Inleiding
Dit document beschrijft de essentiële netwerkconfiguraties die u op uw firewall moet implementeren om een naadloze werking van Secure Malware Analytics te garanderen.
Bijgedragen door Cisco TAC-engineers.
Secure Malware Analytics-clouds
VS (Verenigde Staten) Cloud
Access URL: https://panacea.threatgrid.com
Hostnaam |
IP |
Port |
Details |
panacea.threatgrid.com |
63.97.201.67 63.162.55.67 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.chi.threatgrid.com |
200.194.241.35 |
443 |
Voorbeeldvenster Interactie |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
Voorbeeldvenster Interactie |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
Voorbeeldvenster Interactie |
fmc.api.threatgrid.com |
63.97.201.67 63.162.55.67 |
443 |
FMC/FTD-service voor bestandsanalyse |
EU (Europa) Cloud
Access URL: https://panacea.threatgrid.eu
Hostnaam |
IP |
Port |
Details |
panacea.bedreiggrid.eu |
62.67.214.195 200.194.242.35 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.muc.bedreiggrid.eu |
62.67.214.195 |
443 |
Voorbeeldvenster Interactie |
glovebox.fam.bedreiggrid.eu
|
200.194.242.35 |
443 |
Voorbeeldvenster Interactie
|
fmc.api.bedreiggrid.eu |
62 67 214 195 200 194 242 35 |
443 |
FMC/FTD-service voor bestandsanalyse |
De oude IP 89.167.128.132 is teruggetrokken, update uw firewallregels met hierboven IPs.
CA (Canada) Cloud
Access URL:https://panacea.threatgrid.ca
Hostnaam |
IP |
Port |
Details |
panacea.bedreiggrid.ca |
200.194.240.35 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.kam.bedreiggrid.ca |
200.194.240.35 |
443 |
Voorbeeldvenster Interactie |
fmc.api.bedreiggrid.ca |
200.194.240.35 |
443 |
FMC/FTD-service voor bestandsanalyse |
AU (Australië) Cloud
Access URL:https://panacea.threatgrid.com.au
Hostnaam |
IP |
Port |
Details |
panacea.threatgrid.com.au |
124.19.22.171 |
443 |
Voor Secure Malware Analytics-portal en geïntegreerde apparaten (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
Voorbeeldvenster Interactie |
fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD-service voor bestandsanalyse |
Secure Malware Analytics-applicatie
Het volgende is de aanbevolen firewallregels per interface van de Secure Malware Analytics-applicatie.
Vuile interface
Gebruikt door VM's om te communiceren met het internet, zodat monsters DNS kunnen oplossen en kunnen communiceren met commando en controle (C&C) servers
Toestaan:
Richting
|
Protocol
|
Port
|
Bestemming
|
Hostnaam
|
Details
|
Uitgaand
|
IP
|
ALLE
|
ALLE
|
|
Aanbevolen behalve waar hier opgegeven in het gedeelte Deny.
Gebruikt om connectiviteit voor analyse toe te staan.
|
Uitgaand
|
TCP
|
22
|
63.97.201.98 2
63.162.55.98 2
|
support-snapshots.threatgrid.com
|
Gebruikt voor automatische ondersteuning van diagnostische uploads
Opmerking: vereist softwareversie 1.2+
|
Uitgaand
|
TCP
|
22
|
54.173.181.217 1
54.173.182.46 1
63.162.55.97 2
63.97.201.97 2
|
appliance-updates.threatgrid.com
|
Applicatie updates
|
Uitgaand
|
TCP
|
19791
|
54.164.165.137 1
34.199.44.202 1
63.97.201.96 2
63.162.55.96 2
|
|
Remote-ondersteuning/modus voor applicatie-ondersteuning
|
Uitgaand
|
TCP
|
22
|
54.173.124.172 1 63.97.201.99 2 63.162.55.99 2 |
appliance-licensing.threatgrid.com
|
Licentiebeheer
|
1Deze IP’s worden in de nabije toekomst uitgeschakeld.
2Dit zijn de IP's die de in 1 genoemde vervangen. Wij stellen voor om beide IP's toe te voegen totdat de communicatie over de IP-wijzigingen in de nabije toekomst is gemaakt.
Exit van extern netwerk
Gebruikt door het apparaat om VM-verkeer te tunnelen naar een externe uitgang voorheen bekend als tg-tunnel.
Richting |
Protocol |
Port |
Bestemming |
Uitgaand |
TCP |
21413 |
173.198.252.53 |
Uitgaand |
TCP |
21413 |
163.182.175.193 ** |
Uitgaand |
TCP |
21417 |
69.55.5.250 |
Uitgaand |
TCP |
21415 |
69.55.5.250 |
Uitgaand |
TCP |
21413 |
76.8.60.91 |
Opmerking: Remote Exit 4.14.36.142 is verwijderd en is niet langer in productie. Zorg ervoor dat alle genoemde IP's worden toegevoegd aan de lijst met uitzonderingen voor firewalls.
** Afstandsbediening 163.182.175.193 wordt vervangen door 173.198.252.53
Ontkennen:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Details
|
Uitgaand
|
SMTP
|
ALLE |
ALLE
|
Om te voorkomen dat malware spam verstuurt.
|
Inkomend
|
IP
|
ALLE
|
Secure Malware Analytics-applicatie met vuile interface
|
Aanbevolen, behalve waar dit in het bovenstaande gedeelte Toestaan is gespecificeerd.
Gebruikt om communicatie voor analyse toe te staan.
|
Clean-interface
Gebruikt door verschillende verbonden diensten om monsters in te dienen en UI-toegang voor analisten.
Toestaan:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Details
|
Inkomend
|
TCP
|
443 en 8443
|
Secure Malware Analytics-applicatie met schone interface
|
WebUI- en API-toegang
|
Inkomend
|
TCP
|
9443
|
Secure Malware Analytics-applicatie met schone interface
|
Gebruikt voor Glovebox
|
Inkomend
|
TCP
|
22
|
Secure Malware Analytics-applicatie met schone interface |
Beheerderstoegang via SSH
|
Uitgaand
|
TCP
|
19791
|
Host: rash.threatgrid.com
54 164 165 137 1 34 199 44 202 1
63 97 201 96 2 63 162 55 96 2
|
Herstelmodus voor ondersteuning van Secure Malware Analytics.
|
1Deze IP’s worden in de nabije toekomst uitgeschakeld.
2Dit zijn de IP's die de in 1 genoemde vervangen. Wij stellen voor om beide IP's toe te voegen totdat de communicatie over de IP-wijzigingen in de nabije toekomst is gemaakt.
Admin-interface
Toegang tot de administratie-gebruikersinterface.
Toestaan:
Richting
|
Protocol
|
Poorten
|
Bestemming
|
Details
|
Inkomend
|
TCP
|
443 en 8443
|
Secure Malware Analytics-applicatie - Admin-interface
|
Hiermee configureert u instellingen voor hardware en licenties. |
Inboud
|
TCP
|
22
|
Secure Malware Analytics-applicatie - Admin-interface
|
Beheerderstoegang via SSH |