Die Tabelle beschreibt die Dienste, die im Basis-System der Management Unit freigeschaltet sind. Mittels ACL können die Dienste für einzelne Netzwerke weiter eingeschränkt werden, siehe Abschnitt „Sicherheit auf der Ebene der Net Unit".
HNC und SU x86 sind standardmäßig abgeschottet und werden nicht näher beschrieben.
Typ | Name und Nummer | Verwendungszweck |
TCP | ssh (22) | Kommunikation auf Shell-Ebene (z.B. BS2000-Konsole/Dialog, SVP-Konsole, Schattenterminal) |
TCP | http (80) | Die Kommunikation über diesen Port wird grundsätzlich auf https (443) umgelenkt. |
TCP | https (443) | Kommunikation zwischen Browser (z.B. auf Administrator-PC) und Web-Oberfläche des Systems (z.B. SE Manager) |
TCP | iascontrol-oms (1156) | PRSC/prscx (Periodical Remote System Check) sendet regelmäßig Lebend-Meldungen an die Service-Zentrale |
TCP | 4178 | Optional: für die Kommunikation (http) mit StorMan |
TCP | 5800 | Browser-Zugang zur VNC-Schattenfunktionalität des Remote Service (AIS Connect) |
TCP | 5900 | VNC-Viewer-Zugang zur VNC-Schattenfunktionalität des Remote Service (AIS Connect) |
TCP | 10021-10022 | im Falle eines SKP-Verbundes (redundanter SKP) für die SKP-SKP-Kommunikation |
TCP | rs2_rctd (13333) | für Remote-Service-Anbindung von BS2000 |
UDP | domain (53) | Einbindung in den Domain Name Service (DNS) |
UDP | multicast-ping (9903) | für die Überwachung von Komponenten |
UDP | ntp (123) | Einbindung in das Network Time Protocol (NTPl) |
UDP | snmp (161) | für lesenden SNMP-Zugriff durch Management-Stationen |
UDP | snmptrap (162) | für Empfangen von SNMP-Traps von der Hardware-Überwachung |
UDP | syslog (514) | für die Überwachung von Komponenten |
UDP | dhcpv6-client (546) | Optional: Der DHCPv6-Client-Port wird bei entsprechender Konfiguration einer LAN-Schnittstelle genutzt. |
ICMP | - | Internet Control Message Protocol (ping) |
Tabelle 1: Ports für eingehende Verbindungen
Durch den auf den Systemen installierten Paketfilter (SuSEfirewall2) sind diese Ports für eingehende Verbindungen (incoming) freigeschaltet, alle anderen Ports sind gesperrt.
Für ausgehende Verbindungen (outgoing) sind in dem Paketfilter alle Ports freigeschaltet.
Ein im Paketfilter freigeschalteter Port für eingehende Verbindungen stellt kein Sicherheitsrisiko dar, solange der diesen Port nutzende Dienst nicht gestartet wird, weil das System jeden Verbindungsversuch blockiert.
Hinweis zu HNC und SU x86
Bei Verwendung der Net-Storage-Funktionalität über die Netzwerke MANPU und DANPU gibt es an diesen Units direkte ausgehende Verbindungen, welche aber kein Sicherheitsrisiko darstellen.
Einstellungen der externen Firewall
Die in der Tabelle 1 beschriebenen Ports müssen ggf. in der externen Firewall freigeschaltet sein. Ausnahmen sind TCP 10021-10022, welche der redundanten SKP-Funktionalität der MUs innerhalb des SE Servers dienen.
Außerdem müssen ggf. auch Ports für weitere optional genutzte Funktionen mit ausgehenden Verbindungen freigeschaltet werden.
Beispiele:
Verbindung zum einem LDAP-Server, standardmäßig TCP-Port 389
NFSv4-Port TCP 2049 bei Verwendung der Net-Storage-Funktionalität
Im Falle von ROBAR müssen die für den Zugang zu den Speichersystemen nötigen Ports freigeschaltet werden.