PDF

Inhaltsverzeichnis anzeigen

Produktanforderungen

Nur RevealX 360

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

War dieses Thema hilfreich?

Ja Nein

Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?

Wie können wir uns verbessern?

Need more help?

Ask the Community

Sitzungsschlüssel an von Extrahop verwaltete Sensoren weiterleiten

Das ExtraHop-System kann den TLS-Verkehr in Ihrem Netzwerk mit weitergeleiteten Sitzungsschlüsseln von Ihren in AWS bereitgestellten Servern entschlüsseln. Die Weiterleitung von Sitzungsschlüsseln muss auf jedem von Extrahop verwalteten Gerät aktiviert sein Sensor, und Sie müssen auf jeder VPC einen VPC-Endpunkt erstellen, der die Server enthält, von denen Sie verschlüsselten Datenverkehr weiterleiten möchten.

Kommunikation zwischen dem Key Spediteur und dem Sensor ist mit TLS 1.2 verschlüsselt.

Erfahre mehr über TLS-Entschlüsselung.

Aktivieren Sie die Weiterleitung von Sitzungsschlüsseln in RevealX 360

Die Weiterleitung von Sitzungsschlüsseln kann aktiviert werden, wenn Sie ExtraHop-Managed bereitstellen Sensoren von RevealX 360. Sie müssen die Sitzungsschlüsselweiterleitung für jeden aktivieren Sensor.

Loggen Sie sich in die RevealX 360 Console ein.
Klicken Sie auf Systemeinstellungen und klicken Sie dann Die gesamte Verwaltung.
Klicken Sie Sensoren einsetzen. Wählen Sie die Sitzungsschlüsselweiterleitung auf diesem Sensor aktivieren Kontrollkästchen, wenn Sie den Bereitstellungsvorgang abschließen.
Aus dem Sensoren Seite, warten Sie, bis in der Spalte Status Aktiviert und in der Spalte Key Forwarding Endpunkt die Endpunktzeichenfolge angezeigt wird.
Kopieren Sie die Endpunktzeichenfolge. Die Zeichenfolge ist erforderlich, wenn Sie einen Endpunkt in Ihrer VPC erstellen.

Sicherheitsgruppen in AWS konfigurieren

Sicherheitsgruppen legen fest, welche Server Sitzungsschlüssel an den VPC-Endpunkt weiterleiten können und welche Sitzungsschlüssel vom VPC-Endpunkt akzeptiert werden. In den folgenden Schritten wird beschrieben, wie Sie die Sicherheitsgruppe erstellen, die eingehender Datenverkehr zu Ihrem VPC-Endpunkt zulässt.

Hinweis:

Ihre AWS-Instances, die Sitzungsschlüssel weiterleiten, müssen mit einer Sicherheitsgruppe konfiguriert sein, die ausgehender Datenverkehr zum VPC-Endpunkt zulässt.

Melden Sie sich bei der AWS-Managementkonsole an.
In der Alle Dienste Abschnitt, unter Rechnen, klicken EC2.
Im linken Bereich unter Netzwerk und Sicherheit, klicken Sicherheitsgruppen.
klicken Sicherheitsgruppe erstellen.
Geben Sie einen Namen für die Sicherheitsgruppe ein.
Geben Sie eine Beschreibung der Sicherheitsgruppe ein.
Wählen Sie aus der Dropdownliste die VPC aus, von der Sie den Datenverkehr weiterleiten möchten. Sie müssen für jede VPC, für die Sie einen Endpunkt benötigen, eine Sicherheitsgruppe erstellen.
In der Regel für eingehenden Datenverkehr Abschnitt, klicken Regel hinzufügen, und füllen Sie die folgenden Felder aus:

Typ: Benutzerdefiniertes TCP

Protokoll: TCP

Portbereich: 4873

Quelle: Wählen Benutzerdefiniert aus der Dropdownliste und wählen Sie im nächsten Feld eine oder mehrere Optionen aus, z. B. den CIDR-Block für die VPC, einen CIDR-Block für den IP-Adressbereich, der alle Server umfasst, von denen Sie geheime Daten weiterleiten möchten, oder eine bestehende Sicherheitsgruppe, die sowohl den Instances als auch dem Endpunkt zugeordnet ist — die Sicherheitsgruppe muss ausgehenden Datenverkehr zulassen Verkehr zu TCP:4873.
klicken Sicherheitsgruppe erstellen.

Endpunkt in einer überwachten VPC erstellen

Erstellen Sie für jede VPC einen Endpunkt, der weitergeleitete Sitzungsschlüssel von Ihren Servern akzeptieren kann, und senden Sie sie an den VPC Endpoint Service im RevealX 360-System.

Kehren Sie zur AWS-Managementkonsole zurück.
In der Alle Dienstleistungen Abschnitt, unter Netzwerk- und Inhaltsbereitstellung, klicken VPC.
Im linken Bereich, unter Virtuelle private Cloud, klicken Endpunkte. (Klicken Sie nicht auf Endpoint Services.)
Klicken Sie Endpunkt erstellen.
Wählen Sie für die Kategorie Service Service anhand des Namens finden.
Fügen Sie die Endpunktzeichenfolge, die Sie von RevealX 360 kopiert haben, in das Feld Service Name ein.
Klicken Sie Verifizieren.
Aus dem VPC Wählen Sie in der Dropdownliste die VPC mit den ENIs aus, die den Datenverkehr zum Sensor spiegeln.
Stellen Sie sicher, dass die DNS-Namen aktivieren Das Kontrollkästchen ist ausgewählt.

Wichtig: Sie müssen wählen DNS-Hostnamen aktivieren und DNS-Unterstützung aktivieren in den VPC-Einstellungen.
Wählen Sie die Sicherheitsgruppe aus, die Sie im vorherigen Verfahren konfiguriert haben.
Klicken Sie Endpunkt erstellen.
Wiederholen Sie diese Schritte, um für jede Ziel-ENI, die eine andere VPC ist, einen Endpunkt zu erstellen.

Installieren Sie die Sitzungsschlüsselweiterleitung auf Servern

In den folgenden Schritten wird beschrieben, wie Sie die ExtraHop Session Key Forwarder-Software auf unterstützten Windows- und Linux-Servern installieren und konfigurieren.

Before you begin

Serverinstanzen müssen über ein Instanzprofil mit einer IAM-Rolle verfügen, das die Berechtigung zur Beschreibung von Traffic Mirror-Sitzungen (DescribeTrafficMirrorSessions) und Traffic MirrorZielen (DescribeTrafficMirrorTargets) gewährt. Weitere Informationen zum Erstellen eines Instance-Profils finden Sie in der AWS-Dokumentation, Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

Windows-Server

Melden Sie sich beim Windows-Server an.
Herunterladen die neueste Version der Session Key Forwarder-Software.
Doppelklicken Sie auf ExtraHopSessionKeyForwarder.msi Datei und Klick Weiter.
Wählen Sie das Kästchen aus, um die Bedingungen der Lizenzvereinbarung zu akzeptieren, und klicken Sie dann auf Weiter.
Auf dem Sensor Bildschirm Hostname, lassen Sie das Feld Hostname leer und klicken Sie dann auf Weiter.
Akzeptieren Sie den standardmäßigen TCP-Listen-Port-Wert 598 (empfohlen), oder geben Sie einen benutzerdefinierten Portwert ein, und klicken Sie dann auf Weiter.
klicken Installieren.
Wenn die Installation abgeschlossen ist, klicken Sie auf Fertig stellen, und klicken Sie dann Nein um den Serverneustart zu überspringen.
Öffnen Sie den Windows-Registrierungseditor.
Klicken Sie im Abschnitt Software von HKEY_LOCAL_MACHINE auf ExtraHop.
Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im rechten Bereich und wählen Sie Neu > Zeichenkettenwert.
Typ Von EDA gehostete Plattform im Namensfeld.
Doppelklicken Von EDA gehostete Plattform um den Zeichenkettenwert zu bearbeiten.
Typ aws in der Wert Datenfeld und dann klicken OK.
Die Registrierung sollte der folgenden Abbildung ähneln.
Starten Sie den Server neu.

Debian-Ubuntu-Linux-Distributionen

Loggen Sie sich auf Ihrem Debian- oder Ubuntu-Linux-Server ein.
Herunterladen die neueste Version der ExtraHop Session Key Forwarder-Software.
Öffnen Sie eine Terminalanwendung und führen Sie den folgenden Befehl aus.
```
sudo dpkg --install <path to installer file>
```
Wählen gehostet.
Wählen Ok, und drücken Sie dann die EINGABETASTE.

Geben Sie den folgenden Befehl ein, um sicherzustellen, dass extrahop-key-forwarder Dienst gestartet:

sudo service extrahop-key-forwarder status

Die folgende Ausgabe sollte erscheinen:

Extrahop-key-forwarder.service - ExtraHop Session Key Forwarder Daemon
Loaded: loaded (/etc/rc.d/init.d/extrahop-key-forwarder; enabled; vendor preset: enabled)
Active: active (running) since Wed 2021-02-03 10:55:47 PDT; 5s ago

Wenn der Dienst nicht aktiv ist, starten Sie ihn, indem Sie diesen Befehl ausführen:

sudo service extrahop-key-forwarder start

RPM-basierte Linux-Distributionen

Melden Sie sich bei Ihrem RPM-basierten Linux-Server an.
Herunterladen die neueste Version der ExtraHop Session Key Forwarder-Software.
Öffnen Sie eine Terminalanwendung und führen Sie den folgenden Befehl aus:
```
sudo EXTRAHOP_CONNECTION_MODE=hosted rpm --install <path to installer file>
```
Geben Sie den folgenden Befehl ein, um sicherzustellen, dass der Extrahop-key-forwarder-Dienst gestartet wurde:
```
sudo service extrahop-key-forwarder status
```

Linux-Umgebungsvariablen

Mit den folgenden Umgebungsvariablen können Sie die Sitzungsschlüsselweiterleitung ohne Benutzerinteraktion installieren.

Variabel	Beschreibung	Beispiel
`EXTRAHOP_CONNECTION_MODE`	Gibt den Verbindungsmodus zum Sitzungsschlüsselempfänger an. Optionen sind `richten` für selbstverwaltete Sensoren und `gehostet` für von ExtraHop verwaltete Sensoren.	`sudo EXTRAHOP_CONNECTION_MODE=hosted rpm --install extrahop-key-forwarder.x86_64.rpm`
`EXTRAHOP_EDA_HOSTNAME`	Gibt den vollqualifizierten Domänenname des selbstverwalteten Sensor.	`sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com dpkg --install extrahop-key-forwarder_amd64.deb`
`EXTRAHOP_LOCAL_LISTENER_PORT`	Der Key Forwarder empfängt Sitzungsschlüssel lokal aus der Java-Umgebung über einen TCP-Listener auf localhost (127.0.0.1) und den in der `LOCAL_LISTENER_PORT` Feld. Wir haben empfohlen, für diesen Port den Standardwert 598 beizubehalten. Wenn Sie die Portnummer ändern, müssen Sie die `-javaagent` Argument, um den neuen Port zu berücksichtigen.	`sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_LOCAL_LISTENER_PORT=900 rpm --install extrahop-key-forwarder.x86_64.rpm`
`EXTRAHOP_SYSLOG`	Gibt die Einrichtung oder den Maschinenprozess an, der das Syslog-Ereignis ausgelöst hat. Die Standardeinrichtung ist `local3`, das sind System-Daemon-Prozesse.	`sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_SYSLOG=local1 dpkg --install extrahop-key-forwarder_amd64.deb`
`EXTRAHOP_ADDITIONAL_ARGS`	Gibt zusätzliche Optionen für die Schlüsselweiterleitung an.	`sudo EXTRAHOP_CONNECTION_MODE=hosted EXTRAHOP_ADDITIONAL_ARGS="-v=true -libcrypto=/some/path/libcrypto.so libcrypto=/some/other/path/libcrypto.so" rpm --install extrahop-key-forwarder.x86_64.rpm`

Überprüfen Sie die Konfigurationseinstellungen

Um zu überprüfen, ob das ExtraHop-System weitergeleitete Schlüssel empfangen kann, erstellen Sie ein Dashboard, das erfolgreich empfangene Nachrichten identifiziert.

Erstellen Sie ein neues Dashboard.
Klicken Sie auf das Diagramm-Widget, um die Metrikquelle hinzuzufügen.
klicken Quelle hinzufügen.
In der Quellen Feld, Typ Entdecke im Suchfeld und dann wählen Appliance entdecken.
In der Metriken Feld, Typ empfangene Nachrichten im Suchfeld und dann wählen Systemintegrität des Schlüsselempfängers — Empfangene Nachrichten mit Schlüsseln.
klicken Speichern.

Das Diagramm wird mit der Anzahl der entschlüsselten Sitzungen angezeigt.

Zusätzliche Metriken zur Systemintegrität

Das ExtraHop-System bietet Metriken, die Sie zu einem Dashboard hinzufügen können, um den Zustand und die Funktionalität der Session Key Forwarder zu überwachen.

Um eine Liste der verfügbaren Messwerte anzuzeigen, klicken Sie auf das Symbol Systemeinstellungen und dann klicken Metrischer Katalog. Typ Schlüsselempfänger im Filterfeld, um alle verfügbaren wichtigen Empfängermetriken anzuzeigen.

Erfahren Sie, wie Erstellen Sie ein Dashboard.

Last modified 2024-09-26

Documentation

Products

Differentiation

Solutions

Security Operations

Cloud-Native Security

Application Analytics

Network Performance

Customers

Community

Partners

Support

Training

Resources

More Resources

Company

Events and Information