Guía de implementación: Arquitectura y puertos de red

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Jul 24, 2019
Version 7Show Document
  • View in full screen mode
 

Consulte el diagrama y la tabla de puertos siguientes para asegurarse de que todos los puertos pertinentes estén abiertos para los componentes de la implementación de NetWitness Platform de modo que exista comunicación entre ellos.

Consulte Arquitectura de NetWitness Endpoint al final de este tema para ver los diagramas de arquitectura de Endpoint individuales.

Diagrama de la arquitectura de red de NetWitness Platform

En el siguiente diagrama se ilustra la arquitectura de red de NetWitness Platform, incluidos todos los productos que la componen.

Nota: Los hosts de NetWitness Platform Core deben ser capaces de comunicarse con el Servidor de NetWitness (servidor primario en una implementación de múltiples servidores) a través del puerto UDP 123 para la sincronización horaria de NTP.

 

 

Diagrama de la arquitectura de red de NetWitness Network (packets)

En los siguientes diagramas se muestra la arquitectura de red de NetWitness Network (paquetes).

Diagrama de la arquitectura de red de registros de NetWitness

En los siguientes diagramas se muestra la arquitectura de red de los registros de NetWitness.

Lista completa de hosts, servicios y puertos iDRAC de NetWitness Platform

Nota: Para los puertos que se usan en la recopilación de eventos a través del Registros de NetWitness, consulte “Aspectos básicos” en la Guía de implementación de la recopilación de registros de RSA NetWitness Suite. Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x.

Esta sección contiene las especificaciones de puerto para los siguientes hosts.

                                 

Host del servidor de NW

                                                                                                               

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administrador Servidor de NWTCP 443, 80nginx: Interfaz del usuario de NetWitness

Estación de trabajo de administrador

Servidor de NWTCP 15671Interfaz del usuario de administración de RabbitMQ
Estación de trabajo de administradorServidor de NWTCP 22 Protocolo SSH

Hosts de NW

Servidor de NW

TCP 53
UDP 53

DNS

Hosts de NW

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Hosts de NWServidor de NWTCP 4505, 4506 Puertos maestros de valor de sal
Hosts de NWServidor de NWTCP 443Repositorio de actualizaciones de RSA

Hosts de NW

Servidor de NW

TCP 5671

RabbitMQ-amqp

Hosts de NWServidor de NWUDP 123 NTP

Hosts de NW

Servidor de NWTCP 27017 MongoDB

Servidor de NW

cloud.netwitness.com

TCP 443

Live

Servidor de NW

cms.netwitness.comTCP 443

Live

Servidor de NWsmcupdate.emc.comTCP 443

Live

Servidor de NW

Servidor NFS

TCP 111, 2049,
UDP 111, 2049

Instalaciones de iDRAC

Servidor de NWHosts de NWUDP 123 NTP

Servidor de NW

NW Endpoint

TCP 443, 9443

Para integraciones de NW Endpoint 4.x

Host de Archiver

                                                                     

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorArchiverTCP 15671Interfaz del usuario de administración de RabbitMQ

Archiver

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Archiver

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorArchiver TCP 22 Protocolo SSH
Servidor de NWArchiver TCP 56008 (SSL), 50108 (REST) Puertos de aplicaciones de Archiver
Servidor de NWArchiver TCP 56006 (SSL), 50106 (REST) Puertos de NetWitness Appliance
Servidor de NWArchiver TCP 5671 Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.
Servidor de NWArchiverTCP 514, 6514, 56007 (SSL), 50107 (REST), UDP 514 Puertos de aplicaciones de Workbench

Archiver

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Host de Broker

                                                                           

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorBroker TCP 15671 Interfaz del usuario de administración de RabbitMQ
BrokerConcentratorTCP 56005 Puerto de aplicaciones de Concentrator

Broker

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Broker

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorBroker TCP 22Protocolo SSH
Servidor de NWBroker TCP 56003 (SSL), 50103 (REST) Puertos de aplicaciones de Broker
Servidor de NWBroker TCP 56006 (SSL), 50106 (REST)Puertos de NetWitness Appliance
Servidor de NWBroker TCP 5671 Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.
BrokerServidor de NW TCP 111 2049
UDP 111 2049
Instalaciones de iDRAC

Endpoint Broker

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Host de Concentrator

                                                                                 

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorConcentratorTCP 15671Interfaz del usuario de administración de RabbitMQ
ConcentratorLog DecoderTCP 56002Puerto de aplicaciones de Concentrator
ConcentratorNetwork DecoderTCP 56004 Puerto de aplicaciones de Concentrator

Concentrator

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Concentrator

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorConcentrator TCP 22 Protocolo SSH
Servidor de NW Concentrator TCP 56005 (SSL), 50105 (REST) Puertos de aplicaciones de Concentrator
MalwareConcentrator TCP 56005 (SSL)Malware
Servidor de NW Concentrator TCP 56006 (SSL), 50106 (REST) Puertos de NetWitness Appliance
Servidor de NW Concentrator TCP 5671 Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.

Concentrator

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Endpoint Log Hybrid

                                                                     
Host de origenHost de destinoPuertos de destino Comentarios
Agente de Endpoint Endpoint Log Hybrid

TCP 443

UDP 444

HTTPS de NGINX

UDP de NGINX. Si el puerto UDP 444 no es aceptable en su entorno consulte Cómo cambiar el puerto UDP para Endpoint Log Hybrid.

Agente de EndpointLog Decoder o Virtual Log Collector

TCP 514 (Syslog)

UDP 514 (Syslog)

TLS 6514

Recopilación de registros de Windows

Endpoint Log HybridLog Decoder (externo)

TCP 50102 (REST)

56202 (Protobuf SSL)

50202 (Protobuf)

Para reenviar metadatos a un Log Decoder externo

Endpoint Log Hybrid

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Servidor de NW Endpoint Log Hybrid TCP 7050Tráfico web de la interfaz de usuario

Endpoint Log Hybrid

Servidor de NW

TCP 5671

Bus de mensajes

Endpoint Log HybridServidor de NWTCP 27017MongoDB
Servidor de NWEndpoint Log HybridTCP 7054Tráfico web de la interfaz de usuario

Servidor de NW

Servidor NFS

TCP 111, 2049
UDP 111, 2049

Instalaciones de iDRAC

Host de Event Stream Analysis (ESA)

                                                                                                               

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorESA TCP 15671 Interfaz del usuario de administración de RabbitMQ

ESA primario y secundario

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

ESA primario y secundario

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorESATCP 22 Protocolo SSH
Servidor de NW,
ESA secundario
ESA primario TCP 27017MongoDB
Servidor de NW ESA primario TCP 7005 Puerto de lanzamiento de Context Hub: (ESA primario)
Servidor de NW ESA TCP 50030 (SSL) Puerto de aplicaciones de ESA
Servidor de NW ESA TCP 50035 (SSL) Puerto de aplicaciones de ESA
Servidor de NW ESATCP 50036 (SSL) Puerto de aplicaciones de ESA
Servidor de NWESATCP 5671 Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.
ESA primario y secundariocms.netwitness.comTCP 443Live

ESA primario y secundario

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

ESA primario y secundario

Active Directory

636 (SSL)/389 (no SSL)

 

Servidor de NW

ESA

80 (HTTP)/ 443 (HTTPS)(REST)

 

ESA primario

Archer

443 (SSL)/80 (no SSL)

 

ESA primario ESA primario TCP 7007 Iniciar puerto

Puertos iDRAC

                                      
PuertoFunciónComentarios
22*Protocolo SSH

Puerto predeterminado configurable a través del cual iDRAC escucha las conexiones

443*HTTPPuerto predeterminado configurable a través del cual iDRAC escucha las conexiones
5900*Teclado de consola virtual y redirección de mouse,
medios virtuales, carpetas virtuales y uso compartido de archivos remotos.

Puerto predeterminado configurable a través del cual iDRAC escucha las conexiones

111, 2049TCP

Hosts de NetWitness Platform para el servidor NFS

111, 2049UDP Hosts de NetWitness Platform para el servidor NFS

Host de Log Collector

                                                                                             

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorLog Collector TCP 15671 Interfaz del usuario de administración de RabbitMQ

Log Collector

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Log Collector

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorLog CollectorTCP 22Protocolo SSH
Log Collector Orígenes de eventos de registro Consulte Guía de configuración de la recopilación de registros. Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x.
Orígenes de eventos de registro Log Collector TCP 514 (Syslog)
UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow),
4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow)
Puertos de recopilación de registros
Orígenes de eventos de registro Log Collector

TCP 21, 64000, 64001, 64002, 64003, 64004,
64005, 64006, 64007, 64008, 64009

Puertos FTP/S de recopilación de registros
Servidor de NW Log Collector

TCP 56001 (SSL), 50101 (REST)

Puertos de aplicaciones de Log Collector
Servidor de NWLog Collector

TCP 56006 (SSL), 50106 (REST)

Puertos de NetWitness Appliance
Servidor de NWLog Collector TCP 5671Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.

Log Collector

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Log CollectorLog Collector virtualTCP 5671En el modo de extracción

Log Collector virtual

Log Collector

TCP 5671

En el modo de migración

Host de Log Decoder

                                                                                       

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorLog Decoder TCP 15671Interfaz del usuario de administración de RabbitMQ

Log Decoder

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorLog Decoder TCP 22Protocolo SSH
Log Decoder Orígenes de eventos de registro Consulte Guía de configuración de la recopilación de registros. Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x. 
Orígenes de eventos de registroLog Decoder TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) Puertos de recopilación de registros
Orígenes de eventos de registro Log Decoder TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009Puertos FTP/S de recopilación de registros
Servidor de NWLog Decoder TCP 56001 (SSL), 50101 (REST) Puertos de aplicaciones de Log Collector
Servidor de NWLog Decoder TCP 56002 (SSL), 56202 (Endpoint), 50102 (REST) Puertos de aplicaciones de Log Decoder

Servidor de NW

Log Decoder

TCP 56006 (SSL), 50106 (REST)

Puertos de NetWitness Appliance

Servidor de NWLog Decoder TCP 5671 Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.
Log DecoderLog CollectorTCP 6514 

Log Decoder

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Host de Log Hybrid

                                                                                             

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorLog Hybrid TCP 15671Interfaz del usuario de administración de RabbitMQ

Log Hybrid

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Log Hybrid

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorLog Hybrid TCP 22Protocolo SSH
Log Collector Orígenes de eventos de registro Consulte Guía de configuración de la recopilación de registros. Vaya a la Tabla maestra de contenido para buscar todos los documentos de NetWitness Platform Logs & Network 11.x. 
Orígenes de eventos de registroLog Hybrid TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) Puertos de recopilación de registros
Orígenes de eventos de registro Log Hybrid TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009Puertos FTP/S de recopilación de registros
Servidor de NWLog Hybrid TCP 56001 (SSL), 50101 (REST) Puertos de aplicaciones de Log Collector
Servidor de NWLog Hybrid TCP 56002 (SSL), 56202 (Endpoint), 50102 (REST) Puertos de aplicaciones de Log Decoder
Servidor de NWLog Hybrid TCP 56005 (SSL), 50105 (REST) Puertos de aplicaciones de Concentrator

Servidor de NW

Log Hybrid

TCP 56006 (SSL), 50106 (REST)

Puertos de NetWitness Appliance

Servidor de NWLog Hybrid TCP 5671 Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.

Log Hybrid

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Host de Malware

                                                                                       

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorMalware TCP 15671Interfaz del usuario de administración de RabbitMQ

Malware

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Malware

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorMalware TCP 22 Protocolo SSH
Servidor de NWMalware TCP 60007 Puertos de aplicaciones de Malware
Servidor de NWMalware TCP 56006 (SSL), 50106 (REST) Puertos de NetWitness Appliance

Servidor de NW

Malware TCP 5671Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.
Servidor de NWMalware TCP 5432 Postgresql
Servidor de NWMalware TCP 56003 (SSL), 50103 (REST)Puertos de aplicaciones de Broker
Malwarepanacea.threatgrid.comTCP 443ThreatGrid
Malwarecloud.netwitness.com TCP 443Evaluación de la comunidad/Opswat

Malware

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Host de Network Decoder

                                                               

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorNetwork Decoder TCP 15671Interfaz del usuario de administración de RabbitMQ

Network Decoder

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Network Decoder

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorNetwork Decoder TCP 22Protocolo SSH
Servidor de NWNetwork Decoder TCP 56004 (SSL), 50104 (REST) Puertos de aplicaciones de Network Decoder

Servidor de NW

Network Decoder

TCP 56006 (SSL), 50106 (REST)

Puertos de NetWitness Appliance
Servidor de NWNetwork Decoder TCP 5671

Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.

Network Decoder

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Host de Network Hybrid

                                                                     

Host de origen

Host de destino

Puertos de destino

Comentarios

Estación de trabajo de administradorNetwork Hybrid TCP 15671Interfaz del usuario de administración de RabbitMQ
Network Hybrid

Servidor de NW

TCP 15671

Interfaz del usuario de administración de RabbitMQ

Network Hybrid

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Estación de trabajo de administradorNetwork Hybrid TCP 22Protocolo SSH
Servidor de NWNetwork Hybrid TCP 56004 (SSL), 50104 (REST) Puertos de aplicaciones de Network Decoder
Servidor de NWNetwork Hybrid TCP 56005 (SSL), 50105 (REST) Puertos de aplicaciones de Concentrator

Servidor de NW

Network Hybrid

TCP 56006 (SSL), 50106 (REST)

Puertos de NetWitness Appliance
Servidor de NWNetwork Hybrid TCP 5671

Bus de mensajes de RabbitMQ (AMQPS) para todos los hosts de NW.

Network Hybrid

Servidor NFS

TCP 111 2049
UDP 111 2049

Instalaciones de iDRAC

Host de UEBA

                                                         

Host de origen

Host de destino

Puertos de destino

Comentarios

Servidor de UEBA

Servidor de NW

TCP 443

Repositorio de actualizaciones de RSA

Servidor de UEBABroker TCP 56003 (SSL), 50103 (REST) Puertos de aplicaciones de Broker
Servidor de UEBAConcentrator TCP 56005 (SSL), 50105 (REST) Puertos de aplicaciones de Concentrator
Estación de trabajo de administradorServidor de UEBA443Monitoreo de UEBA
Estación de trabajo de administradorServidor de UEBA22Protocolo SSH

Servidor de UEBA

Servidor de NW

15671

Reenvío de alertas de UEBA a Respond

Servidor de NW

Servidor NFS

TCP 111, 2049
UDP 111, 2049

Instalaciones de iDRAC

 

Arquitectura de NetWitness Endpoint

Integración de NetWitness Endpoint 4.4 con NetWitness Platform

Para obtener más información sobre los servicios que se ejecutan en Endpoint Hybrid, consulte la Guía de configuración de RSA NetWitness Endpoint.

Cómo cambiar el puerto UDP de Endpoint Log Hybrid

Los siguientes pasos indican cómo cambiar el puerto UDP predeterminado 444 de Endpoint Log Hybrid si no es aceptable en el entorno. Se usa el puerto 555 como ejemplo del procedimiento para sustituir el puerto UDP 444.
Hay dos tareas que se deben completar para cambiar el puerto UDP predeterminado 444 de Endpoint Log Hybrid:

Tarea 1: Indicar a todos los agentes que utilicen un nuevo puerto UDP

Tarea 2: Actualizar el puerto en todos los hosts de Endpoint Log Hybrid en el entorno

Nota: Si no se seleccionó la opción de reglas de firewall personalizadas al ejecutar nwsetup-tui, NetWitness Platform sobrescribirá las reglas de firewall después de un tiempo. Consulte el siguiente artículo de la base de conocimientos 00036446 (https://community.rsa.com/docs/DOC-93651) si este es el caso.

Tarea 1: Indicar a todos los agentes que utilicen un nuevo puerto UDP

Se deben completar los siguientes pasos para actualizar el puerto UDP en la política de replicación de datos empresariales (EDR) predeterminada y todas las demás políticas aplicadas, a fin de indicar a todos los agentes que utilicen un nuevo puerto UDP.

  1. En el menú de NetWitness Platform, seleccione ADMINISTRAR > Fuentes de Endpoint > Políticas.
    Se muestra la vista Políticas.

  2. Seleccione la política de EDR predeterminada y haga clic en Editar en la barra de herramientas.
  3. desplácese hacia abajo hasta PUERTO UDP y cambie el valor (por ejemplo, cambie de 444 a 555).
  4. Haga clic en Publicar política, en la parte inferior de la vista.

Tarea 2: Actualizar el puerto en todos los hosts de Endpoint Log Hybrid en el entorno

Acceda mediante el protocolo SSH a cada host de Endpoint Log Hybrid en su entorno con las credenciales de admin y realice las siguientes actualizaciones.

  1. Actualice las reglas de iptables para permitir 555 en lugar de 444.
    1. En el siguiente archivo, reemplace la línea 444 por 555 .
      vi /etc/sysconfig/iptables
    2. Reinicie iptables con la siguiente cadena de comandos.
      systemctl restart iptables
    3. Verifique el cambio mediante la siguiente cadena de comandos.
      iptables -L -n
      A continuación se muestra un ejemplo de los elementos a visualizar para realizar correctamente el cambio.
      ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 555 /* EndpointNginxPort */ ctstate NEW
  2. Actualice la política de SELinux. 555 es un puerto con privilegios, por lo que se debe actualizar la política de SELinux para permitir este puerto.
    1. Ejecute la siguiente cadena de comandos.
      semanage port -a -t http_port_t -p udp 555
      Si se recibió advertencias o errores de Python, omítalos.
    2. Verifique el cambio mediante la siguiente cadena de comandos.
      semanage port -l | grep http_port_t
      A continuación se muestra un ejemplo de los elementos a visualizar para realizar correctamente el cambio.
      http_port_t udp 555, 444
    3. (Opcional) Elimine 444.
  3. Actualice nginx config.
    1.  Edite el siguiente archivo.
      vi /etc/nginx/nginx.conf
    2.  Busque la siguiente cadena.
      listen 444 udp;
    3.  Reemplace 444 por 555.
    4.  Reinicie nginx con la siguiente cadena de comandos.
      systemctl restart nginx
  4. Verifique que los agentes se comuniquen a través del nuevo puerto.
    1. Ejecute la siguiente cadena de comandos.
      tcpdump -i eth0 port 555
    2. Espere 30 segundos, el puerto envía una señalizal cada 30 segundos. Si todo funciona correctamente, se mostrará información similar a la siguiente.
      09:20:12.571316 IP 10.40.15.103.60807 > NiranjanEPS1.rsa.lab.emc.com.dsf: UDP, length 20
      09:20:12.572433 IP NiranjanEPS1.rsa.lab.emc.com.dsf > 10.40.15.103.60807: UDP, length 1

      Se deben devolver ambas líneas. Uno es la solicitud de tamaño (20 bytes) y el otro es el tamaño de la respuesta (1byte).

 

You are here
Table of Contents > Arquitectura y puertos de red

Attachments

    Outcomes