Probleemoplossing met URL-filtering op een FireSIGHT-systeem

Downloadopties

  • PDF     (579.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (463.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (380.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 juni 2017
Document-id:118852

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft veel voorkomende problemen met URL-filtering. De URL-filterfunctie in FireSIGHT Management Center categoriseert het verkeer van gemonitorde hosts en stelt u in staat een voorwaarde te schrijven in een toegangscontroleregel die op reputatie is gebaseerd.

URL-filterproces

Om het URL-lookup-proces te versnellen, biedt het URL-filtering een dataset die lokaal op een Firepower System is geïnstalleerd. Afhankelijk van de hoeveelheid geheugen (RAM) die op een apparaat beschikbaar is, zijn er twee gegevenssets:

Type dataset Geheugenvereiste
Over versie 5.3 Over versie 5.4 of hoger
20 miljoen URL Dataset > 2 GB > 3,4 GB
1 miljoen URL Dataset <= 2 GB <= 3,4 GB

118852-technote-firesight-00-00.png

Cloudconnectiviteitsproblemen

Stap 1: Controleer de licenties

Is de licentie geïnstalleerd?

U kunt op klasse en reputatie gebaseerde URL voorwaarden aan toegangscontroleregels toevoegen zonder een URL Filtering licentie, maar u kunt het toegangscontrolbeleid niet toepassen totdat u eerst een URL Filtering licentie aan het FireSIGHT Management Center toevoegt en het vervolgens inschakelen op de apparaten die door het beleid worden bedoeld.

Is de licentie verlopen?

Als een URL-filtering verlopen is, maken toegangscontroleregels met categorie- en reputatiegebaseerde URL-voorwaarden een einde aan het filteren van URL's en neemt het FireSIGHT Management Center niet langer contact op met de cloudservice.

Tip: Lees URL-filtering op een FireSIGHT System Configuration om te leren hoe u URL Filtering-functie op een FireSIGHT System kunt inschakelen en gebruik URL-filtering op een beheerd apparaat.

Stap 2: Waarschuwingen controleren

De URL Filtering van de monitor module van de monitor volgt communicatie tussen het FireSIGHT Management Center en de Cisco cloud, waar het systeem zijn URL-filtering (categorie en reputatie) gegevens voor algemeen bezochte URL's verkrijgt. De URL Filtering van de monitor module van de monitor volgt ook communicatie tussen een FireSIGHT Management Center en om het even welke beheerde apparaten waar u URL filtering hebt ingeschakeld.

Kies de URL-filtermonitor om de module voor URL-filtering van monitor in te schakelen op de pagina Health Policy Configuration. Klik op de radioknop Aan voor de Ingeschakelde optie om gebruik van de module voor het testen van de gezondheidsstatus mogelijk te maken. U moet het gezondheidsbeleid op het FireSIGHT Management Center toepassen als u wilt dat uw instellingen effect sorteren.

118852-technote-firesight-00-01.png

  • Kritische waarschuwing: Als het FireSIGHT Management Center er niet in slaagt met de cloud te communiceren of een update uit de cloud te herstellen verandert de status classificatie voor die module in Criticaal.
  • Waarschuwing: Als het FireSIGHT Management Center met succes met de cloud communiceert, verandert de modulestatus in Waarschuwing als het Management Center geen nieuwe URL-filtergegevens naar de beheerde apparaten kan duwen.

Stap 3: DNS-instellingen controleren

Een FireSIGHT Management Center communiceert met deze servers tijdens de cloud:

database.brightcloud.com
service.brightcloud.com

Nadat u ervoor hebt gezorgd dat beide servers zijn toegestaan in de firewall, voert u deze opdrachten uit op het FireSIGHT Management Center en controleert u of het Management Center de namen kan oplossen:

admin@FireSIGHT:~$ sudo nslookup database.brightcloud.com
admin@FireSIGHT:~$ sudo nslookup service.brightcloud.com

Stap 4: Controleer de Connectiviteit met de vereiste poorten

FireSIGHT Systems gebruikt poorten 443/HTTPS en 80/HTTP om met de cloudservice te communiceren.

Zodra u hebt bevestigd dat het Management Center in staat is om een succesvolle nslookup uit te voeren, controleert u de connectiviteit met poort 80 en poort 443 met telnet. De URL-database wordt gedownload met database.heldercloud.com in poort 443, terwijl de onbekende URL-vragen worden gedaan op service.heldercloud.com in poort 80.

telnet database.brightcloud.com 443
telnet service.brightcloud.com 80

Deze output is een voorbeeld van een succesvolle telnet verbinding met database.heldercloud.com.

Connected to database.brightcloud.com.
Escape character is '^]'.

Problemen met toegangscontrole en verkeerde categorisering

Probleem 1: URL met niet-geselecteerd herstellingsniveau is toegestaan / geblokkeerd

Als u opmerkt dat een URL is toegestaan of geblokkeerd, maar u hebt het reputatieniveau van die URL in uw Regel van de Toegangscontrole niet geselecteerd, lees deze sectie om te begrijpen hoe een URL filterregel werkt.

Handeling op regel staat toe

Wanneer u een regel maakt om verkeer toe te staan op basis van een reputatieniveau, selecteert de selectie van een reputatieniveau ook alle reputatieniveaus die minder veilig zijn dan het niveau dat u oorspronkelijk geselecteerd had. Bijvoorbeeld, als u een regel vormt om Benigne plaatsen met veiligheidsrisico's toe te staan (niveau 3), dan staat het ook automatisch Benigne plaatsen (niveau 4) en Goed gekende (niveau 5) toe.

118852-technote-firesight-00-02.png

Handeling op regels is blokkeren

Wanneer u een regel maakt om verkeer te blokkeren op basis van een reputatieniveau, selecteert de selectie van een reputatieniveau ook alle reputatieniveaus ernstiger dan het niveau dat u oorspronkelijk geselecteerd hebt. Bijvoorbeeld, als u een regel vormt om BenigNE plekken met veiligheidsrisico's te blokkeren (niveau 3), blokkeert deze ook automatisch Verdachte sites (niveau 2) en Hoge risico (niveau 1). 

118852-technote-firesight-00-03.png

URL-selectietype

Geselecteerd reproductieniveau Handeling geselecteerd regel
Hoog risico verdachte plaats

Benigne plaats met veiligheidsrisico

 Benign Site bekend
1 - Hoog risico Blokken, toestaan Allow (toestaan) Allow (toestaan) Allow (toestaan) Allow (toestaan)
2 - Verdachte locaties Block (blokkeren) Blokken, toestaan Allow (toestaan) Allow (toestaan) Allow (toestaan)
3 - Benigde locaties met een beveiligingsrisico Block (blokkeren) Block (blokkeren) Blokken, toestaan Allow (toestaan) Allow (toestaan)
4 - Benigde locaties Block (blokkeren) Block (blokkeren) Block (blokkeren) Blokken, toestaan Allow (toestaan)
5 - Goed bekend Block (blokkeren) Block (blokkeren) Block (blokkeren) Block (blokkeren) Blokken, toestaan

Probleem 2: Wildcard werkt niet onder de toegangscontroleregel

FireSIGHT System ondersteunt geen specificatie van een jokerteken in een URL-toestand. Deze conditie kan niet alert zijn op cisco.com.


*cisco*.com

Daarnaast kan een onvolledige URL overeenkomen met ander verkeer dat een onnodig resultaat veroorzaakt. Wanneer u individuele URLs in URL voorwaarden specificeert, moet u zorgvuldig ander verkeer overwegen dat zou kunnen worden beïnvloed. Neem bijvoorbeeld een scenario in overweging waar u cisco.com expliciet wilt blokkeren. Substring matching betekent echter dat het blokkeren van cisco.com ook sanfrancisco.com blokkeert, wat misschien niet uw bedoeling is.


Wanneer u een URL ingaat, voer de domeinnaam in en bewaar subdomein informatie. Bijvoorbeeld, type cisco.com in plaats van www.cisco.com. Wanneer u cisco.com in een Allow regel gebruikt, kunnen de gebruikers naar een van deze URL's bladeren: 

http://cisco.com
http://cisco.com/newcisco
http://www.cisco.com

Probleem 3: URL-categorie en -reputatie worden niet bevolkt

Als een URL niet in een lokale database is en het de eerste keer is dat de URL in verkeer wordt gezien, kan een categorie of reputatie niet worden ingevuld. Dit betekent dat de eerste keer dat er een onbekende URL wordt gezien, deze niet overeenkomt met de AC-regel.  Soms kunnen de URL lookups voor veelbezochte URL's niet de eerste keer dat er een URL wordt gezien, worden opgelost. Dit punt is vastgesteld op versie 5.3.0.3, 5.3.1.2 en 5.4.0.2, 5.4.1.1.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
24-Mar-2016
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Nazmul Rajib
    Cisco TAC-ingenieur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten