Arquitectura y puertos de red

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by David O'Malley on May 11, 2017
Version 2Show Document
  • View in full screen mode
  

Consulte el diagrama y la tabla de puertos siguientes para asegurarse de que todos los puertos pertinentes estén abiertos para los componentes de su implementación de Security Analytics de modo que exista comunicación entre ellos.

Arquitectura de red de Security Analytics

En el siguiente diagrama se ilustra la arquitectura de red de Security Analytics con los puertos que se usan para las comunicaciones en Security Analytics 10.6.

Nota: Los hosts de Security Analytics Core deben ser capaces de comunicarse con el servidor de Security Analytics (servidor primario en una implementación de múltiples servidores) a través del puerto UDP 123 para la sincronización de la hora de NTP.

 

 

Host y puertos de servicio de Security Analytics

En las versiones anteriores a Security Analytics 10.4, un administrador podía utilizar el protocolo nativo para comunicaciones no SSL rápidas, como la agregación y la API REST, para SSL entre Security Analytics y los hosts. Todas las comunicaciones de Security Analytics pasaron de la API REST a los puertos nativos de Security Analytics Core. En consecuencia, se agregó un segundo puerto nativo de Security Analytics Core por servicio de host, de modo que los administradores pueden habilitar las comunicaciones de red seguras (SSL) y pueden continuar usando métodos de conectividad no seguros (HTTP y Security Analytics Core [nativo]) para la comunicación entre los servicios en el mismo sistema. Los administradores pueden activar y desactivar los puertos para que sean compatibles solo con SSL, solo con no SSL, o con ambos.

En la siguiente tabla se muestran los hosts de Security Analytics y sus respectivos puertos de servicio:

                                                                                                                                                                                                                                                                     

De host

A host

A puertos (protocolo)

Comentarios

Cualquier host

Servidor de Security Analytics

80 (TCP)

Yum/HTTP:

Todos los hosts de SA reciben actualizaciones de paquetes RPM del repositorio Yum situado en el servidor de Security Analytics a través de HTTP.  Esta es una comunicación bidireccional desde cualquier host al servidor de Security Analytics.

Cualquier host

Servidor de Security Analytics

8140 (TCP)

Puppet-master. HTTPS:

Todas las comunicaciones desde cualquier host al servidor de Security Analytics (Puppet master) se realiza a través de HTTPS.

Cualquier host

Servidor de Security Analytics

61614 (STOMP/TCP)

rabbitmq-server (Mcollective/STOMP):

Todas las comunicaciones desde cualquier host al servidor de Security Analytics (rabbitmq-server) se realizan a través de Mcollective/STOMP.

Seguridad
Analítica
Servidor
Cualquier host5671 (AMQPS/TCP)

rabbitmq-server (RabbitMQ/AMQPS):

Todas las comunicaciones desde el servidor de Security Analytics (rabbitmq-server) a cualquier host se realizan a través de RabbitMQ/AMQPS.

Nota: El puerto 5671 debe estar abierto en ambas direcciones entre el servidor de SA y los otros hosts para las actualizaciones de versión.

Servidor de Security Analytics

Log Decoder

56002 (SSL/TCP)

50002 (no SSL/TCP)
50102 (REST/TCP): solo para Security Analytics 10.3 y anteriores

Servidor de Security Analytics

Broker

56003 (SSL/TCP)

50003 (no SSL/TCP)
50103 (REST/TCP): solo para Security Analytics 10.3 y anteriores

Servidor de Security Analytics

Concentrator

56005 (SSL/TCP)

50005 (no SSL/TCP)
50105 (REST/TCP): solo para Security Analytics 10.3 y anteriores

Servidor de Security Analytics

Packet Decoder

Servicio: 56004 (SSL/TCP)

50004 (no SSL/TCP)
50104 (REST/TCP)

Servidor de Security Analytics

Log Collector (local, remoto y Windows existente)

56001 (SSL/TCP)

50001 (no SSL/TCP)
50101 (REST/TCP): solo para Security Analytics 10.3 y anteriores

Servidor de Security Analytics

Archiver

56008 (SSL/TCP)

50008 (no SSL/TCP)
50108 (REST/TCP)

Servidor de Security Analytics

ESA

50030 (SSL/TCP)

27017 (SSL/TCP) (predeterminado)

27017 es para un único host de ESA.

Servidor de Security Analytics

ESA: Context Hub50022 (SSL/TCP) 

Servidor de Security Analytics

Malware (Malware en la misma ubicación en el servidor de Security Analytics)

60007 (TCP)

 

Servidor de Security Analytics

Reporting Engine (rsa-re en el servidor de Security Analytics)

51113 (SSL/TCP)

 

Servidor de Security Analytics

Incident Management (rsa-im en el servidor de Security Analytics)

50040 (TCP)

 

Servidor de Security Analytics (IPDB Extractor)

enVision IPDB

135, 138, 139 y 445 (
TCP/UDP)


 

Servidor de Security Analytics

IPDB Extractor

56025 (SSL/TCP)

50025 (no SSL/TCP)
50125 (REST/TCP)

Servidor de Security Analytics

Warehouse Connector (en Packet Decoder/Log Decoder)

56020 (SSL)
 

50020 (no SSL)
50120 (REST)

Servidor de Security Analytics

ECAT

443 (TCP)

 

Servidor de Security Analytics

Servicio del host (Log Decoder, Packet Decoder, Concentrator, Broker, Warehouse Connector y Archiver)

56006 (SSL/TCP)

50006 (no SSL/TCP)
50106 (REST/TCP): solo para Security Analytics 10.3 y anteriores

Servidor de Security Analytics

Workbench (Archiver)

56007 (SSL/TCP)

50007 (no SSL/TCP)
50107 (REST/TCP)

Servidor de Security Analytics

Receptor de syslog del registro de auditoría

Puede ser un receptor de syslog de otros fabricantes o un LogDecoder

514 (TCP/UDP)

Solo se requiere si los registros de auditoría de SA se envían a Log Decoder o al receptor de syslog de otros fabricantes para su análisis.

Concentrator

Packet Decoder

56004

 

Concentrator

Log Decoder

56002

 

Broker

Concentrator

56005

 

Broker

Archiver

56008

 

Archiver

Log Decoder

56002

 

ESA 

Concentrator

56005

 

ESA

RSA LIVE
Servidor de Whois

443

 

Malware

Broker

56003

 

Warehouse Connector

Warehouse

NFS (2049 y 111),
SFTP (TCP22)
WebHDFS (50070)

 

En el modo de extracción:

Log Collector (en Log Decoder)

Virtual Log Collector

Colector de Windows existente

5671 (TCP)

:

En el modo de migración:

Virtual Log Collector

Colector de Windows existente

Log Collector (en Log Decoder)

5671 (TCP)

 

enVision Local Collector

Remote Collector (VM)

514 (TCP)

 

enVision Local Collector

Log Decoder

514 (TCP)

 

ECAT

Log Decoder

514 (TCP/UDP)

 

ECAT

Servidor de Security Analytics

5671 (TCP)

Las alertas de ECAT se envían a SAIM a través de este puerto.

Servidor de Security Analytics (alertas de RE, ESAy feeds de Live de contexto de negocios)

Archer SecOps 1.3

Servidor de Security Analytics a UCF: syslog 1514 (TCP)/514 UDP/1515 STCP

UCF a Archer Sec Ops: 80/443

Servidor de Security Analytics a UCF: 9090 HTTP/8443 HTTPS (feeds de Live de contexto de negocios)

.

Servidor de Security Analytics

(Alertas de IM)

Archer SecOps 1.2/1.3

Servicio de integración SAIM al servidor de Security Analytics: 5671

Servicio de integración SAIM a Archer SecOps: 80/443

El servicio de integración SAIM está presente en UCF y se integra con SecOps 1.3 y 1.2. 

Navegador web de Security Analytics

Interfaz del usuario del servidor de Security Analytics

443 (HTTPS)

 

 Externo

Todos los hosts

22 (TCP)

El protocolo SSH proporciona acceso de shell al dispositivo para la administración de hosts de emergencia. En los hosts con Log Collector instalado, el protocolo SSH proporciona compatibilidad con SFTP y SCP para los dispositivos que cargan archivos de registro destinados a su utilización por parte de Security Analytics.

Nota: Cuando actualice a una nueva versión, abra los puertos 8140 y 61614 del firewall de todos los hosts de servidores que no sean de Security Analytics al servidor de Security Analytics, de modo que el servidor de Security Analytics pueda descubrir todos los hosts y los servicios de los servidores que no sean de Security Analytics.

You are here

Table of Contents > Arquitectura y puertos de red

Attachments

    Outcomes