Einleitung
In diesem Dokument werden die wichtigsten Netzwerkkonfigurationen beschrieben, die Sie auf Ihrer Firewall implementieren müssen, um einen reibungslosen Betrieb von Secure Malware Analytics sicherzustellen.
Eingereicht von Cisco TAC-Technikern.
Sichere Clouds für Malwareanalysen
USA (USA) Cloud
Zugriffs-URL: https://panacea.threatgrid.com)
| Hostname |
IP |
Anschluss |
Details |
| panacea.threatgrid.com |
63.97.201.67, 63.162.55.67 |
443 |
Für Secure Malware Analytics-Portal und integrierte Geräte (ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.chi.threatgrid.com |
200.194.241.35 |
443 |
Beispiel-Interaktionsfenster |
| glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
Beispiel-Interaktionsfenster |
| glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
Beispiel-Interaktionsfenster |
| fmc.api.threatgrid.com |
63.97.201.67, 63.162.55.67 |
443 |
FMC/FTD-Dateianalyse-Service |
EU (Europa) Cloud
Zugriffs-URL: https://panacea.threatgrid.eu
| Hostname |
IP |
Anschluss |
Details |
| panacea.bedrohgrid.eu |
62.67.214.195, 200.194.242.35 |
443 |
Für Secure Malware Analytics-Portal und integrierte Geräte (ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.muc.bedrohgrid.eu |
62.67.214.195 |
443 |
Beispiel-Interaktionsfenster |
| glovebox.fam.bedrohgrid.eu
|
200.194.242.35 |
443 |
Beispiel-Interaktionsfenster
|
| fmc.api.bedrohgrid.eu |
62.67.214.195, 200.194.242.35 |
443 |
FMC/FTD-Dateianalyse-Service |
Die alte IP-Adresse 89.167.128.132 wurde entfernt. Bitte aktualisieren Sie Ihre Firewall-Regeln mit den obigen IPs.
CA (Kanada) Cloud
Zugriffs-URL:https://panacea.threatgrid.ca
| Hostname |
IP |
Anschluss |
Details |
| panacea.bedrohgrid.ca |
200.194.240.35 |
443 |
Für Secure Malware Analytics-Portal und integrierte Geräte (ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.kam.bedrohgrid.ca |
200.194.240.35 |
443 |
Beispiel-Interaktionsfenster |
| fmc.api.thregrid.ca |
200.194.240.35 |
443 |
FMC/FTD-Dateianalyse-Service |
AU (Australien) Cloud
Zugriffs-URL:https://panacea.threatgrid.au
| Hostname |
IP |
Anschluss |
Details |
| panacea.threatgrid.com.au |
124.19.22.171 |
443 |
Für Secure Malware Analytics-Portal und integrierte Geräte (ESA/WSA/FTD/ODNS/Meraki) |
| glovebox.syd.threatgrid.com.au |
124.19.22.171 |
443 |
Beispiel-Interaktionsfenster |
| fmc.api.threatgrid.com.au |
124.19.22.171 |
443 |
FMC/FTD-Dateianalyse-Service |
Secure Malware Analytics Appliance
Nachfolgend sind die empfohlenen Firewall-Regeln pro Schnittstelle der Secure Malware Analytics Appliance aufgeführt.
Schmutzige Schnittstelle
Wird von VMs für die Kommunikation mit dem Internet verwendet, sodass Stichproben DNS auflösen und mit C&C-Servern (Command and Control Server) kommunizieren können
Zulassen:
|
Richtung
|
Protokolle
|
Anschluss
|
Ziel
|
Hostname
|
Details
|
|
Ausgehend
|
IP
|
BELIEBIGER
|
BELIEBIGER
|
|
Wird empfohlen, außer wenn im Abschnitt Verweigern hier angegeben.
Wird verwendet, um Verbindungen für Analysen zuzulassen.
|
|
Ausgehend
|
TCP
|
22
|
63.97.201.98 2 63.162.55.98 2
|
support-snapshots.threatgrid.com
|
Wird für automatische Uploads von Support-Diagnosen verwendet
Hinweis: Erfordert Softwareversion 1.2+
|
|
Ausgehend
|
TCP
|
22
|
54.173.181.217 1 , 54.173.182.46 1
63.162.55.97 2 63.97.201.97 2
|
appliance-updates.threatgrid.com
|
Appliance-Updates
|
|
Ausgehend
|
TCP
|
19791
|
54 164 165 137 1, 34 199 44 202 1
63.97.201.96 2 , 63.162.55.96 2
|
rash.threatgrid.com
|
Remote-Support/Support-Modus für Appliances
|
|
Ausgehend
|
TCP
|
22
|
63.97.201.99
63.162.55.99 |
appliance-licensing.threatgrid.com
|
Lizenzverwaltung
|
1Diese IP-Adressen werden in naher Zukunft deaktiviert.
2Dies sind die IPs, die diejenigen in 1 ersetzen würden. Wir schlagen vor, beide IPs hinzuzufügen, bis die Mitteilung über die IP-Änderungen in naher Zukunft erfolgt.
Remote-Netzwerkausgang
Wird von der Appliance verwendet, um VM-Datenverkehr in einen Remote-Ausgang zu tunneln, der früher als tg-tunnel bezeichnet wurde.
| Richtung |
Protokolle |
Anschluss |
Ziel |
| Ausgehend |
TCP |
21413 |
163.182.175.193 |
| Ausgehend |
TCP |
21417 |
69.55.5.250 |
| Ausgehend |
TCP |
21415 |
69.55.5.250 |
| Ausgehend |
TCP |
21413 |
76.8.60.91 |
Hinweis: Remote Exit 4.14.36.142 wurde entfernt und wird nicht mehr produziert. Achten Sie darauf, dass alle genannten IPs Ihrer Firewall-Ausnahmeliste hinzugefügt werden.
Ablehnen:
|
Richtung
|
Protokolle
|
Port(s)
|
Ziel
|
Details
|
|
Ausgehend
|
SMTP
|
BELIEBIGER |
BELIEBIGER
|
Um zu verhindern, dass Malware Spam versendet.
|
|
Eingehend
|
IP
|
BELIEBIGER
|
Secure Malware Analytics Appliance Dirty Interface
|
Empfohlen, außer wenn im Abschnitt Zulassen oben angegeben.
Wird verwendet, um die Kommunikation für die Analyse zuzulassen.
|
Schnittstelle reinigen
Diese Funktion wird von verschiedenen verbundenen Services zum Einreichen von Stichproben sowie zum Zugriff auf die Benutzeroberfläche für Analysten verwendet.
Zulassen:
|
Richtung
|
Protokolle
|
Port(s)
|
Ziel
|
Details
|
|
Eingehend
|
TCP
|
443 und 8443
|
Secure Malware Analytics Appliance - Saubere Schnittstelle
|
WebUI- und API-Zugriff
|
|
Eingehend
|
TCP
|
9443
|
Secure Malware Analytics Appliance - Saubere Schnittstelle
|
Verwendet für Glovebox
|
|
Eingehend
|
TCP
|
22
|
Secure Malware Analytics Appliance - Saubere Schnittstelle |
Administrator-TUI-Zugriff über SSH
|
|
Ausgehend
|
TCP
|
19791
|
Gastgeber: rash.threatgrid.com
54 164 165 137 1 34 199 44 202 1
63.97.201.96 2 ,63.162.55.96 2
|
Wiederherstellungsmodus für Unterstützung von Secure Malware Analytics
|
1Diese IP-Adressen werden in naher Zukunft deaktiviert.
2Dies sind die IPs, die diejenigen in 1 ersetzen würden. Wir schlagen vor, beide IPs hinzuzufügen, bis die Mitteilung über die IP-Änderungen in naher Zukunft erfolgt.
Admin-Schnittstelle
Zugriff auf die Administrations-Benutzeroberfläche.
Zulassen:
|
Richtung
|
Protokolle
|
Port(s)
|
Ziel
|
Details
|
|
Eingehend
|
TCP
|
443 und 8443
|
Admin-Schnittstelle der Appliance für sichere Malwareanalyse
|
Wird verwendet, um Einstellungen für Hardware und Lizenzen zu konfigurieren. |
|
Eingehend
|
TCP
|
22
|
Admin-Schnittstelle der Appliance für sichere Malwareanalyse
|
Administrator-TUI-Zugriff über SSH |
Feedback