Benutzer-Werkzeuge
Inhaltsverzeichnis
Netzwerkvorgaben und Verbindungswege
Die nachfolgende Übersicht zeigt die Ports und Protokolle auf, welche benötigt werden, damit TightGate-Pro im Netzwerk betrieben werden kann.
Die eingezeichnete interne Firewall (Paketfilter oder Layer3-Switch) ist betreiberseitig zur Verfügung zu stellen. Die nach PP 0040 ReCoBS geforderte interne Firewall stellt diese Bedingungen auch im Fall eines Softwarefehlers in TightGate-Pro (CC) Version 1.4 Client sicher.
Hinweis zum TightGate-Pro (CC) Version 1.4 Client: Der zusammen mit TightGate-Pro (CC) Version 1.4 Client installierte PulseAudio-Daemon verfügt über einen reduzierten Funktionsumfang, der nur die notwendigen Komponenten umfasst. Potenziell gefahrenträchtige Module, wie beispielsweise eine Mikrofonsteuerung, sind nicht enthalten. Eine entfernte Konfiguration des Daemons ist nicht möglich. Weiterhin wird der Audio-Deamon erst zusammen mit der Benutzersitzung gestartet und nach Beendigung der Session ebenfalls beendet. Diese Charakteristika des Audio-Systems verhindern zusammen mit der angesprochenen Verbindungsselektivität des Klienten, dass der Audio-Kanal eine potenzielle Schwachstelle bildet. Letzterer ist als Teil des funktionsspezifischen Protokolls zwischen TightGate-Pro Server respektive TightGate-Pro (CC) Version 1.4 Server und den jeweiligen Klienten anzusehen, das einen wichtigen Baustein des dedizierten ReCoB-Systems darstellt.
In TightGate-Pro (CC) Version 1.4 Server ist die Audiounterstützung standardmäßig deaktiviert und kann über die Konfigurationsoption config > Einstellungen > Audio-Unterstützung eingeschaltet werden.
Firewall-Einstellungen
TightGate-Pro oder TightGate-Pro (CC) Version 1.4 Server sind grundsätzlich zum Betrieb in einer Demilitarisierten Zone (DMZ) vorgesehen. Es ist sicherzustellen, dass sich Klientenrechner im internen Netzwerk nur über die vorgesehenen Ports mit TightGate-Pro oder TightGate-Pro (CC) Version 1.4 verbinden. Weiterhin ist durch geeignete Firewalls bzw. Paketfilter der direkte Internetzugriff unter Umgehung von TightGate-Pro / TightGate-Pro (CC) Version 1.4 zu unterbinden.
Nicht unbedingt für den ordnungsgemäßen Betrieb von TightGate-Pro erforderliche Verbindungswege sind als „optional" gekennzeichnet und sollten deaktiviert werden, sofern die hierüber realisierte Funktionalität nicht benötigt wird.
Ausgehende Verbindungen von TightGate-Pro (DMZ und Internet)
Bei UDP-Verbindungen sind zugehörigen UDP-Antwortpakete in Gegenrichtung ebenfalls freizugeben.
| Absender | Ziel | Protokoll | Port(s) | Bemerkung | Optional |
|---|---|---|---|---|---|
| TightGate-Pro | Internet | TCP | 80, 443 oder spezifischer Proxy-Port | Zugriff für HTTP(S)-Verbindungen ins Internet. Sofern ein Proxy vorgeschaltet ist, ist die Verbindung zu dem Proxy freizugeben. | |
| TightGate-Pro | update1.m-privacy.de, update2.m-privacy.de und update3.m-privacy.de | TCP | 22 | Zugriff auf die Updateserver der m-privacy GmbH | |
| TightGate-Pro | Internet | TCP | 1935 | Einige Media-Streams verlangen einen direkten Internet-Zugriff auf den Port 1935, da sie sonst nicht abgespielt werden können. Dieser Port ist an der Firewall zum Internet für TightGate-Pro freizugeben. | |
| TightGate-Pro | spezifisch | UDP | 123 | Anfragen an Zeitserver | X |
| TightGate-Pro | spezifisch | TCP + UDP | 53 | Anfragen an Nameserver | X |
| TightGate-Pro | spezifisch | TCP | 25 | Weitere Freigaben erforderlich, falls E-Mail Dienste über TightGate-Pro genutzt werden sollen: POP3: 110 - POP3/SSL: 995 IMAP4: 143 - IMAP4/SSL: 993 | X |
| TightGate-Pro | spezifisch | TCP + UDP | 88 | Kommunikation mit Active-Directory | X |
| TightGate-Pro | spezifisch | TCP | 389 636 | Kommunikation mit Active-Directory (LDAP / LDAPS) | X |
| TightGate-Pro | spezifisch | TCP | 21, 22 | Direkter Zugriff auf Server per FTP, SFTP/SSH | X |
| TightGate-Pro | spezifisch | TCP + UDP | 514 2514 | Konfigurierbare Ports für das Ausspielen von Syslog-Meldungen an zentrale Syslog-Server. (Syslog / RELP) | X |
| TightGate-Pro | spezifisch | TCP UDP | 3389, 1494, 80, 443 1604 | RDP- bzw. CITRIX-Server Ein- und ausgehend | X |
Eingehende Verbindungen vom Klientennetz (LAN) zu TightGate-Pro
| Absender | Ziel | Protokoll | Port(s) | Bemerkung | Optional |
|---|---|---|---|---|---|
| Klienten (Arbeitsplatz-PC) | TightGate-Pro | TCP | 5900 | TLS-Verschlüsselte Verbindung des TightGate-Viewers zu TightGate-Pro. | |
| Klienten (Arbeitsplatz-PC) | TightGate-Pro | TCP | 22 | SFTP-Verschlüsselte Verbindung zur Nutzung der Dateischleuse von TightGate-Pro.1) | X |
Eingehende Verbindungen (aus DMZ und Internet) zu TightGate-Pro
| Absender | Ziel | Protokoll | Port(s) | Bemerkung | Optional |
|---|---|---|---|---|---|
| Interner DNS-Dienst | TightGate-Pro Clustersystem | UDP | 53 | Diese Ports sind nur freizugeben, sofern ein TightGate-Pro Cluster verwendet wird. | X |
| Monitoring-System (Statusabfrage) | TightGate-Pro | UDP | 161 | SNMP-Anfragen | X |
| NRPE-Monitoring (NAGIOS) | TightGate-Pro | TCP + UDP | 5666 | Zugriff von ZenTiV oder anderen Nagios basierten Monitoring-Systemen | X |
