Netzwerkvorgaben und Verbindungswege

Die nachfolgende Übersicht zeigt die Ports und Protokolle auf, welche benötigt werden, damit TightGa­te-Pro im Netzwerk betrieben werden kann.

Die eingezeichnete interne Firewall (Paketfilter oder Layer3-Switch) ist betreiberseitig zur Verfügung zu stellen. Die nach PP 0040 ReCoBS geforderte interne Firewall stellt diese Bedingungen auch im Fall eines Softwarefehlers in TightGate-Pro sicher.

tgp_handbuch.jpg

TightGate-Pro ist grundsätzlich zum Betrieb in einer Demilitarisierten Zone (DMZ) vorgesehen. Es ist sicherzustellen, dass sich Klientenrechner im in­ternen Netzwerk nur über die vorgesehenen Ports mit TightGate-Pro verbinden. Weiterhin ist durch geeignete Firewalls bzw. Paketfilter der direkte Internetzugriff unter Umgehung von TightGate-Pro zu unterbinden.

Nicht unbedingt für den ordnungsgemäßen Betrieb von TightGate-Pro erforderliche Verbindungswege sind als "optional" gekennzeichnet und sollten deaktiviert werden, sofern die hierüber realisierte Funktionalität nicht benötigt wird.

Bei UDP-Verbindungen sind zugehörigen UDP-Antwortpakete in Gegenrichtung ebenfalls freizugeben.

Absender Ziel Protokoll Port(s) Bemerkung Optional
TightGate-ProInternetTCP80, 443 oder spezifischer Proxy-PortZugriff für HTTP(S)-Verbindungen ins Internet. Sofern ein Proxy vorgeschaltet ist, ist die Verbindung zu dem Proxy freizugeben.
TightGate-Prom-privacy Update-ServerTCP22 oder 443 oder ProxySSH-Zugriff über Port 443 oder 22 auf Updateserver der m-privacy GmbH
Achtung: Siehe dazu auch die Konfigurationseinstellungen für das Update.
TightGate-ProInternetTCP1935Einige Media-Streams verlangen einen direkten Internet-Zugriff auf den Port 1935, da sie sonst nicht abgespielt werden können. Dieser Port ist an der Firewall zum Internet für TightGate-Pro freizugeben.
TightGate-ProInternetUDP80, 443, 1024:65535Anfragen von WebRTC-Diensten speziell Webex. X
TightGate-ProInternetTCP5004Fallback für Anfragen des Webkonferenzing-Dienstes Webex. X
TightGate-ProInternetUDP8001Anfragen von WebRTC-Diensten speziell Zoom. X
TightGate-ProspezifischUDP123Anfragen an Zeitserver X
TightGate-ProspezifischTCP + UDP53Anfragen an Nameserver X
TightGate-ProspezifischTCP25Weitere Freigaben erforderlich, falls E-Mail Dienste über TightGate-Pro genutzt werden sollen:
POP3: 110 - POP3/SSL: 995
IMAP4: 143 - IMAP4/SSL: 993
X
TightGate-ProspezifischTCP + UDP88Kommunikation mit Active-Directory X
TightGate-ProspezifischTCP389,636
3268,3269
Kommunikation mit Active-Directory (LDAP / LDAPS)
Abfragen zur Ermittlung eines Globalen-Katalogs
X
TightGate-ProspezifischTCP21, 22Direkter Zugriff auf Server per FTP, SFTP/SSH X
TightGate-ProspezifischTCP + UDP 514, 2514, 3514Konfigurierbare Ports für das Ausspielen von Syslog-Meldungen an zentrale Syslog-Server. (Syslog / RELP / RELPTLS) X
TightGate-ProspezifischTCP
UDP
3389, 1494, 80, 443
1604
RDP- bzw. CITRIX-Server Ein- und ausgehend X
Absender Ziel Protokoll Port(s) Bemerkung Optional
Klienten
(Arbeitsplatz-PC)
TightGate-Pro TCP 5900 TLS-Ver­schlüsselte Verbindung des TightGate-Viewers zu TightGate-Pro.
Klienten
(Arbeitsplatz-PC)
TightGate-Pro TCP 22 SFTP-Verschlüsselte Verbindung zur Nutzung der Dateischleuse von TightGate-Pro. X
Absender Ziel Protokoll Port(s) Bemerkung Optional
Interner DNS-Dienst TightGate-Pro Clustersystem UDP 53 Diese Ports sind nur freizugeben, sofern ein TightGate-Pro Cluster verwendet wird. Bei Antworten, die die Paketgröße von UDP überschreiten, ist der TCP-Port 53 freizugeben. X
Monitoring-System
(Statusabfrage)
TightGate-Pro UDP 161 SNMP-Anfragen X
NRPE-Monitoring
(NAGIOS)
TightGate-Pro TCP + UDP 5666 Zugriff von ZenTiV oder anderen Nagios basierten Monitoring-Systemen X