Introducción
El documento describe los nombres de host, las direcciones IP y los puertos necesarios para permitir que el producto Secure Malware Analytics (Cloud and Appliance) funcione según el diseño. Para completar las operaciones correctamente, el firewall debe permitir la conectividad a los nombres de host, direcciones IP y puertos necesarios.
Contribuido por ingenieros del TAC de Cisco.
Nubes seguras de análisis de malware
Nube NAM
(https://panacea.threatgrid.com)
Hostname |
IP |
Puerto |
Detalles |
panacea.threatgrid.com |
63.97.201.67 4.14.36.148 , 63.162.55.67 |
443 |
Para Secure Malware Analytics Portal y dispositivos integrados (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.mtv.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
Ventana Interacción de muestra |
glovebox.rcn.threatgrid.com |
63.97.201.67 |
443 |
Ventana Interacción de muestra |
glovebox.scl.threatgrid.com |
63.162.55.67 |
443 |
Ventana Interacción de muestra |
fmc.api.threatgrid.com |
63.97.201.67 4.14.36.148 |
443 |
Servicio de análisis de archivos FMC/FTD |
Nube de la UE
(https://panacea.threatgrid.eu)
Hostname |
IP |
Puerto |
Detalles |
panacea.Amengrid.eu |
89.167.128.132 |
443 |
Para Secure Malware Analytics Portal y dispositivos integrados (ESA/WSA/FTD/ODNS/Meraki) |
glovebox.Amengrid.eu |
89.167.128.132 |
443 |
Ventana Interacción de muestra |
fmc.api.Amengrid.eu |
89.167.128.132 |
443 |
Servicio de análisis de archivos FMC/FTD |
Dispositivo de análisis de malware seguro
Estas son las reglas de firewall recomendadas por interfaz de Secure Malware Analytics Appliance.
Interfaz Sucia
Las máquinas virtuales las utilizan para comunicarse con Internet, de modo que las muestras puedan resolver el DNS y comunicarse con servidores de comando y control (C&C)
Permiso:
Dirección:
|
Protocolo
|
Puertos
|
Destino
|
Detalles
|
Salientes
|
IP
|
CUALQUIERA
|
CUALQUIERA
|
Se recomienda excepto cuando se especifique en la sección Denegar aquí.
Usado para permitir la conectividad para el análisis.
|
Salientes
|
TCP
|
22
|
Host: support-snapshots.threatgrid.com
IP: 54.173.231.161
|
Utilizado para cargas de diagnóstico de soporte automático
Nota: Requiere versión de software 1.2+
|
Salientes
|
TCP
|
22
|
Host: appliance-updates.Amengrid.com
IP: 54.173.181.217
IP: 54.173.182.46
|
Actualizaciones del dispositivo
|
Salientes
|
TCP
|
19791
|
Host: rash.threatgrid.com
IP: 54.164.165.137
IP: 34.199.44.202
|
Soporte remoto / Modo de soporte de dispositivo
|
Salida de red remota
Utilizado por el dispositivo para tunelizar el tráfico de VM a la salida remota anteriormente conocida como tg-tunnel.
Dirección: |
Protocolo |
Puerto |
Destino |
Salientes |
TCP |
21413 |
163.182.175.193 |
Salientes |
TCP |
21417 |
69.55.5.250 |
Salientes |
TCP |
21415 |
69.55.5.250 |
Salientes |
TCP |
21413 |
76.8.60.91 |
Nota: La salida remota 4.14.36.142 se ha eliminado y ya no está en producción. Asegúrese de que todas las IP mencionadas anteriormente se agreguen a su lista de excepciones de firewall.
Denegar:
Dirección:
|
Protocolo
|
Puertos
|
Destino
|
Detalles
|
Salientes
|
SMTP
|
CUALQUIERA |
CUALQUIERA
|
Para evitar que el malware envíe spam.
|
Entrante
|
IP
|
CUALQUIERA
|
Interfaz Segura de Malware Analytics Appliance Dirty
|
Se recomienda excepto cuando se especifique en la sección Permitir anterior.
Se utiliza para permitir la comunicación para el análisis.
|
Limpiar interfaz
Utilizado por varios servicios conectados para enviar muestras, así como acceso de interfaz de usuario para analistas.
Permiso:
Dirección:
|
Protocolo
|
Puertos
|
Destino
|
Detalles
|
Entrante
|
TCP
|
443
8443
|
Interfaz limpia de Secure Malware Analytics Appliance
|
Acceso a WebUI y API
|
Entrante
|
TCP
|
9443
|
Interfaz limpia de Secure Malware Analytics Appliance
|
Utilizado para Glovebox
|
Salientes
|
TCP
|
19791
|
Host: rash.threatgrid.com
IP: 54.164.165.137
IP: 34.199.44.202
|
Modo de recuperación para soporte de análisis de malware seguro.
|
Interfaz de administrador
Acceso a la interfaz de usuario de administración.
Permiso:
Dirección:
|
Protocolo
|
Puertos
|
Destino
|
Detalles
|
Entrante
|
TCP
|
443
8443
|
Interfaz de administrador de dispositivo de análisis de malware seguro
|
Se utiliza para configurar los parámetros de hardware y licencias. |