Leitfaden zur Bereitstellung: Netzwerkarchitektur und Ports

Document created by RSA Information Design and Development on May 10, 2018Last modified by RSA Information Design and Development on Jul 24, 2019
Version 7Show Document
  • View in full screen mode
 

Mit den Informationen im folgenden Diagramm und in der Porttabelle können Sie sicherstellen, dass alle relevanten Ports für Komponenten in Ihrer NetWitness Platform-Bereitstellung geöffnet sind und miteinander kommunizieren können.

Einzelne Endpunkt-Architekturdiagramme finden Sie unter NetWitness Endpoint-Architektur am Ende dieses Themas.

Diagramm der NetWitness Platform-Netzwerkarchitektur

Das folgende Diagramm veranschaulicht die Netzwerkarchitektur von NetWitness Platform mit allen zugehörigen Produktkomponenten.

Hinweis: NetWitness Platform-Core-Hosts müssen mit dem NetWitness-Server (dem primären Server in einer Bereitstellung mit mehreren Servern) über UDP-Port 123 kommunizieren können, um eine NTP-Synchronisation (Network Time Protocol) durchzuführen.

 

 

Diagramm zur Netzwerkarchitektur von NetWitness Network (Packets)

Das folgende Diagramm zeigt die Netzwerkarchitektur von NetWitness Network (Packets).

Diagramm zur Netzwerkarchitektur NetWitness Logs

Das folgende Diagramm zeigt die Netzwerkarchitektur von NetWitness Logs.

Umfassende Liste der Host-, Service- und iDRAC-Ports von NetWitness Platform

Hinweis: Informationen zu Ports, die in der Ereignissammlung über die RSA NetWitness Logs verwendet werden, finden Sie unter „Grundlagen“ im RSA NetWitness Suite Leitfaden zur Bereitstellung der Protokollsammlung. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.

Dieser Abschnitt enthält die Portspezifikationen für die folgenden Hosts.

                                 

NW-Serverhost

                                                                                                               

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-Workstation NW-ServerTCP 443, 80NGINX – NetWitness-Benutzeroberfläche

Admin-Workstation

NW-ServerTCP 15671RabbitMQ-Managementbenutzeroberfläche
Admin-WorkstationNW-ServerTCP 22 SSH

NW-Hosts

NW-Server

TCP 53
UDP 53

DNS

NW-Hosts

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

NW-HostsNW-ServerTCP 4505, 4506 Salt Master-Ports
NW-HostsNW-ServerTCP 443RSA Update-Repository

NW-Hosts

NW-Server

TCP 5671

RabbitMQ-amqp

NW-HostsNW-ServerUDP 123 NTP

NW-Hosts

NW-ServerTCP 27017 MongoDB

NW-Server

cloud.netwitness.com

TCP 443

Live

NW-Server

cms.netwitness.comTCP 443

Live

NW-Serversmcupdate.emc.comTCP 443

Live

NW-Server

NFS-Server

TCP 111, 2049,
UDP 111, 2049

iDRAC-Installationen

NW-ServerNW-HostsUDP 123 NTP

NW-Server

NW Endpoint

TCP 443, 9443

Für NW-Endpoint 4.x-Integrationen

Archiver-Host

                                                                     

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationArchiverTCP 15671RabbitMQ-Managementbenutzeroberfläche

Archiver

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Archiver

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationArchiver TCP 22 SSH
NW-ServerArchiver TCP 56008 (SSL), 50108 (REST) Archiver-Anwendungsports
NW-ServerArchiver TCP 56006 (SSL), 50106 (REST) NetWitness-Appliance-Ports
NW-ServerArchiver TCP 5671 RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
NW-ServerArchiverTCP 514, 6514, 56007 (SSL), 50107 (REST), UDP 514 Workbench-Anwendungsports

Archiver

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

Broker-Host

                                                                           

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationBroker TCP 15671 RabbitMQ-Managementbenutzeroberfläche
BrokerConcentratorTCP 56005 Concentrator-Anwendungsport

Broker

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Broker

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationBroker TCP 22SSH
NW-ServerBroker TCP 56003 (SSL), 50103 (REST) Broker-Anwendungsports
NW-ServerBroker TCP 56006 (SSL), 50106 (REST)NetWitness-Appliance-Ports
NW-ServerBroker TCP 5671 RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
BrokerNW-Server TCP 111 2049
UDP 111 2049
iDRAC-Installationen

Endpoint Broker

NW-Server

TCP 443

RSA Update-Repository

Concentrator-Host

                                                                                 

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationConcentratorTCP 15671RabbitMQ-Managementbenutzeroberfläche
ConcentratorLog DecoderTCP 56002Concentrator-Anwendungsport
ConcentratorNetwork DecoderTCP 56004 Concentrator-Anwendungsport

Concentrator

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Concentrator

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationConcentrator TCP 22 SSH
NW-Server Concentrator TCP 56005 (SSL), 50105 (REST) Concentrator-Anwendungsports
MalwareConcentrator TCP 56005 (SSL)Malware
NW-Server Concentrator TCP 56006 (SSL), 50106 (REST) NetWitness-Appliance-Ports
NW-Server Concentrator TCP 5671 RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts

Concentrator

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

Endpoint Log Hybrid

                                                                     
QuellhostZielhostZielports Anmerkungen
Endpunkt-Agent Endpoint Log Hybrid

TCP 443

UDP 444

NGINX HTTPS

NGINX UDP. Wenn UDP Port 444 in Ihrer Umgebung nicht akzeptabel ist, finden Sie weitere Informationen unter Ändern des UDP-Ports für Endpoint Log Hybrid.

Endpunkt-AgentLog Decoder oder Virtual Log Collector

TCP 514 (Syslog)

UDP 514 (Syslog)

TLS 6514

Windows-Protokollsammlung

Endpoint Log HybridLog Decoder (extern)

TCP 50102 (REST)

56202 (Protobuf SSL)

50202 (Protobuf)

Um Metadaten an einen externen Log Decoder weiterzuleiten

Endpoint Log Hybrid

NW-Server

TCP 443

RSA Update-Repository

NW-Server Endpoint Log Hybrid TCP 7050Webdatenverkehr über die Benutzeroberfläche

Endpoint Log Hybrid

NW-Server

TCP 5671

Nachrichtenbus

Endpoint Log HybridNW-ServerTCP 27017MongoDB
NW-ServerEndpoint Log HybridTCP 7054Webdatenverkehr über die Benutzeroberfläche

NW-Server

NFS-Server

TCP 111, 2049
UDP 111, 2049

iDRAC-Installationen

Event Stream Analysis (ESA)-Host

                                                                                                               

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationESA TCP 15671 RabbitMQ-Managementbenutzeroberfläche

ESA Primary und Secondary

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

ESA Primary und Secondary

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationESATCP 22 SSH
NW-Server,
ESA Secondary
ESA Primary TCP 27017MongoDB
NW-Server ESA Primary TCP 7005 Context Hub Launch-Port – (ESA Primary)
NW-Server ESA TCP 50030 (SSL) ESA-Anwendungsport
NW-Server ESA TCP 50035 (SSL) ESA-Anwendungsport
NW-Server ESATCP 50036 (SSL) ESA-Anwendungsport
NW-ServerESATCP 5671 RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
ESA Primary und Secondarycms.netwitness.comTCP 443Live

ESA Primary und Secondary

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

ESA Primary und Secondary

Active Directory

636 (SSL)/389 (Nicht-SSL)

 

NW-Server

ESA

80 (HTTP)/443 (HTTPS)(REST)

 

ESA Primary

Archer

443 (SSL)/80 (Nicht-SSL)

 

ESA Primary ESA Primary TCP 7007 Start-Port

iDRAC Ports

                                      
PortFunktionAnmerkungen
22*SSH

Standardmäßiger, konfigurierbarer Port, über den iDRAC auf Verbindungen lauscht

443*HTTPStandardmäßiger, konfigurierbarer Port, über den iDRAC auf Verbindungen lauscht
5900*Virtuelle Konsolentastatur- und -mausumleitung,
virtuelle Medien, virtuelle Ordner und Remotedateifreigabe

Standardmäßiger, konfigurierbarer Port, über den iDRAC auf Verbindungen lauscht

111, 2049TCP

NetWitness Platform-Hosts zu NFS-Server

111, 2049UDP NetWitness Platform-Hosts zu NFS-Server

Log Collector-Host

                                                                                             

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationLog Collector TCP 15671 RabbitMQ-Managementbenutzeroberfläche

Log Collector

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Log Collector

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationLog CollectorTCP 22SSH
Log Collector Protokollereignisquellen Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können.
Protokollereignisquellen Log Collector TCP 514 (Syslog)
UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow),
4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow)"
Protokollsammlungsports
Protokollereignisquellen Log Collector

TCP 21, 64000, 64001, 64002, 64003, 64004,
64005, 64006, 64007, 64008,64009

Protokollsammlungs-FTP/S-Ports
NW-Server Log Collector

TCP 56001 (SSL), 50101 (REST)

Log Collector-Anwendungsports
NW-ServerLog Collector

TCP 56006 (SSL), 50106 (REST)

NetWitness-Appliance-Ports
NW-ServerLog Collector TCP 5671RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts

Log Collector

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

Log CollectorVirtual Log CollectorTCP 5671Im Pull-Modus

Virtual Log Collector

Log Collector

TCP 5671

Im Push-Modus

Log Decoder-Host

                                                                                       

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationLog Decoder TCP 15671RabbitMQ-Managementbenutzeroberfläche

Log Decoder

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationLog Decoder TCP 22SSH
Log Decoder Protokollereignisquellen Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können. 
ProtokollereignisquellenLog Decoder TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) Protokollsammlungsports
Protokollereignisquellen Log Decoder TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009Protokollsammlungs-FTP/S-Ports
NW-ServerLog Decoder TCP 56001 (SSL), 50101 (REST) Log Collector-Anwendungsports
NW-ServerLog Decoder TCP 56002 (SSL),56202 (Endpoint), 50102 (REST) Log Decoder-Anwendungsports

NW-Server

Log Decoder

TCP 56006 (SSL), 50106 (REST)

NetWitness-Appliance-Ports

NW-ServerLog Decoder TCP 5671 RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
Log DecoderLog CollectorTCP 6514 

Log Decoder

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

Log Hybrid-Host

                                                                                             

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationLog Hybrid TCP 15671RabbitMQ-Managementbenutzeroberfläche

Log Hybrid

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Log Hybrid

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationLog Hybrid TCP 22SSH
Log Collector Protokollereignisquellen Siehe Protokollsammlung-Konfigurationsleitfaden. Navigieren Sie zu Masterinhaltsverzeichnis, worüber alle Dokumente für NetWitness Platform Logs & Network 11.x aufgerufen werden können. 
ProtokollereignisquellenLog Hybrid TCP 514 (Syslog), UDP 162 (SNMP), 514 (Syslog), 2055 (NetFlow), 4739 (NetFlow), 6343 (NetFlow), 9995 (NetFlow) Protokollsammlungsports
Protokollereignisquellen Log Hybrid TCP 21, 64000, 64001, 64002, 64003, 64004, 64005, 64006, 64007, 64008, 64009Protokollsammlungs-FTP/S-Ports
NW-ServerLog Hybrid TCP 56001 (SSL), 50101 (REST) Log Collector-Anwendungsports
NW-ServerLog Hybrid TCP 56002 (SSL), 56202 (Endpoint), 50102 (REST) Log Decoder-Anwendungsports
NW-ServerLog Hybrid TCP 56005 (SSL), 50105 (REST) Concentrator-Anwendungsports

NW-Server

Log Hybrid

TCP 56006 (SSL), 50106 (REST)

NetWitness-Appliance-Ports

NW-ServerLog Hybrid TCP 5671 RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts

Log Hybrid

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

Malware-Host

                                                                                       

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationMalware TCP 15671RabbitMQ-Managementbenutzeroberfläche

Malware

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Malware

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationMalware TCP 22 SSH
NW-ServerMalware TCP 60007 Malware-Anwendungsports
NW-ServerMalware TCP 56006 (SSL), 50106 (REST) NetWitness-Appliance-Ports

NW-Server

Malware TCP 5671RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts
NW-ServerMalware TCP 5432 PostgreSQL
NW-ServerMalware TCP 56003 (SSL), 50103 (REST)Broker-Anwendungsports
Malwarepanacea.threatgrid.comTCP 443Threatgrid
Malwarecloud.netwitness.com TCP 443Community-Bewertung/Opswat

Malware

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

Network Decoder-Host

                                                               

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationNetwork Decoder TCP 15671RabbitMQ-Managementbenutzeroberfläche

Network Decoder

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Network Decoder

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationNetwork Decoder TCP 22SSH
NW-ServerNetwork Decoder TCP 56004 (SSL), 50104 (REST) Network Decoder-Anwendungsports

NW-Server

Network Decoder

TCP 56006 (SSL), 50106 (REST)

NetWitness-Appliance-Ports
NW-ServerNetwork Decoder TCP 5671

RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts

Network Decoder

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

Network Hybrid-Host

                                                                     

Quellhost

Zielhost

Zielports

Anmerkungen

Admin-WorkstationNetwork Hybrid TCP 15671RabbitMQ-Managementbenutzeroberfläche
Network Hybrid

NW-Server

TCP 15671

RabbitMQ-Managementbenutzeroberfläche

Network Hybrid

NW-Server

TCP 443

RSA Update-Repository

Admin-WorkstationNetwork Hybrid TCP 22SSH
NW-ServerNetwork Hybrid TCP 56004 (SSL), 50104 (REST) Network Decoder-Anwendungsports
NW-ServerNetwork Hybrid TCP 56005 (SSL), 50105 (REST) Concentrator-Anwendungsports

NW-Server

Network Hybrid

TCP 56006 (SSL), 50106 (REST)

NetWitness-Appliance-Ports
NW-ServerNetwork Hybrid TCP 5671

RabbitMQ (AMQPS)-Nachrichtenbus für alle NW-Hosts

Network Hybrid

NFS-Server

TCP 111 2049
UDP 111 2049

iDRAC-Installationen

UEBA-Host

                                                         

Quellhost

Zielhost

Zielports

Anmerkungen

UEBA-Server

NW-Server

TCP 443

RSA Update-Repository

UEBA-ServerBroker TCP 56003 (SSL), 50103 (REST) Broker-Anwendungsports
UEBA-ServerConcentrator TCP 56005 (SSL), 50105 (REST) Concentrator-Anwendungsports
Admin-WorkstationUEBA-Server443UEBA-Monitoring
Admin-WorkstationUEBA-Server22SSH

UEBA-Server

NW-Server

15671

UEBA-Warnmeldungen werden an Respond weitergeleitet

NW-Server

NFS-Server

TCP 111, 2049
UDP 111, 2049

iDRAC-Installationen

 

NetWitness Endpoint-Architektur

NetWitness Endpoint 4.4-Integration in NetWitness Platform

Weitere Informationen zu Services, die auf Endpoint Log Hybrid ausgeführt werden, finden Sie unter Konfigurationsleitfaden für RSA NetWitness Endpoint.

So ändern Sie den UDP-Port für Endpoint Log Hybrid

In den folgenden Schritten erfahren Sie, wie Sie den standardmäßigen UDP-Port 444 des Endpoint Log Hybrid ändern können, wenn er in Ihrer Umgebung nicht akzeptabel ist. 555 ist das Beispiel, das dieses Verfahren als Ersatz für den 444 UDP-Port verwendet.
Es gibt zwei Aufgaben, die Sie ausführen müssen, um den Endpoint Log Hybrid-Standard-UDP-Port 444 zu ändern:

Aufgabe 1: Teilen Sie allen Agents mit, dass sie einen neuen UDP-Port verwenden sollen

Aufgabe 2: Aktualisieren Sie den Port auf allen Endpoint Log Hybrid-Hosts in Ihrer Umgebung

Hinweis: Wenn Sie bei der Ausführung von nwsetup-tui die Option für benutzerdefinierte Firewall-Regeln nicht ausgewählt haben, überschreibt NetWitness Platform die Firewall-Regeln nach einiger Zeit. Lesen Sie in diesem Fall den folgenden Wissensdatenbankartikel 00036446 (https://community.rsa.com/docs/DOC-93651).

Aufgabe 1: Teilen Sie allen Agents mit, dass sie einen neuen UDP-Port verwenden sollen

Führen Sie die folgenden Schritte aus, um den UDP-Port in der Standard-EDR-Policy (Enterprise Data Replication) und allen anderen Policies, die Sie haben, zu aktualisieren, um allen Agenten mitzuteilen, einen neuen UDP-Port zu verwenden.

  1. Wählen Sie im Menü NetWitness Platform die Option ADMIN > Endpoint-Quellen > Policies aus.
    Die Ansicht Policies wird angezeigt.

  2. Wählen Sie die Standard-EDR-Policy aus und klicken Sie in der Symbolleiste auf Bearbeiten.
  3. Blättern Sie nach unten, um den UDP-Port zu suchen und ändern Sie den Wert (z. B. von 444 auf 555).
  4. Klicken Sie am unteren Rand der Ansicht auf Policy veröffentlichen.

Aufgabe 2: Aktualisieren Sie den Port auf allen Endpoint Log Hybrid-Hosts in Ihrer Umgebung

Stellen Sie über SSH eine Verbindung her zu jedem Endpoint Log Hybrid-Host in Ihrer Umgebung mit admin Anmeldeinformationen und führen Sie die folgenden Updates durch.

  1. Aktualisieren Sie die iptables Regeln, um 555 anstelle von 444zu ermöglichen.
    1. Ersetzen Sie in der folgenden Datei 444 durch 555 .
      vi /etc/sysconfig/iptables
    2. Starten Sie iptables mit der folgenden Befehlszeichenfolge neu.
      systemctl restart iptables
    3. Überprüfen Sie die Änderung mit der folgenden Befehlszeichenfolge.
      iptables -L -n
      Nachfolgend ein Beispiel dafür, was für eine korrekte Änderung angezeigt wird.
      ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 555 /* EndpointNginxPort */ ctstate NEW
  2. Aktualisieren Sie die SELinux-Policy. 555 ist ein privilegierter Port, daher müssen Sie die SELinux-Policy aktualisieren, um diesen Port zuzulassen.
    1. Führen Sie die folgende Befehlszeichenfolge aus.
      semanage port -a -t http_port_t -p udp 555
      Wenn Sie Python-Fehler oder Warnungen erhalten, ignorieren Sie diese.
    2. Überprüfen Sie die Änderung mit der folgenden Befehlszeichenfolge.
      semanage port -l | grep http_port_t
      Nachfolgend ein Beispiel dafür, was für eine korrekte Änderung angezeigt wird.
      http_port_t udp 555, 444
    3. (Optional) Entfernen Sie 444.
  3. Aktualisieren Sie nginx config.
    1.  Bearbeiten Sie die folgende Datei.
      vi /etc/nginx/nginx.conf
    2.  Suchen Sie die folgende Zeichenfolge.
      listen 444 udp;
    3.  Ersetzen Sie 444 durch:555
    4.  Starten Sie nginx mit der folgenden Befehlszeichenfolge neu.
      systemctl restart nginx
  4. Überprüfen Sie, ob die Agents über den neuen Port kommunizieren.
    1. Führen Sie die folgende Befehlszeichenfolge aus.
      tcpdump -i eth0 port 555
    2. Warten Sie 30 Sekunden, da der Port alle 30 Sekunden ein Beacon sendet. Wenn alles ordnungsgemäß funktioniert, werden Informationen ähnlich der folgenden angezeigt.
      09:20:12.571316 IP 10.40.15.103.60807 > NiranjanEPS1.rsa.lab.emc.com.dsf: UDP, length 20
      09:20:12.572433 IP NiranjanEPS1.rsa.lab.emc.com.dsf > 10.40.15.103.60807: UDP, length 1

      Beide Zeilen müssen zurückgegeben werden. Eine ist die Größenanforderung (20 Byte) und die andere die Antwortgröße (1 Byte).

 

You are here
Table of Contents > Netzwerkarchitektur und Ports

Attachments

    Outcomes