對Firepower管理中心上的安全情報源更新失敗進行故障排除

簡介

本文檔介紹如何對安全情報源更新問題進行故障排除。

背景

安全情報源由思科Talos安全情報和研究小組(Talos)確定的信譽不佳的多個定期更新的IP地址清單組成。定期更新情報源非常重要，這樣Cisco Firepower系統可以使用最新資訊來過濾您的網路流量。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco Firepower管理中心
  
  
• 安全情報源

採用元件

本文檔中的資訊基於運行軟體版本5.2或更高版本的Cisco Firepower管理中心。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

安全情報源更新失敗。您可以透過Web GUI或CLI驗證故障（將在後續章節中進一步介紹）。

從Web GUI檢驗問題

當安全情報源更新失敗時，Firepower管理中心會顯示運行狀況警報。

從CLI檢驗問題

要確定安全情報源更新失敗的根本原因，請在Firepower管理中心的CLI中輸入以下命令：

admin@Sourcefire3D:~$ cat /var/log/messages

在郵件中搜尋以下警告之一：

Sourcefire3D SF-IMS[2004]: [2011] CloudAgent:IPReputation [WARN] Cannot download
 Sourcefire_Intelligence_Feed

Sourcefire3D SF-IMS[24085]: [24090] CloudAgent:IPReputation [WARN] Download
 unsucessful: Failure when receiving data from the peer

解決方案

完成以下步驟以對該問題進行故障排除：

1. 驗證網 intelligence.sourcefire.com 站是否處於活動狀態。在瀏覽器中導航到https://intelligence.sourcefire.comin。 


2. 透過安全外殼(SSH)訪問Firepower管理中心的CLI。
   
   
3. 從Firepower管理中心執行pingintelligence.sourcefire.com：
   
   

   admin@Sourcefire3D:~$ sudo ping intelligence.sourcefire.com 

   驗證您是否收到類似以下輸出：
   

   64 bytes from x (xxx.xxx.xx.x): icmp_req=1 ttl=244 time=4.05 ifyou do not receive a response similar to that shown, then you can have an outbound connectivity issue, or you do not have a route to intelligence.sourcefire.com.

4. 解析intelligence.sourcefire.com的主機名：
   
   

   admin@Firepower:~$ sudo nslookup intelligence.sourcefire.com

   驗證您是否收到類似如下所示的響應：
   
   

   Server: 8.8.8.8
   Address: 8.8.8.8#53
   
   Name: intelligence.sourcefire.com
   Address: xxx.xxx.xx.x

   注意：上述輸出使用Google公共域名系統(DNS)伺服器作為示例。輸出取決於 Network 部分下System > Local > Configuration中配置的DNS設定。如果您沒有收到與所示類似的響應，請確保DNS設定正確。

   注意：伺服器使用輪詢IP地址方案來實現負載均衡、容錯和正常運行時間。因此，IP地址可能會更改，因此Cisco建議使用 CNAME 而不是IP地址配置防火牆。

5. 使用Telnet檢查與intelligence.sourcefire.com的連線：
   
   

   admin@Firepower:~$ sudo telnet intelligence.sourcefire.com 443

   驗證您是否收到類似如下所示的輸出：
   
   

   Trying xxx.xxx.xx.x...
   Connected to intelligence.sourcefire.com.
   Escape character is '^]'.

   注意：如果能夠成功完成第二步，但無法通過intelligence.sourcefire.com 埠443遠端登入，則可以應用防火牆規則阻止埠443出站以進行intelligence.sourcefire.com。

6. 導航到系統>本地>配置，在 Network 部分下驗證配 Manual Proxy 置的代理設定。
   

   注意：如果此代理執行安全套接字層(SSL)檢查，則必須設定繞過 intelligence.sourcefire.com的代理的繞過規則。

7. 測試您是否能對intelligence.sourcefire.com執行HTTP GET請求：
   
   

   admin@Firepower:~sudo curl -vvk https://intelligence.sourcefire.com
   * About to connect() to intelligence.sourcefire.com port 443 (#0)
   *   Trying 192.168.79.58...
   * Adding handle: conn: 0xec5630
   * Adding handle: send: 0
   * Adding handle: recv: 0
   * Curl_addHandleToPipeline: length: 1
   * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
   * Connected to intelligence.sourcefire.com (192.168.79.58) port 443 (#0)
   * SSLv3, TLS handshake, Client hello (1):
   * SSLv3, TLS handshake, Server hello (2):
   * SSLv3, TLS handshake, CERT (11):
   * SSLv3, TLS handshake, Server key exchange (12):
   * SSLv3, TLS handshake, Server finished (14):
   * SSLv3, TLS handshake, Client key exchange (16):
   * SSLv3, TLS change cipher, Client hello (1):
   * SSLv3, TLS handshake, Finished (20):
   * SSLv3, TLS change cipher, Client hello (1):
   * SSLv3, TLS handshake, Finished (20):
   * SSL connection using DHE-RSA-AES256-SHA
   * Server certificate:
   * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
          emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
          CN=intelligence.sourcefire.com
   * 	 start date: 2016-02-29 22:50:29 GMT
   * 	 expire date: 2019-02-28 22:50:29 GMT
   * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
          emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
          CN=intelligence.sourcefire.com; nsCaRevocationUrl=
          https://intelligence.sourcefire.com/vrtca.crl
   * 	 SSL certificate verify result: unable to get local issuer certificate
          (20), continuing anyway.
   > GET / HTTP/1.1
   > User-Agent: curl/7.31.0
   > Host: intelligence.sourcefire.com
   > Accept: */*
   > 
   < HTTP/1.1 200 OK
   < Date: Tue, 01 Mar 2016 13:06:16 GMT
   * Server Apache is not blacklisted
   < Server: Apache
   < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
   < ETag: "9da27-3-509ce19e67580"
   < Accept-Ranges: bytes
   < Content-Length: 3
   < Content-Type: text/html
   < 
   :)
   * Connection #0 to host intelligence.sourcefire.com left intact

   註：curl命令輸出末尾的笑臉表示連線成功。

   注意：如果使用代理，則curl命令需要使用者名稱。命令為curl -U <user> -vvk https://intelligence.sourcefire.com。此外，輸入命令後，系統會提示您輸入代理密碼。

8. 驗證用於下載安全情報源的HTTPS流量未通過SSL解密器。要驗證是否未進行SSL解密，請驗證步驟6輸出中的伺服器證書資訊。如果伺服器證書與以下示例中顯示的內容不匹配，則可以使用簽名證書的SSL解密器。 如果流量透過SSL解密器，則必須跳過傳送到intelligence.sourcefire.com的所有流量。
   
   

   admin@Firepower:~$ sudo curl -vvk https://intelligence.sourcefire.com
   * About to connect() to intelligence.sourcefire.com port 443 (#0)
   *   Trying 192.168.79.58...
   * Adding handle: conn: 0xec5630
   * Adding handle: send: 0
   * Adding handle: recv: 0
   * Curl_addHandleToPipeline: length: 1
   * - Conn 0 (0xec5630) send_pipe: 1, recv_pipe: 0
   * Connected to intelligence.sourcefire.com (192.168.79.58) port 443 (#0)
   * SSLv3, TLS handshake, Client hello (1):
   * SSLv3, TLS handshake, Server hello (2):
   * SSLv3, TLS handshake, CERT (11):
   * SSLv3, TLS handshake, Server key exchange (12):
   * SSLv3, TLS handshake, Server finished (14):
   * SSLv3, TLS handshake, Client key exchange (16):
   * SSLv3, TLS change cipher, Client hello (1):
   * SSLv3, TLS handshake, Finished (20):
   * SSLv3, TLS change cipher, Client hello (1):
   * SSLv3, TLS handshake, Finished (20):
   * SSL connection using DHE-RSA-AES256-SHA
   * Server certificate:
   * 	 subject: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
          emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
          CN=intelligence.sourcefire.com
   * 	 start date: 2016-02-29 22:50:29 GMT
   * 	 expire date: 2019-02-28 22:50:29 GMT
   * 	 issuer: O=Sourcefire Inc.; OU=VRT Department of Intelligence;
          emailAddress=vrt-systems@sourcefire.com; L=Columbia; ST=MD; C=US;
          CN=intelligence.sourcefire.com; nsCaRevocationUrl=
          https://intelligence.sourcefire.com/vrtca.crl
   * 	 SSL certificate verify result: unable to get local issuer certificate
          (20), continuing anyway.
   > GET / HTTP/1.1
   > User-Agent: curl/7.31.0
   > Host: intelligence.sourcefire.com
   > Accept: */*
   > 
   < HTTP/1.1 200 OK
   < Date: Tue, 01 Mar 2016 13:06:16 GMT
   * Server Apache is not blacklisted
   < Server: Apache
   < Last-Modified: Tue, 09 Dec 2014 20:08:06 GMT
   < ETag: "9da27-3-509ce19e67580"
   < Accept-Ranges: bytes
   < Content-Length: 3
   < Content-Type: text/html
   < 
   :)
   * Connection #0 to host intelligence.sourcefire.com left intact

注意：對於「安全情報源」，必須繞過SSL解密，因為SSL解密器會在SSL握手中向Firepower管理中心傳送未知證書。傳送到Firepower管理中心的證書不是由Sourcefire受信任的CA簽署的，因此連線不受信任。

相關資訊

• Firepower管理中心上的自動下載更新失敗
  
  
• 高級惡意軟體防護(AMP)操作所需的伺服器地址
  
  
• Firepower系統運行所需的通訊埠
  
  
• 技術支援與文件 - Cisco Systems