简介
本文档介绍如何对安全情报源更新的问题进行故障排除。安全情报源由多个定期更新的信誉不佳的IP地址列表组成,由思科Talos安全情报和研究组(Talos)确定。 务必定期更新情报源,以便Cisco FireSIGHT系统能够使用最新信息来过滤网络流量。
先决条件
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于运行软件版本5.2或更高版本的Cisco FireSIGHT管理中心。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
问题
发生安全情报源更新失败。您可以通过Web GUI或CLI验证故障(详见以下各节)。
从Web GUI验证问题
当安全情报源更新失败时,FireSIGHT管理中心显示运行状况警报。
从CLI检验问题
要使用安全情报源确定更新失败的根本原因,请在FireSIGHT管理中心的CLI中输入以下命令:
admin@Sourcefire3D:~$ cat /var/log/messages
在邮件中搜索以下警告之一:
Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
Sourcefire_Intelligence_Feed
Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
unsucessful: Failure when receiving data from the peer
解决方案
完成以下步骤以解决该问题:
- 验证intelligence.sourcefire.com站点是否处于活动状态。导航至https://intelligence.sourcefire。显示浏览器。您应该收到一个笑脸,表示该站点处于活动状态。
- 通过安全外壳(SSH)访问FireSIGHT管理中心的CLI。
- 从FireSIGHT管理中心ping intelligence.sourcefire.com:
admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com
您应该收到类似下面的输出:
64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ms
如果您没有收到类似图中所示的响应,则可能存在出站连接问题,或者您没有到intelligence.sourcefire.com的路由。
- 解析intelligence.sourcefire.com的主机名:
admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com
您应收到类似以下内容的响应:
Server: 8.8.8.8
Address: 8.8.8.8#53
Name: intelligence.sourcefire.com
Address: xxx.xxx.xx.x
Note:上述输出以Google公共域名系统(DNS)服务器为例。输出取决于在System > Local > Configuration中在Network部分下配置的DNS设置。如果您没有收到类似图中所示的响应,请确保DNS设置正确。
Caution:服务器使用轮询IP地址方案来实现负载均衡、容错和正常运行时间。因此,IP地址可能会更改,Cisco建议使用CNAME而不是IP地址配置防火墙。
- 使用Telnet检查与intelligence.sourcefire.com的连接:
admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443
您应该收到类似下面的输出:
Trying xxx.xxx.xx.x...
Connected to intelligence.sourcefire.com.
Escape character is '^]'.
Note:如果您能够成功完成第二步,但无法通过端口443 Telnet至intelligence.sourcefire.com,则可能有防火墙规则阻止intelligence.sourcefire.com的出站端口443。
- 导航至System > Local > Configuration,并在Network部分下验证手动代理配置的代理设置。
Note:如果此代理执行安全套接字层(SSL)检查,则必须设置绕行intelligence.sourcefire.com代理的旁路规则。
- 测试是否可以对intelligence.sourcefire.com执行HTTP GET请求:
admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
Note:curl命令输出末尾的笑脸表示连接成功。
注意:如果使用代理,curl命令需要用户名。该命令将为curl -U <user> -vvk https://intelligence.sourcefire.com。此外,输入命令后,系统会提示您输入代理密码。
- 验证用于下载安全情报源的HTTPS流量是否未通过SSL解密器。要验证是否未进行SSL解密,请验证步骤6输出中的服务器证书信息。如果服务器证书与下面示例中显示的不匹配,则您可能拥有重新签名证书的SSL解密器。如果流量通过SSL解密器,则必须绕过所有流向intelligence.sourcefire.com的流量。
admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
* About to connect() to intelligence.sourcefire.com port 443 (#0)
* Trying 198.148.79.58...
* Adding handle: conn: 0xec5630
* Adding handle: send: 0
* Adding handle: recv: 0
* Curl_addHandleToPipeline: length: 1
* - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
* Connected to intelligence.sourcefire.com (198.148.79.58) port 443 (#0)
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS handshake, Server key exchange (12):
* SSLv3, TLS handshake, Server finished (14):
* SSLv3, TLS handshake, Client key exchange (16):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSLv3, TLS change cipher, Client hello (1):
* SSLv3, TLS handshake, Finished (20):
* SSL connection using DHE-RSA-AES256-SHA
* Server certificate:
* subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com
* start date: 2016-02-29 22:50:29 GMT
* expire date: 2019-02-28 22:50:29 GMT
* issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
CN=intelligence.sourcefire.com; nsCaRevocationUrl=
https://intelligence.sourcefire.com/vrtca.crl
* SSL certificate verify result: unable to get local issuer certificate
(20), continuing anyway.
> GET / HTTP/1.1
> User-Agent: curl/7.31.0
> Host: intelligence.sourcefire.com
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Tue, 01 Mar 2016 13:06:16 GMT
* Server Apache is not blacklisted
< Server: Apache
< Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
< ETag: "9da27-3-509ce19e67580"
< Accept-Ranges: bytes
< Content-Length: 3
< Content-Type: text/html
<
:)
* Connection #0 to host intelligence.sourcefire.com left intact
Note:必须绕过安全情报源的SSL解密,因为SSL解密器在SSL握手中向FireSIGHT管理中心发送未知证书。发送到FireSIGHT管理中心的证书未由Sourcefire受信任的CA签名,因此连接不受信任。
相关信息
反馈