Ograniczenia i limity zabezpieczeń Syslog
Ze względu na wymagania dotyczące zabezpieczeń połączeń z serwerem Syslog następujące ustawienia są stałe i nie można ich zmienić:
•Protokół transportowy: TLS
•Port TCP: 6514
Z tych samych powodów istnieją dodatkowe wymagania dotyczące odbierającego serwera Syslog:
•Adres IP: Globalnie routowalny adres IPv4
•Nazwy IDN: Musi używać reprezentacji ASCII ("xn--")
•NAZWA FQDN: Musi przekładać się na jeden stały adres IPv4.
Korzystanie z FQDN: Jeśli serwer Syslog działa pod wieloma urządzeniami / adresami IP (CDN), nie ma żadnej gwarancji, kiedy i jak często nazwa FQDN będzie ponownie rozpoznawana. Gwarantowane jest natomiast to, że pierwsze rozpoznanie FQDN odbywa się w 10 minut po uruchomieniu serwera, o ile eksport do programu Syslog jest włączony i poprawnie skonfigurowany. |
Sprawdzanie poprawności certyfikatu głównego urzędu certyfikacji dla połączeń TLS: Gdy weryfikacja TLS jest włączona, aby zweryfikować certyfikat serwera, muszą być spełnione następujące wymagania:
•Sprawdzanie poprawności certyfikatu musi być włączone
•Cały łańcuch certyfikatów w formacie PEM jest przesyłany i zapisywany w konfiguracji eksportu Syslog (obejmuje to główny urząd certyfikacji, ponieważ nie ma wbudowanych zaufanych certyfikatów)
•Certyfikat serwera Syslog udostępnia rozszerzenie alternatywnej nazwy podmiotu (DNS=/IP=), w którym co najmniej jeden rekord odpowiada konfiguracji nazwy hosta FQDN/IP.
Dodatkowe ustawienia zabezpieczeń: Administrator powinien tak skonfigurować zaporę serwera Syslog, aby zezwalać na zdarzenia przychodzące dotyczące eksportu do programu Syslog tylko z następujących zakresów adresów IP: •Wychodzące adresy IP z ESET PROTECT Cloud w Europie: 51.136.106.164/30 •Wychodzące adresy IP z ESET PROTECT Cloud w USA: 40.81.8.148/30 •Wychodzące adresy IP z ESET PROTECT Cloud w Japonii: 20.78.10.184/30 |