Guide de déploiement : Architecture réseau et ports

Document created by RSA Information Design and Development on Apr 18, 2018Last modified by RSA Information Design and Development on Jul 24, 2019
Version 8Show Document
  • View in full screen mode
 

Reportez-vous au schéma et au tableau des ports suivants pour veiller à ce que tous les ports concernés soient ouverts et que les composants de votre déploiement NetWitness Platform puissent communiquer les uns avec les autres.

Reportez-vous à la section Architecture de NetWitness Endpoint à la fin de cette rubrique pour découvrir chaque schéma de l'architecture Endpoint.

Schéma de l'architecture réseau NetWitness Platform

Le schéma suivant illustre l’architecture réseau NetWitness Platform, y compris tous ses produits composants.

Remarque : Les hôtes de base NetWitness Platform doivent être en mesure de communiquer avec Serveur NetWitness (serveur primaire dans un déploiement avec plusieurs serveurs) via le port UDP 123 pour la synchronisation horaire Network Time Protocol (NTP).

 

 

Schéma de l'architecture réseau NetWitness (paquets)

Les schémas suivants illustrent l'architecture réseau NetWitness Endpoint Insights (paquets)

Schéma de l'architecture réseau de NetWitness Logs

Les schémas suivants illustrent l'architecture réseau de NetWitness Logs

Liste complète des hôtes et des ports de service et iDRAC NetWitness Platform

Remarque : Pour les ports utilisés dans la collecte des événements via NetWitness Logs, reportez-vous à la section « Les bases » du Guide de déploiement de RSA NetWitness Suite Log Collection. Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.

Cette section contient les spécifications de port pour les hôtes suivants.

                                 

Hôte de serveur NW

                                                                                                               

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail Admin Serveur NWTCP 443, 80nginx - IU NetWitness

Station de travail de l’administrateur

Serveur NWTCP 15671Interface utilisateur de gestion RabbitMQ
Station de travail AdminServeur NWTCP 22 SSH

Hôtes NW

Serveur NW

TCP 53
UDP 53

DNS

Hôtes NW

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Hôtes NWServeur NWTCP 4505, 4506 Ports Salt Master
Hôtes NWServeur NWTCP 443Référentiel de mise à jour RSA

Hôtes NW

Serveur NW

TCP 5671

RabbitMQ-amqp

Hôtes NWServeur NWUDP 123 NTP

Hôtes NW

Serveur NWTCP 27017 MongoDB

Serveur NW

cloud.netwitness.com

TCP 443

Live

Serveur NW

cms.netwitness.comTCP 443

Live

Serveur NWsmcupdate.emc.comTCP 443

Live

Serveur NW

Serveur NFS

TCP 111, 2049,
UDP 111, 2049

Installations iDRAC

Serveur NWHôtes NWUDP 123 NTP

Serveur NW

NW Endpoint

TCP 443, 9443

Pour les intégrations NW Endpoint 4.x

Hôte Archiver

                                                                     

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminArchiverTCP 15671Interface utilisateur de gestion RabbitMQ

Archiver

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Archiver

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminArchiver TCP 22 SSH
Serveur NWArchiver TCP 56008 (SSL), 50108 (REST) Ports d’application Archiver
Serveur NWArchiver TCP 56006 (SSL), 50106 (REST) Ports d’appliance NetWitness
Serveur NWArchiver TCP 5671 Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.
Serveur NWArchiverTCP 514, 6514, 56007 (SSL), 50107 (REST), UDP 514 Ports d’application Workbench

Archiver

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Hôte Broker

                                                                           

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminBroker TCP 15671 Interface utilisateur de gestion RabbitMQ
BrokerConcentratorTCP 56005 Port d’application Concentrator

Broker

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Broker

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminBroker TCP 22SSH
Serveur NWBroker TCP 56003 (SSL), 50103 (REST) Ports d’application Broker
Serveur NWBroker TCP 56006 (SSL), 50106 (REST)Ports d’appliance NetWitness
Serveur NWBroker TCP 5671 Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.
BrokerServeur NW TCP 111 2049
UDP 111 2049
Installations iDRAC

Endpoint Broker

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Hôte Concentrator

                                                                                 

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminConcentratorTCP 15671Interface utilisateur de gestion RabbitMQ
ConcentratorLog DecoderTCP 56002Port d’application Concentrator
ConcentratorDécodeur réseauTCP 56004 Port d’application Concentrator

Concentrator

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Concentrator

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminConcentrator TCP 22 SSH
Serveur NW Concentrator TCP 56005 (SSL), 50105 (REST) Ports d’application Concentrator
MalwareConcentrator TCP 56005 (SSL)Malware
Serveur NW Concentrator TCP 56006 (SSL), 50106 (REST) Ports d’appliance NetWitness
Serveur NW Concentrator TCP 5671 Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.

Concentrator

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Endpoint Log Hybrid

                                                                     
Hôte sourceHôte de destinationPorts de destination Commentaires
Agents Endpoint Endpoint Log Hybrid

TCP 443

UDP 444

NGINX HTTPS

NGINX UDP. Si le port UDP 444 n’est pas acceptable dans votre environnement , reportez-vous à la section Comment modifier le port UDP pour Endpoint Log Hybrid.

Agents EndpointLog Decoder ou Virtual Log Collector

TCP 514 (Syslog)

UDP 514 (Syslog)

TLS 6514

Windows Log Collection

Endpoint Log HybridLog Decoder (externe)

TCP 50102 (REST)

56202 (Protobuf SSL)

50202 (Protobuf)

Pour transférer les métadonnées vers un Log Decoder externe

Endpoint Log Hybrid

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Serveur NW Endpoint Log Hybrid TCP 7050Trafic Web de l'interface utilisateur

Endpoint Log Hybrid

Serveur NW

TCP 5671

Bus de messages

Endpoint Log HybridServeur NWTCP 27017MongoDB
Serveur NWEndpoint Log HybridTCP 7054Trafic Web de l'interface utilisateur

Serveur NW

Serveur NFS

TCP 111, 2049
UDP 111, 2049

Installations iDRAC

Hôte Event Stream Analysis (ESA)

                                                                                                               

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminESA TCP 15671 Interface utilisateur de gestion RabbitMQ

ESA primaire et secondaire

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

ESA primaire et secondaire

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminESATCP 22 SSH
Serveur NW,
ESA secondaire
ESA primaire TCP 27017MongoDB
Serveur NW ESA primaire TCP 7005 Port de lancement Context Hub - (ESA primaire)
Serveur NW ESA TCP 50030 (SSL) Port d’application ESA
Serveur NW ESA TCP 50035 (SSL) Port d’application ESA
Serveur NW ESATCP 50036 (SSL) Port d'application ESA
Serveur NWESATCP 5671 Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.
ESA primaire et secondairecms.netwitness.comTCP 443Live

ESA primaire et secondaire

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

ESA primaire et secondaire

Active Directory

636 (SSL)/389 (Non SSL)

 

Serveur NW

ESA

80 (HTTP)/ 443 (HTTPS)(REST)

 

ESA primaire

Archer

443 (SSL)/80 (Non SSL)

 

ESA primaire ESA primaire TCP 7007 Port de lancement

Ports iDRAC

                                      
PortFonctionCommentaires
22*SSH

Port par défaut, configurable par l’intermédiaire duquel iDRAC écoute les connexions

443*HTTPPort par défaut, configurable par l’intermédiaire duquel iDRAC écoute les connexions
5 900*Redirection du clavier et de la souris de la console virtuelle,
médias virtuels, dossiers virtuels et partage de fichiers à distance.

Port par défaut, configurable par l’intermédiaire duquel iDRAC écoute les connexions

111, 2049TCP

Hôtes NetWitness Platform vers le serveur NFS

111, 2049UDP Hôtes NetWitness Platform vers le serveur NFS

Hôte Log Collector

                                                                                             

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminLog Collector TCP 15671 Interface utilisateur de gestion RabbitMQ

Log Collector

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Log Collector 

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminLog CollectorTCP 22SSH
Log Collector Sources d’événements de Log Se référer au Guide de configuration de Log Collection. Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.
Sources d’événements de Log Log Collector TCP 514 (Syslog)
UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow),
4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow)"
Ports de Log Collection
Source d’événements de Log Log Collector

TCP 21, 64000, 64001, 64002, 64003, 64004,
64005, 64006, 64007, 64008, 64009

Ports de Log Collection FTP/S
Serveur NW Log Collector

TCP 56001 (SSL), 50101 (REST)

Ports d’application de Log Collector
Serveur NWLog Collector

TCP 56006 (SSL), 50106 (REST)

Ports d’appliance NetWitness
Serveur NWLog Collector TCP 5671Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.

Log Collector

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Log CollectorVirtuel Log CollectorTCP 5671En mode Pull 

Virtuel Log Collector

Log Collector

TCP 5671

En mode Push 

Hôte de Log Decoder

                                                                                       

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminLog Decoder TCP 15671Interface utilisateur de gestion RabbitMQ

Log Decoder

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminLog Decoder TCP 22SSH
Log Decoder Source d'événements de Log Se référer au Guide de configuration de Log Collection. Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x. 
Sources d’événements de LogLog Decoder TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) Ports de Log Collection
Sources d’événements de Log Log Decoder TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009Ports de Log Collection FTP/S
Serveur NWLog Decoder TCP 56001 (SSL), 50101 (REST) Ports d’application de Log Collector
Serveur NWLog Decoder TCP 56002 (SSL), 56202 (Endpoint), 50102 (REST) Ports d’application Log Decoder

Serveur NW

Log Decoder

TCP 56006 (SSL), 50106 (REST)

Ports d’appliance NetWitness

Serveur NWLog Decoder TCP 5671 Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.
Log DecoderLog CollectorTCP 6514 

Log Decoder

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Hôte Log Hybrid

                                                                                             

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminLog Hybrid TCP 15671Interface utilisateur de gestion RabbitMQ

Log Hybrid

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Log Hybrid

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminLog Hybrid TCP 22SSH
Log Collector Source d'événements de Log Se référer au Guide de configuration de Log Collection. Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x. 
Sources d’événements de LogLog Hybrid TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) Ports de Log Collection
Sources d’événements de Log Log Hybrid TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009Ports de Log Collection FTP/S
Serveur NWLog Hybrid TCP 56001 (SSL), 50101 (REST) Ports d’application de Log Collector
Serveur NWLog Hybrid TCP 56002 (SSL), 56202 (Endpoint), 50102 (REST) Ports d’application Log Decoder
Serveur NWLog Hybrid TCP 56005 (SSL), 50105 (REST) Ports d’application Concentrator

Serveur NW

Log Hybrid

TCP 56006 (SSL), 50106 (REST)

Ports d’appliance NetWitness

Serveur NWLog Hybrid TCP 5671 Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.

Log Hybrid

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Hôte Malware

                                                                                       

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminMalware TCP 15671Interface utilisateur de gestion RabbitMQ

Malware

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Malware

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminMalware TCP 22 SSH
Serveur NWMalware TCP 60007 Ports d’application Malware
Serveur NWMalware TCP 56006 (SSL), 50106 (REST) Ports d’appliance NetWitness

Serveur NW

Malware TCP 5671Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.
Serveur NWMalware TCP 5432 Postgresql
Serveur NWMalware TCP 56003 (SSL), 50103 (REST)Ports d’application Broker
Malwarepanacea.threatgrid.comTCP 443Threatgrid
Malwarecloud.netwitness.com TCP 443Évaluation de la Communauté / Opswat

Malware

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Hôte de décodeur réseau

                                                               

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminDécodeur réseau TCP 15671Interface utilisateur de gestion RabbitMQ

Décodeur réseau

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Décodeur réseau

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminDécodeur réseau TCP 22SSH
Serveur NWDécodeur réseau TCP 56004 (SSL), 50104 (REST) Ports d'application de décodeur réseau

Serveur NW

Décodeur réseau

TCP 56006 (SSL), 50106 (REST)

Ports d’appliance NetWitness
Serveur NWDécodeur réseau TCP 5671

Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.

Décodeur réseau

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Hôte réseau hybride

                                                                     

Hôte source

Hôte de destination

Ports de destination

Commentaires

Station de travail AdminRéseau hybride TCP 15671Interface utilisateur de gestion RabbitMQ
Réseau hybride

Serveur NW

TCP 15671

Interface utilisateur de gestion RabbitMQ

Réseau hybride

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Station de travail AdminRéseau hybride TCP 22SSH
Serveur NWRéseau hybride TCP 56004 (SSL), 50104 (REST) Ports d'application de décodeur réseau
Serveur NWRéseau hybride TCP 56005 (SSL), 50105 (REST) Ports d’application Concentrator

Serveur NW

Réseau hybride

TCP 56006 (SSL), 50106 (REST)

Ports d’appliance NetWitness
Serveur NWRéseau hybride TCP 5671

Bus de messages RabbitMQ (AMQPS) pour tous les hôtes NW.

Réseau hybride

Serveur NFS

TCP 111 2049
UDP 111 2049

Installations iDRAC

Hôte UEBA

                                                         

Hôte source

Hôte de destination

Ports de destination

Commentaires

Serveur UEBA

Serveur NW

TCP 443

Référentiel de mise à jour RSA

Serveur UEBABroker TCP 56003 (SSL), 50103 (REST) Ports d’application Broker
Serveur UEBAConcentrator TCP 56005 (SSL), 50105 (REST) Ports d’application Concentrator
Station de travail AdminServeur UEBA443Surveillance de l'UEBA
Station de travail AdminServeur UEBA22SSH

Serveur UEBA

Serveur NW

15671

Transmission d’alertes UEBA à répondre

Serveur NW

Serveur NFS

TCP 111, 2049
UDP 111, 2049

Installations iDRAC

 

Architecture de NetWitness Endpoint

Intégration du point de terminaison NetWitness 4.4 avec la plate-forme NetWitness

Pour plus d’informations sur les services exécutés sur Endpoint Log Hybrid, reportez-vous à la section Guide de configuration de RSA NetWitness Endpoint.

Comment modifier le port UDP pour Endpoint Log Hybrid

Les étapes suivantes vous indiquent comment modifier le port UDP 444 par défaut d’Endpoint Log Hybrid s’il n’est pas acceptable dans votre environnement. Cette procédure utilise 555 comme exemple pour remplacer le port UDP 444.
Il existe deux tâches dont vous avez besoin pour modifier le port UDP 444 par défaut d’Endpoint Log Hybrid :

Tâche 1 - Informer tous les agents qu’ils doivent utiliser un nouveau port UDP

Tâche 2 - Mettre à jour le port sur tous les hôtes Endpoint Log Hybrid dans votre environnement

Remarque : Si vous n’avez pas sélectionné l’option des règles de pare-feu personnalisées lors de l’exécution de nwsetup-tui, NetWitness Platform remplace les règles de pare-feu après un certain temps. Si c’est le cas, consultez l’article suivant de la base de connaissances 00036446 (https://community.rsa.com/docs/DOC-93651).

Tâche 1 - Informer tous les agents qu’ils doivent utiliser un nouveau port UDP

Procédez comme suit pour mettre à jour le port UDP dans la règle de réplication des données d’entreprise par défaut (EDR) et dans toutes les autres règles pour indiquer à tous les agents d’utiliser un nouveau port UDP.

  1. Dans le menu NetWitness Platform, sélectionnez ADMIN > Sources Endpoint > Règles.
    La vue Règles s’affiche.

  2. Sélectionnez la Règle EDR par défaut, puis cliquez sur Modifier dans la barre d’outils.
  3. Déroulez jusqu’à PORT UDP et modifiez la valeur (par exemple, passez de 444 à 555).
  4. Cliquez sur Publier la règle au bas de la vue.

Tâche 2 - Mettre à jour le port sur tous les hôtes Endpoint Log Hybrid dans votre environnement

Ouvrez une session SSH pour chaque hôte Endpoint Log Hybrid de votre environnement avec les admin informations d’identification et effectuez les mises à jour suivantes.

  1. Mettez les iptables règles à jour pour autoriser 555 à la place de 444.
    1. Dans le fichier suivant, remplacez 444 par 555 .
      vi /etc/sysconfig/iptables
    2. Redémarrez iptables avec la chaîne de commande suivante.
      systemctl restart iptables
    3. Vérifiez la modification grâce à la chaîne de commande suivante.
      iptables -L -n
      Voici un exemple de ce qui s’affiche lorsque la modification est correcte.
      ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 555 /* EndpointNginxPort */ ctstate NEW
  2. Mettez à jour la stratégie SELinux. 555 est le port de prédilection. Vous devez donc mettre à jour la règle SELinux pour autoriser ce port.
    1. Exécutez la chaîne de commande suivante.
      semanage port -a -t http_port_t -p udp 555
      Si vous avez reçu des erreurs ou des avertissements Python, ignorez-les.
    2. Vérifiez la modification grâce à la chaîne de commande suivante.
      semanage port -l | grep http_port_t
      Voici un exemple de ce qui s’affiche lorsque la modification est correcte.
      http_port_t udp 555, 444
    3. (Facultatif) Supprimez 444.
  3. Mettez à jour la configuration nginx.
    1.  Modifiez le fichier suivant :
      vi /etc/nginx/nginx.conf
    2.  Recherchez la chaîne suivante :
      listen 444 udp;
    3.  Remplacez 444 par 555.
    4.  Redémarrez nginx avec la chaîne de commande suivante.
      systemctl restart nginx
  4. Vérifiez que les agents communiquent sur le nouveau port.
    1. Exécutez la chaîne de commande suivante.
      tcpdump -i eth0 port 555
    2. Patientez 30 secondes, car le port envoie une balise toutes les 30 secondes. Si tout fonctionne correctement, des informations semblables à ce qui suit s’affichent.
      09:20:12.571316 IP 10.40.15.103.60807 > NiranjanEPS1.rsa.lab.emc.com.dsf: UDP, length 20
      09:20:12.572433 IP NiranjanEPS1.rsa.lab.emc.com.dsf > 10.40.15.103.60807: UDP, length 1

      Les deux lignes doivent être renvoyées. L’une est la demande de taille (20  octets) et l’autre correspond à la taille de la réponse (1 octet).

 

You are here
Table of Contents > Architecture réseau et ports

Attachments

    Outcomes