Подготовка IT-инфраструктуры к установке компонентов программы
Перед установкой программы подготовьте IT-инфраструктуру вашей организации к установке компонентов Kaspersky Anti Targeted Attack Platform:
Убедитесь, что серверы, а также компьютер, предназначенный для работы с веб-интерфейсом программы, и компьютеры, на которых устанавливается компонент Endpoint Sensors, удовлетворяют аппаратным и программным требованиям.
Произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонента Sandbox:
Для обоих сетевых интерфейсов запретите доступ сервера с компонентом Sandbox в локальную сеть организации для обеспечения безопасности сети от анализируемых объектов.
Для первого сетевого интерфейса разрешите доступ сервера с компонентом Sandbox в интернет для обновления баз и анализа поведения объектов.
Для второго сетевого интерфейса разрешите входящее соединение сервера с компонентом Sandbox на следующие порты:
TCP 22 для подключения к серверу по протоколу SSH.
TCP 443 для получения объектов на проверку от компонента Central Node.
TCP 8443 для использования веб-интерфейса программы.
Произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонента Central Node:
Разрешите входящее соединение сервера с компонентом Central Node на следующие порты:
TCP 22 для подключения к серверу по SSH.
TCP 8081 для получения данных от сервера с компонентом Sensor.
TCP 9092 для добавления метаданных в базу данных Targeted Attack Analyzer (если компонент Sensor устанавливается на отдельный сервер).
TCP 443 для получения данных от компьютеров с компонентом Endpoint Sensors.
TCP 6379 для синхронизации с базой данных Redis на сервере с компонентом Sensor.
TCP 8443 для просмотра результатов проверки в веб-интерфейсе программы.
TCP 4443 при перенаправлении трафика от компонентов Endpoint Sensors через сервер с компонентом Sensor на сервер с компонентом Central Node.
Разрешите исходящее соединение сервера с компонентом Central Node на следующие порты:
UDP 161 для получения данных о состоянии компонента Sensor (если компонент Sensor устанавливается на отдельный сервер).
TCP 80 и 443 для связи с серверами службы KSN и серверами обновлений "Лаборатории Касперского".
TCP 443 для передачи объектов на проверку компоненту Sandbox.
TCP 601 для отправки сообщений в SIEM-систему.
TCP 13299 для интеграции с Kaspersky Security Center.
Произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонента Sensor:
Для сетевого интерфейса, используемого для интеграции с прокси-сервером и почтовым сервером, разрешите входящее соединение сервера с компонентом Sensor на следующие порты:
TCP 22 для подключения к серверу по SSH.
TCP 1344 для получения трафика от прокси-сервера.
TCP 25 для получения SMTP-трафика от почтового сервера.
TCP 443 при перенаправлении трафика от компонентов Endpoint Sensors на сервер с компонентом Central Node.
UDP 161 для передачи данных о состоянии компонентов и их баз на сервер с компонентом Central Node.
Разрешите исходящее соединение сервера с компонентом Sensor на следующие порты:
TCP 8081 для передачи объектов на сервер с компонентом Central Node.
TCP 80 и 443 для связи с серверами службы KSN и серверами обновлений "Лаборатории Касперского".
TCP 6379 для синхронизации с базой данных Redis на сервере с компонентом Central Node.
TCP 9092 для передачи метаданных из зеркалированного трафика на сервер с компонентом Central Node.
TCP 995 (или TCP 110 для незащищенных соединений) для интеграции с почтовым сервером.
TCP 4443 при перенаправлении трафика от компонентов Endpoint Sensors на сервер с компонентом Central Node.
При установке второго сетевого интерфейса, принимающего только зеркалированный трафик, в виртуальной среде VMware ESXi используйте сетевой адаптер E1000 или отключите опцию LRO (large receive offload) на сетевом адаптере VMXNET3.
Разрешите входящее соединение компьютеров с компонентом Endpoint Sensors и сервера с компонентом Central Node напрямую, без использования прокси-сервера.
Разрешите на сетевом оборудовании шифрованный канал связи между серверами с компонентами Central Node и Sensor.
Соединение между серверами с компонентами Central Node и Sensor происходит внутри шифрованного канала связи на базе IPSec с использованием протокола ESP.
Если вы используете режим распределенного решения и multitenancy, произведите следующую предварительную подготовку IT-инфраструктуры организации к установке компонентов Central Node:
Разрешите входящее соединение сервера с ролью PCN на порты 8444 и 5432.
Разрешите входящее соединение сервера с ролью SCN на порт 5432.
Разрешите на сетевом оборудовании установку шифрованного канала связи между серверами с компонентами Central Node и Sensor.
Соединение между серверами с ролью PCN и SCN происходит внутри шифрованного канала связи на базе IPSec с использованием протокола ESP.
При необходимости вы можете назначить другие порты для работы компонентов программы в меню администратора сервера с компонентом Central Node. При изменении портов в меню администратора вам нужно разрешить соединения на эти порты внутри IT-инфраструктуры вашей организации.