RPCAP für einen ExtraHop-Packetstore konfigurieren
Wenn Sie Ihren ExtraHop konfiguriert haben Sensor für RPCAP können Sie einen zweiten Feed von Paketen konfigurieren, der von Ihrer Remote-Umgebung an den ExtraHop-Paketspeicher weitergeleitet wird.
Before you begin
- Vervollständigen Sie die Verfahren in der Paketweiterleitung mit RPCAP Anleitung zur Konfiguration Ihres Sensor.
- Stellen Sie die Trace-Appliance bereit. (Sehen Sie sich unsere Bereitstellungsinhalte an.)
- Stellen Sie sicher, dass die niedrigsten Portnummern für beide identisch sind Sensoren und Paketshops.
Überblick über die Bereitstellung
In den folgenden Schritten werden die wichtigsten Verfahren beschrieben, die für die Implementierung von RPCAP mit einer ExtraHop Trace-Appliance erforderlich sind.
- Konfigurieren Sie zunächst die Trace-Appliance so, dass sie RPCAP-Verkehr akzeptiert, und fügen Sie Regeln für die Paketweiterleitung hinzu.
- Als Nächstes laden Sie die rpcapd-Software herunter für die Discover-Appliance, die für Ihre Remote-Geräte gilt. (Linux und Windows werden beide unterstützt.)
- Installieren Sie als Nächstes die rpcapd-Software auf jedem Linux- oder Windows-Gerät, von dem Sie den Datenverkehr weiterleiten möchten. Sie müssen die Konfigurationsdatei (rpcapd.ini) ändern, um Geräteschnittstellen anzugeben oder den Datenverkehr an die Discover-Appliances weiterzuleiten.
- Wenn Ihre Umgebung über eine Firewall verfügt, öffnen Sie schließlich Ports an Ihrer Firewall für den erforderlichen RPCAP-Verkehr.
RPCAP auf dem ExtraHop-System konfigurieren
Es wird empfohlen, eine zweite Schnittstelle nur für RPCAP zu konfigurieren, anstatt sowohl RPCAP als auch Management auf derselben Schnittstelle zu konfigurieren. Die Konfiguration einer dedizierten RPCAP-Schnittstelle erhöht die Wahrscheinlichkeit, dass alle Pakete erfolgreich an das ExtraHop-System weitergeleitet werden.
Regeln für die Paketweiterleitung auf dem ExtraHop-System konfigurieren
Nachdem Sie die Schnittstelle als RPCAP-Ziel konfiguriert haben, müssen Sie Regeln für die Paketweiterleitung konfigurieren. Die Regeln für die Paketweiterleitung schränken ein, welcher Datenverkehr über RPCAP an das ExtraHop-System gesendet werden darf.
Standardmäßig ist ein Eintrag für Port 2003 konfiguriert, der Datenverkehr von allen Schnittstellenadressen akzeptiert. Sie können den Standardeintrag für Ihre Umgebung ändern, den Standardeintrag löschen und weitere Einträge hinzufügen. Stellen Sie sicher, dass Sie Portnummern über 1023 angeben, um Konflikte mit reservierten Ports zu vermeiden. Es empfiehlt sich, diese Regeln zuerst festzulegen, damit das ExtraHop-System bereit ist, die weitergeleiteten Pakete zu empfangen, wenn Sie rpcapd auf Ihren Remote-Geräten konfigurieren.
Sie können bis zu 16 Regeln für die Paketweiterleitung im ExtraHop-System konfigurieren. Jede Regel muss einen einzigen TCP-Port haben, über den das ExtraHop-System die Paketweiterleitungsregeln an rpcapd-Geräte kommuniziert.
Wichtig: | Die Informationen in der rpcapd-Konfigurationsdatei auf den Geräten , die Pakete weiterleiten, dürfen nicht den im ExtraHop-System festgelegten Regeln widersprechen. |
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Netzwerk-Einstellungen Abschnitt, klicken Konnektivität.
-
In der RPCAP-Einstellungen Abschnitt, führen Sie eine der
folgenden Aktionen aus:
- Klicken Sie auf 2003 um den Standardeintrag zu öffnen.
- klicken Hinzufügen um einen neuen Eintrag hinzuzufügen.
Wichtig: Die Portnummern müssen 1024 oder höher sein.
-
In der RPCAP-Portdefinition hinzufügen Geben Sie im Abschnitt die
folgenden Informationen ein:
- klicken Speichern, wodurch die Einstellungen gespeichert und die Erfassung neu gestartet werden.
- Wiederholen Sie diese Schritte, um zusätzliche Regeln zu konfigurieren. Sie können bis zu 16 Regeln hinzufügen.
Speichern Sie die laufende Konfigurationsdatei
Nachdem Sie die Schnittstelle konfiguriert und die Regeln für die Paketweiterleitung konfiguriert haben, müssen Sie die Änderungen in der laufenden Konfigurationsdatei speichern.
- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Netzwerk-Einstellungen Abschnitt, klicken Konnektivität.
- klicken Änderungen ansehen und speichern.
- Überprüfen Sie die Änderungen in der Aktuelle laufende Konfiguration (noch nicht gespeichert) Fensterscheibe.
- klicken Speichern.
- klicken Erledigt.
Fügen Sie Einträge für die Trace-Appliance zu Ihren rpcapd-Linux-Geräten hinzu
Gehen Sie wie folgt vor, um mit dem Senden von Paketen von entfernten Linux-Geräten an die Trace-Appliance zu beginnen.
Fügen Sie Einträge für die Trace-Appliance zu Ihren rpcapd-Windows-Geräten hinzu
Gehen Sie wie folgt vor, um mit dem Senden von Paketen von Windows-Remote-Geräten an die Trace-Appliance zu beginnen.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?