Bezpečnostné obmedzenia a limity pre Syslog

Vzhľadom na bezpečnostné požiadavky pre pripojenie k Syslog serveru sú nasledujúce nastavenia pevné a nie je možné ich zmeniť:

Prenosový protokol: TLS

TCP port: 6514

Z rovnakých dôvodov sa na prijímajúcom Syslog serveri uplatňujú dodatočné požiadavky:

IP adresa: Globálne smerovateľná IPv4 adresa.

Názvy IDN: Musí byť použité zastúpenie ASCII ("xn--").

FQDN: Musí byť preložený na jednu pevnú IPv4 adresu.


note

Použitie FQDN: Ak váš Syslog server pracuje pod viacerými počítačmi/IP adresami (CDN), neexistuje žiadna garancia, kedy a ako často dôjde k opätovnému rozlíšeniu FQDN. Je však zaručené, že prvé rozlíšenie FQDN sa dokončí v 10-minútovom časovom okne po spustení servera za predpokladu, že Syslog export je zapnutý a správne nastavený.

Overenie koreňového certifikátu certifikačnej autority pre TLS pripojenie: V prípade, že je povolené overenie TLS, musia byť splnené nasledujúce požiadavky pre overenie certifikátu servera:

Overenie certifikátu musí byť zapnuté.

Celý certifikačný reťazec vo formáte PEM musí byť odovzdaný a uložený v konfigurácii Syslog export (toto zahŕňa koreňovú certifikačnú autoritu, pretože neexistujú žiadne vstavané dôveryhodné certifikáty).

Certifikát vášho Syslog servera poskytuje Subject Alternative Name (DNS=/IP=), v ktorom aspoň jeden záznam zodpovedá konfigurácii názvu hostiteľa (FQDN/IP).


note

Dodatočné bezpečnostné nastavenia:

Správcovia by mali nakonfigurovať firewall svojho Syslog servera tak, aby povoľoval prichádzajúce udalosti týkajúce sa Syslog exportu iba z nasledujúcich IP rozsahov:

Odchádzajúce IP adresy z ESET PROTECT Cloud v európskom regióne: 51.136.106.164/30

Odchádzajúce IP adresy z ESET PROTECT Cloud v regióne USA: 40.81.8.148/30

Odchádzajúce IP adresy z ESET PROTECT Cloud v regióne Japonska: 20.78.10.184/30