Transférer les clés de session aux capteurs gérés par ExtraHop
Le système ExtraHop peut décrypter le trafic SSL/TLS sur votre réseau avec des clés de session transférées à partir de vos serveurs déployés dans AWS. Le transfert de clés de session doit être activé sur chaque capteur géré par ExtraHop et vous devez créer un point de terminaison VPC sur chaque VPC qui inclut les serveurs à partir desquels vous souhaitez transférer le trafic crypté.
La communication entre le transmetteur de clés et le capteur est cryptée avec TLS 1.2.
En savoir plus sur le décryptage SSL/TLS.
Activer le transfert de clé de session dans Reveal(x) 360
Le transfert de clé de session peut être activé lorsque vous déployez des capteurs gérés par ExtraHop à partir de Reveal(x) 360. Vous devez activer le transfert de clé de session pour chaque capteur.
- Connectez-vous à la console Reveal(x) 360.
- Cliquez sur Paramètres du système , puis sur Toute l'administration.
- Cliquez sur Déployer des capteurs. Cochez la case Activer le transfert de clé de session sur ce capteur au fur et à mesure que vous terminez le processus de déploiement.
- Sur la page Capteurs, attendez que la colonne État affiche Activé et que la colonne Key Forwarding Endpoint affiche la chaîne du point de terminaison.
- Copiez la chaîne du point de terminaison. La chaîne est requise lorsque vous créez un point d'extrémité dans votre VPC.
Configurer les groupes de sécurité dans AWS
Les groupes de sécurité déterminent quels serveurs peuvent transmettre des clés de session au point d'extrémité VPC et quelles clés de session sont acceptées par le point d'extrémité VPC. Les étapes suivantes décrivent comment créer le groupe de sécurité qui autorise le trafic entrant vers votre point de terminaison VPC.
Remarque : | Vos instances AWS qui transmettent les clés de session doivent être configurées avec un groupe de sécurité qui autorise le trafic sortant vers le point de terminaison VPC. |
Créer un point d'extrémité dans un VPC surveillé
Créez un point d'extrémité pour chaque VPC qui peut accepter des clés de session transférées à partir de vos serveurs et les envoyer au service de point d'extrémité VPC dans le système Reveal(x) 360.
Installation du transfert de clés de session sur les serveurs
Les étapes suivantes décrivent comment installer et configurer le logiciel ExtraHop session key forwarder sur les serveurs Windows et Linux pris en charge.
Before you begin
- Les instances de serveur doivent avoir un profil d'instance avec un rôle IAM qui autorise la description des sessions de miroir de trafic (DescribeTrafficMirrorSessions) et des cibles de miroir de trafic (DescribeTrafficMirrorTargets). Pour plus d'informations sur la création d'un profil d'instance, consultez la documentation AWS, Using an IAM role to grant permissions to applications running on Amazon EC2 instances.
Variables d'environnement Linux
Variable | Description de la variable | Exemple |
---|---|---|
EXTRAHOP_CONNECTION_MODE | Spécifie le mode de connexion au récepteur de clé de session. Les options sont directes pour les capteurs autogérés et hébergées pour les capteurs gérés par ExtraHop. | sudo EXTRAHOP_CONNECTION_MODE=hosted rpm --install extrahop-key-forwarder.x86_64.rpm |
EXTRAHOP_EDA_HOSTNAME | Spécifie le nom de domaine complet du capteur autogéré. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com dpkg --install extrahop-key-forwarder_amd64.deb |
EXTRAHOP_LOCAL_LISTENER_PORT | Le transmetteur de clés reçoit les clés de session localement de l'environnement Java par l'intermédiaire d'un auditeur TCP sur localhost (127.0.0.1) et le port spécifié dans le champ LOCAL_LISTENER_PORT. Nous recommandons de conserver la valeur par défaut de 598 pour ce port. Si vous modifiez le numéro de port, vous devez modifier l'argument -javaagent pour tenir compte du nouveau port. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_LOCAL_LISTENER_PORT=900 rpm --install extrahop-key-forwarder.x86_64.rpm |
EXTRAHOP_SYSLOG | Spécifie l'installation, ou le processus machine, qui a créé l'événement syslog. L'installation par défaut est local3, c'est-à-dire les processus de démon système. | sudo EXTRAHOP_CONNECTION_MODE=direct EXTRAHOP_EDA_HOSTNAME=host.example.com EXTRAHOP_SYSLOG=local1 dpkg --install extrahop-key-forwarder_amd64.deb |
EXTRAHOP_ADDITIONAL_ARGS | Spécifie des options supplémentaires de transfert de clés. | sudo EXTRAHOP_CONNECTION_MODE=hosted EXTRAHOP_ADDITIONAL_ARGS="-v=true -libcrypto=/some/path/libcrypto.so libcrypto=/some/other/path/libcrypto.so" rpm --install extrahop-key-forwarder.x86_64.rpm |
Valider les paramètres de configuration
Pour vérifier que le système ExtraHop est en mesure de recevoir les clés transférées, créez un tableau de bord qui identifie les messages reçus avec succès.
- Créez un nouveau tableau de bord.
- Cliquez sur le widget graphique pour ajouter la source de mesure.
- Cliquez sur Add Source (Ajouter une source).
- Dans le champ Sources , tapez Discoverdans le champ de recherche, puis sélectionnez Discover Appliance.
- Dans le champ Métriques, tapez messages reçus dans le champ de recherche, puis sélectionnez Santé du système de réception des clés - Messages reçus contenant des clés.
- Cliquez sur Enregistrer.
Mesures supplémentaires de l'état du système
Le système ExtraHop fournit des mesures que vous pouvez ajouter à un tableau de bord pour surveiller la santé et la fonctionnalité du redirecteur de clés de session.
Pour afficher la liste des mesures disponibles, cliquez sur l'icône System Settings (Paramètres système) , puis sur Metric Catalog (Catalogue de mesures). Tapez key receiverdans le champ de filtre pour afficher toutes les mesures de récepteur de clé disponibles.
Découvrez comment Créer un tableau de bord.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?