Management Center se quiser que suas configurações entrem em vigor.

118852-technote-firesight-00-01.png

  • Alerta crítico: Se o FireSIGHT Management Center não conseguir se comunicar com ou recuperar uma atualização da nuvem, a classificação de status desse módulo será alterada para Crítico.
  • Alerta de aviso: Se o FireSIGHT Management Center se comunicar com êxito com a nuvem, o status do módulo será alterado para Aviso se o Management Center não puder enviar novos dados de filtragem de URL para seus dispositivos gerenciados.

Passo 3: Verificar configurações DNS

Um FireSIGHT Management Center se comunica com esses servidores durante a pesquisa em nuvem:

database.brightcloud.com
service.brightcloud.com

Depois de certificar-se de que ambos os servidores são permitidos no firewall, execute estes comandos no FireSIGHT Management Center e verifique se o Management Center é capaz de resolver os nomes:

admin@FireSIGHT:~$ sudo nslookup database.brightcloud.com
admin@FireSIGHT:~$ sudo nslookup service.brightcloud.com

Passo 4: Verifique a conectividade com as portas necessárias

Os sistemas FireSIGHT usam as portas 443/HTTPS e 80/HTTP para se comunicar com o serviço de nuvem.

Depois de confirmar que o Management Center é capaz de executar um nslookup bem-sucedido, verifique a conectividade com a porta 80 e a porta 443 com telnet. O banco de dados de URL é baixado com database.brightcloud.com na porta 443, enquanto as consultas de URL desconhecidas são feitas em service.brightcloud.com na porta 80.

telnet database.brightcloud.com 443
telnet service.brightcloud.com 80

Esta saída é um exemplo de uma conexão telnet bem-sucedida com database.brightcloud.com.

Connected to database.brightcloud.com.
Escape character is '^]'.

Problemas de controle de acesso e categorização incorreta

Problema 1: URL com nível de reputação não selecionado permitido / bloqueado

Se você notar que um URL é permitido ou bloqueado, mas não selecionou o nível de reputação desse URL na sua Regra de Controle de Acesso, leia esta seção para entender como uma regra de filtragem de URL funciona.

A ação da regra é permitida

Quando você cria uma regra para Permitir tráfego com base em um nível de reputação, a seleção de um nível de reputação também seleciona todos os níveis de reputação menos seguros que o nível selecionado originalmente. Por exemplo, se você configurar uma regra para permitir sites benignos com riscos de segurança (nível 3), ela também permitirá automaticamente sites benignos (nível 4) e sites bem conhecidos (nível 5).

118852-technote-firesight-00-02.png

A ação da regra é bloquear

Quando você cria uma regra para Bloquear tráfego com base em um nível de reputação, a seleção de um nível de reputação também seleciona todos os níveis de reputação mais severos que o nível selecionado originalmente. Por exemplo, se você configurar uma regra para bloquear sites benignos com riscos de segurança (nível 3), ela também bloqueia automaticamente sites suspeitos (nível 2) e sites de alto risco (nível 1). 

118852-technote-firesight-00-03.png

Matriz de seleção de URL

Nível de reputação selecionado Ação da regra selecionada
Alto risco Site suspeito

Site de referência com risco à segurança

 Site Benigno Bem conhecido
1 - Alto risco Bloquear, Permitir Permissão Permissão Permissão Permissão
2 - Sites suspeitos Bloqueio Bloquear, Permitir Permissão Permissão Permissão
3 - Sites benignos com risco à segurança Bloqueio Bloqueio Bloquear, Permitir Permissão Permissão
4 - Sites Benignos Bloqueio Bloqueio Bloqueio Bloquear, Permitir Permissão
5 - Bem conhecido Bloqueio Bloqueio Bloqueio Bloqueio Bloquear, Permitir

Problema 2: O curinga não funciona na regra de controle de acesso

O FireSIGHT System não suporta a especificação de um curinga em uma condição de URL. Essa condição pode falhar no alerta em cisco.com.


*cisco*.com

Além disso, uma URL incompleta pode corresponder a outro tráfego que cause um resultado indesejado. Ao especificar URLs individuais em condições de URL, você deve considerar cuidadosamente outro tráfego que possa ser afetado. Por exemplo, considere um cenário em que você queira bloquear explicitamente cisco.com. Entretanto, a correspondência de substring significa que bloquear cisco.com também bloqueia sanfrancisco.com, o que pode não ser sua intenção.


Quando introduzir um URL, introduza o nome de domínio e omita informações de subdomínio. Por exemplo, digite cisco.com em vez de www.cisco.com. Quando você usa cisco.com em uma regra Permitir, os usuários podem navegar para qualquer um destes URLs: 

http://cisco.com
http://cisco.com/newcisco
http://www.cisco.com

Problema 3: A categoria e a reputação da URL não estão preenchidas

Se um URL não estiver em um banco de dados local e for a primeira vez que o URL for visto no tráfego, uma categoria ou reputação poderá não ser preenchida. Isso significa que na primeira vez que um URL desconhecido é visto, ele não corresponde à regra de CA.  Às vezes, as pesquisas de URL para URLs visitados com frequência podem não ser resolvidas na primeira vez em que um URL é visto. Esse problema é corrigido nas versões 5.3.0.3, 5.3.1.2 e 5.4.0.2, 5.4.1.1.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
24-Mar-2016
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Nazmul Rajib
    Engenheiro do TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos