Die Tabelle beschreibt die Dienste, die im Basis-System der Management Unit freigeschaltet sind. Mittels ACL können die Dienste für einzelne Netzwerke weiter eingeschränkt werden, siehe Abschnitt „Sicherheit auf der Ebene der Net Unit".
HNC und SU x86 sind standardmäßig abgeschottet und werden nicht näher beschrieben.
Typ | Name und Port | Verwendungszweck |
TCP | ssh (22) | Kommunikation auf Shell-Ebene (z.B. BS2000-Konsole/Dialog, SVP-Konsole, Schattenterminal) |
TCP | domain (53) | Einbindung in den Domain Name Service (DNS) |
TCP | http (80) | Die Kommunikation über diesen Port wird grundsätzlich auf https (443) umgelenkt. |
TCP | kerberos (88) | Optional: Für Kerberos |
TCP | snmp (161) | Für lesenden SNMP-Zugriff durch Management-Stationen |
TCP | snmptrap (162) | Für Empfang von SNMP-Traps von der Hardware-Überwachung |
TCP | ldap (389) | Optional: Für das Lightweight Directory Access Protocol (LDAP) |
TCP | https (443) | Kommunikation zwischen Browser (z.B. auf Administrator-PC) und Web-Oberfläche des Systems (z.B. SE Manager) |
TCP | ldaps (636) | Optional: LDAP protocol over TLS/SSL |
TCP | rfile (750) | Optional: Für Kerberos Version IV |
TCP | iascontrol-oms (1156) | PRSC/prscx (Periodical Remote System Check) sendet regelmäßig Lebend-Meldungen an die Service-Zentrale |
TCP | nfs (2049) | Optional: Network File System (NFSv4) [ RFC5665 ] |
TCP | caupc-remote (2122) | Optional: AIS Gateway |
TCP | storman (4178) | Optional: Für die Kommunikation mit StorMan (Add-on) |
TCP | 5800 | Browser-Zugang zur VNC-Schattenfunktionalität des Remote Service (AIS Connect) |
TCP | rfb (5900) | VNC-Viewer-Zugang zur VNC-Schattenfunktionalität des Remote Service (AIS Connect) |
TCP | 10021-10022 | Im Falle eines SKP-Verbundes (redundanter SKP) für die SKP-SKP-Kommunikation |
TCP | rs2_rctd (13333) | Für Remote-Service-Anbindung von BS2000 |
UDP | domain (53) | Einbindung in den Domain Name Service (DNS) |
UDP | kerberos (88) | Optional: Für Kerberos |
UDP | ntp (123) | Einbindung in das Network Time Protocol (NTPl) [ RFC5905 ] |
UDP | snmp (161) | Für lesenden SNMP-Zugriff durch Management-Stationen |
UDP | snmptrap (162) | Für Empfang von SNMP-Traps von der Hardware-Überwachung |
UDP | syslog (514) | Für die Überwachung von Komponenten (SYSLOG) |
UDP | dhcpv6-client (546) | Optional: Der DHCPv6-Client-Port wird bei entsprechender Konfiguration einer LAN-Schnittstelle genutzt. |
UDP | loadav/kerberos-iv (750) | Optional: Für Kerberos Version IV |
UDP | multicast-ping (9903) | Für die Überwachung von Komponenten [ RFC6450 ] |
ICMP | - | Internet Control Message Protocol (ping) |
Tabelle 1: Ports für eingehende Verbindungen
Durch den auf den Systemen installierten Paketfilter (SuSEfirewall2) sind diese Ports für eingehende Verbindungen (incoming) freigeschaltet, alle anderen Ports sind gesperrt.
Für ausgehende Verbindungen (outgoing) sind in dem Paketfilter alle Ports freigeschaltet.
Ein im Paketfilter freigeschalteter Port für eingehende Verbindungen stellt kein Sicherheitsrisiko dar, solange der diesen Port nutzende Dienst nicht gestartet wird, weil das System jeden Verbindungsversuch blockiert.
Hinweis zu HNC und SU x86
Bei Verwendung der Net-Storage-Funktionalität über die Netzwerke MANPU und DANPU gibt es an diesen Units direkte ausgehende Verbindungen, welche aber kein Sicherheitsrisiko darstellen.
Einstellungen der externen Firewall
Die in der Tabelle 1 beschriebenen Ports müssen ggf. in der externen Firewall freigeschaltet sein. Ausnahmen sind TCP 10021-10022, welche der redundanten SKP-Funktionalität der MUs innerhalb des SE Servers dienen.
Außerdem müssen ggf. auch Ports für weitere optional genutzte Funktionen mit ausgehenden Verbindungen freigeschaltet werden.
- Bei Verwendung von LDAP der in SEM eingestellte Port LDAP-Port (je nach Portokoll standardmäßig 389 oder 636), sowie die Ports 88 und 750 für Kerberos.
- Für die SNMP-Abfragen muss in der Firewall der Port 161 geöffnet sein.
- Für Traps der Port 162.
Beispiele:
Verbindung zu einem LDAP-Server, standardmäßig TCP-Port 389
NFSv4-Port TCP 2049 bei Verwendung der Net-Storage-Funktionalität
Im Falle von ROBAR müssen die für den Zugang zu den Speichersystemen nötigen Ports freigeschaltet werden.