简介
本文档介绍如何解决安全情报源更新的问题。安全情报源由思科Talos安全情报和研究小组(Talos)确定的信誉不佳的多个IP地址定期更新列表组成。 定期更新情报源非常重要,以便Cisco FireSIGHT系统可以使用最新信息来过滤网络流量。
先决条件
要求
Cisco 建议您了解以下主题:
- Cisco FireSIGHT管理中心
- 安全情报源
使用的组件
本文档中的信息基于运行软件版本5.2或更高版本的Cisco FireSIGHT管理中心。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
问题
发生安全情报源更新故障。您可以通过Web GUI或CLI验证故障(将在后续章节中进一步说明)。
从Web GUI验证问题
当安全情报源更新失败时,FireSIGHT管理中心会显示运行状况警报。
从CLI验证问题
要确定安全情报源更新故障的根本原因,请在FireSIGHT管理中心的CLI中输入以下命令:
admin@Sourcefire3D:~$ cat /var/log/messages
在邮件中搜索以下警告之一:
Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed
Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer
解决方案
完成以下步骤以解决该问题:
- 验证intelligence.sourcefire.com站点是否处于活动状态。在浏览器中导航至https://intelligence.sourcefire.com。您应该会看到一个笑脸,表示该站点处于活动状态。
- 通过安全外壳(SSH)访问FireSIGHT管理中心的CLI。
- 从FireSIGHT管理中心ping intelligence.sourcefire.com:
admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
您应该会收到如下输出:
64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms
如果您没有收到与图中所示类似的响应,则可能出现了出站连接问题,或者您没有通向intelligence.sourcefire.com的路由。
- 解析intelligence.sourcefire.com的主机名:
admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
您应该会收到类似以下内容的响应:
Server: 8.8.8.8
Address: 8.8.8.8#53
Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x
注意:上述输出以Google公共域名系统(DNS)服务器为例。输出取决于网络部分下System > Local > Configuration中配置的DNS设置。如果您没有收到与所示类似的响应,请确保DNS设置正确。
警告:服务器使用轮询IP地址方案来实现负载均衡、容错和正常运行时间。因此,IP地址可能会改变,Cisco建议使用CNAME而不是IP地址配置防火墙。
- 使用Telnet检查与intelligence.sourcefire.com的连接:
admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
您应该会收到如下输出:
Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.
注意:如果能够成功完成第二步,但无法通过端口443通过Telnet访问intelligence.sourcefire.com,则您可能具有防火墙规则,该规则会阻止intelligence.sourcefire.com的出站端口443。
- 导航到System > Local > Configuration,并验证Network部分下Manual Proxy配置的代理设置。
注意:如果此代理执行安全套接字层(SSL)检查,则必须实施绕过intelligence.sourcefire.com代理的绕行规则。
- 测试是否可以对intelligence.sourcefire.com执行HTTP GET请求:
admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
注意:curl命令输出末尾的笑脸表示连接成功。
注:如果使用代理,则curl命令需要用户名。命令将为curl -U <user> -vvk https://intelligence.sourcefire.com。此外,输入命令后,系统会提示您输入代理密码。
- 验证用于下载安全情报源的HTTPS流量未通过SSL解密器。要验证是否未发生SSL解密,请验证步骤6的输出中的服务器证书信息。如果服务器证书与以下示例中显示的不匹配,则您可能具有重新签名证书的SSL解密器。如果流量通过SSL解密器,则必须绕过所有进入intelligence.sourcefire.com的流量。
admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
注意:安全情报源必须绕过SSL解密,因为SSL解密器在SSL握手中向FireSIGHT管理中心发送未知证书。发送到FireSIGHT管理中心的证书未由Sourcefire信任的CA签名,因此连接不受信任。
相关信息