我正在没有 Internet 访问的 Windows 2022 服务器上配置 LimaCharlie 传感器。
LimaCharlie 传感器是一种安装在计算机上的软件,使用 HTTPS tcp/443 与 LimaCharlie.io 云进行通信。
LimaCharlie 传感器的架构:
端点
LimaCharlie 传感器使用的端点:
b76093c3662d5b4f.lc.limacharlie.io:443 - 固定 SSL 证书(不支持 SSL 拦截)
b76093c3662d5b4f.edr.limacharlie.io:443 - 非固定 SSL 证书(支持 SSL 拦截)
发帖者:
b76093c3662d5b4f.ingest.limacharlie.io:443
代理人
为了将数据传送到 LimaCharlie,我安装了 Windows 2022 Server 和 Squid 代理(适用于 Windows 的控制台应用程序 Squid)。https://squid.diladele.com。
我没有对配置做任何事(这是默认的)。
代理服务器称为“vm-proxy”,客户端称为“vm-client”。
代理设置的架构
客户端设置代理变量
在客户端我做了以下工作:
将系统环境变量设置LC_PROXY为值-。
在以下位置创建注册表项HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings:
- 类型:字符串
- 名称:ProxyServer
- 值:vm-proxy:3128
在客户端,我可以通过代理服务器上网,也可以 ping 代理服务器。
ping vm-proxy
Pinging vm-proxy.awdawd3rwr.adadwawd.internal.cloudapp.net [10.0.0.4] with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=128
Reply from 10.0.0.4: bytes=32 time=1ms TTL=128
Reply from 10.0.0.4: bytes=32 time=1ms TTL=128
Reply from 10.0.0.4: bytes=32 time=1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms
LimaCharlie 的客户端安装
为了安装 LimaCharlie,我以管理员身份打开 CMD 并执行以下命令:
hcp_win_x64_release_4.29.0.msi InstallationKey=AAAAB...oUECAwEAAQ== LC_PROXY=vm-proxy:3128
客户端上的 LimaCharlie 传感器发出的错误消息
TS 1710860518: hcp launched
TS 1710860518: bootstrap used
TS 1710860518: conn started
TS 1710860519: using proxy
TS 1710860519: proxy env:
TS 1710860519: vm-proxy:3128TS 1710860519:
TS 1710860519: connecting
TS 1710860519: tls error:
TS 1710860519: SSL - An invalid SSL record was receivedTS 1710860519:
TS 1710860519: tls error:
TS 1710860519: SSL - An invalid SSL record was receivedTS 1710860519:
TS 1710860519: disconnecting from no send headers