Bezpečnostní omezení a limity syslogu
Z důvodu bezpečnostních požadavků na připojení k syslog serveru je níže uvedené nastavení stálé a není jej možné změnit:
•Transportní protokol: TLS
•TCP port: 6514
Ze stejných důvodů jsou na straně přijímacího syslog serveru povinná níže uvedená nastavení:
•IP adresa: Globálně routovatelná IPv4 adresa
•IDN názvy: Musí použít ASCII reprezentaci ("xn--")
•FQDN: Musí být přeložitelný na jednu pevnou IPv4 adresu.
Použití FQDN: Pokud je váš Syslog server dostupný na více strojích / IP adresách (CDN), není možné zaručt, kdy a jak často dojde k opětovnému překladu FQDN. Je však zaručeno, že k prvnímu překladu FQN dojde do 10 minut od spuštění serveru, pokud je exportování do Syslogu povoleno a správně nakonfigurováno. |
Ověřování kořenového certifikátu certifikační autority TLS spojení: Pokud je ověřování TLS spojení aktivní, certifikát používaný vaším serverem musí splňovat níže uvedené požadavky:
•Ověřování certifikátu musí být aktivní
•Celý řetězec certifikátu v PEM formátu musí být nahrán a uložen v konfiguraci pro export do Syslogu (to znamená kořenovou CA, neboť služba nedisponuje vestavěným úložištěm důvěryhodných certifikátů)
•V certifikátu vašeho Syslogu serveru je použit Subject Alternative Name (DNS=/IP=), kdy alespoň jeden ze záznamů odpovídá zadanému názvu serveru (FQDN/IP) v konfiguraci
Dodatečné bezpečnostní nastavení Administrátoři by měli ve firewallu na Syslog serveru povolit příjem exportovaných událostí pouze z níže uvedených IP rozsahů: •Odchozí IP adresy z ESET PROTECT Cloud pro region Evropy: 51.136.106.164/30 •Odchozí IP adresy z ESET PROTECT Cloud pro region USA: 40.81.8.148/30 •Odchozí IP adresy z ESET PROTECT Cloud pro region Japonsko: 20.78.10.184/30 |