Блокировка адресов при помощи Cisco ASA Firewall на основе сработок алертов
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Официальная документация по данному разделу приведена в Онлайн-справке на продукт: https://support.kaspersky.ru/help/KUMA/2.1/ru-RU/238530.htm
ЧтобыДля настройкить бреалгирования средствами Cisco ASA (блокировку трафика между коллекторами KUMA:
1. Уадрестановите nginx на сервере, предназначенном для управления потоком событий (предпочтительно выделенные сервера, не менее двух)
Команда для установки в Oracle Linux 8.6:$sudo dnf install nginxКоманда для установки в Ubuntu 20.4:$sudo apt-get install nginxПри установке из sources,необходимособрать с параметром-with-stream$sudo ./configure -with-stream -without-http_rewrite_module -without-http_gzip_module
2. Подготавливаем конфигурационный файл nginx.conf, где блоки выделенные красным меняем (название\ip адреса\порт) под свою задачу.
{ upstream back_FW_ASA { server 10.11.17.145:514; server 10.11.18.145:514; }
и
server { listen 514 udp; proxy_pass back_FW_ASA; proxy_bind $remote_addr transparent; }
При помощи данного файла nginx будет "прозрачно" для коллекторов пробрасывать оригинальный сетевой пакет трафика, позволяя передать реальный адрес\имя устройства, которое передало лог.
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;
events {
worker_connections 1024;
}
stream {
upstream back_FW_ASA {
server 10.11.17.145:514;
server 10.11.18.145:514;
}
server {
listen 514 udp;
proxy_pass back_FW_ASA;
proxy_bind $remote_addr transparent;
}
}
3. Укажите адреса коллекторов KUMA и порт, в примере их адреса\порты - 10.11.17.145:514 и 10.11.18.145:514, балансировка отправки сообщений будет вестись в соотношении 50:50 (при доступности двух коллекторов).