back_to_menu.jpg

Netzwerkvorgaben und Verbindungswege

Die nachfolgende Übersicht zeigt die Ports und Protokolle auf, welche benötigt werden, damit TightGa­te-Pro im Netzwerk betrieben werden kann.

Die eingezeichnete interne Firewall (Paketfilter oder Layer3-Switch) ist betreiberseitig zur Verfügung zu stellen. Die nach PP 0040 ReCoBS geforderte interne Firewall stellt diese Bedingungen auch im Fall eines Softwarefehlers in TightGate-Pro (CC) Version 1.4 Client sicher.

tgp_handbuch.jpg

Hinweis zum TightGate-Pro (CC) Version 1.4 Client: Der zusammen mit TightGate-Pro (CC) Version 1.4 Client installierte PulseAudio-Daemon verfügt über einen reduzierten Funktionsumfang, der nur die notwendigen Komponenten umfasst. Potenziell gefahrenträchtige Module, wie beispielsweise eine Mikrofonsteuerung, sind nicht enthalten. Eine entfernte Konfiguration des Daemons ist nicht möglich. Weiterhin wird der Audio-Deamon erst zusammen mit der Benutzersitzung gestartet und nach Beendigung der Session ebenfalls beendet. Diese Charakteristika des Audio-Systems verhindern zusammen mit der angesprochenen Verbindungsselektivität des Klienten, dass der Audio-Kanal eine potenzielle Schwachstelle bildet. Letzterer ist als Teil des funktionsspezifischen Protokolls zwischen TightGate-Pro Server respektive TightGate-Pro (CC) Version 1.4 Server und den jeweiligen Klienten anzusehen, das einen wichtigen Baustein des dedizierten ReCoB-Systems darstellt.
In TightGate-Pro (CC) Version 1.4 Server ist die Audiounterstützung standardmäßig deaktiviert und kann über die Konfigurationsoption config > Einstellungen > Audio-Unterstützung eingeschaltet werden.

Firewall-Einstellungen

TightGate-Pro oder TightGate-Pro (CC) Version 1.4 Server sind grundsätzlich zum Betrieb in einer Demilitarisierten Zone (DMZ) vorgesehen. Es ist sicherzustellen, dass sich Klientenrechner im in­ternen Netzwerk nur über die vorgesehenen Ports mit TightGate-Pro oder TightGate-Pro (CC) Version 1.4 verbinden. Weiterhin ist durch geeignete Firewalls bzw. Paketfilter der direkte Internetzugriff unter Umgehung von TightGate-Pro / TightGate-Pro (CC) Version 1.4 zu unterbinden.

Nicht unbedingt für den ordnungsgemäßen Betrieb von TightGate-Pro erforderliche Verbindungswege sind als „optional" gekennzeichnet und sollten deaktiviert werden, sofern die hierüber realisierte Funktionalität nicht benötigt wird.

Ausgehende Verbindungen von TightGate-Pro (DMZ und Internet)

Bei UDP-Verbindungen sind zugehörigen UDP-Antwortpakete in Gegenrichtung ebenfalls freizugeben.

Absender Ziel Protokoll Port(s) Bemerkung Optional
TightGate-ProInternetTCP80, 443 oder spezifischer Proxy-PortZugriff für HTTP(S)-Verbindungen ins Internet. Sofern ein Proxy vorgeschaltet ist, ist die Verbindung zu dem Proxy freizugeben.
TightGate-Pro mprivacy-update2.de
und
mprivacy-update.de
TCP22Zugriff auf die Updateserver der m-privacy GmbH
TightGate-ProInternetTCP1935Einige Media-Streams verlangen einen direkten Internet-Zugriff auf den Port 1935, da sie sonst nicht abgespielt werden können. Dieser Port ist an der Firewall zum Internet für TightGate-Pro freizugeben.
TightGate-ProspezifischUDP123Anfragen an Zeitserver X
TightGate-ProspezifischTCP + UDP53Anfragen an Nameserver X
TightGate-ProspezifischTCP25Weitere Freigaben erforderlich, falls E-Mail Dienste über TightGate-Pro genutzt werden sollen:
POP3: 110 - POP3/SSL: 995
IMAP4: 143 - IMAP4/SSL: 993
X
TightGate-ProspezifischTCP + UDP88Kommunikation mit Active-Directory X
TightGate-ProspezifischTCP389, 636Kommunikation mit Active-Directory (LDAP / LDAPS) X
TightGate-ProspezifischTCP21, 22Direkter Zugriff auf Server per FTP, SFTP/SSH X
TightGate-ProspezifischTCP631Zugriff auf externen CUPS-Server X
TightGate-ProspezifischTCP + UDP 514
2514
Konfigurierbare Ports für das Ausspielen von Syslog-Meldungen an zentrale Syslog-Server. (Syslog / RELP) X
TightGate-ProspezifischTCP
UDP
3389, 1494, 80, 443
1604
RDP- bzw. CITRIX-Server Ein- und ausgehend X

Eingehende Verbindungen vom Klientennetz (LAN) zu TightGate-Pro

Absender Ziel Protokoll Port(s) Bemerkung Optional
TightGate-Pro Client
(Arbeitsplatz-PC)
TightGate-Pro TCP 5900 TLS-Ver­schlüsselte Verbindung des TightGate-Viewers zu TightGate-Pro.
TightGate-Pro Client
(Arbeitsplatz-PC)
TightGate-Pro TCP 22 SFTP-Verschlüsselte Verbindung zur Nutzung der Dateischleuse von TightGate-Pro.1) X

Eingehende Verbindungen (aus DMZ und Internet) zu TightGate-Pro

Absender Ziel Protokoll Port(s) Bemerkung Optional
Interner DNS-Dienst TightGate-Pro Clustersystem UDP 53 Diese Ports sind nur freizugeben, sofern ein TightGate-Pro Cluster verwendet wird. X
Monitoring-System (Statusabfrage) TightGate-Pro UDP 161 SNMP-Anfragen X
NRPE-Monitoring (NAGIOS) TightGate-Pro TCP + UDP 5666 Zugriff von ZenTiV oder anderen Nagios basierten Monitoring-Systemen X

back_to_menu.jpg

1)
Nicht verfügbar bei TightGate-Pro (CC) Version 1.4.