Firewall-Konfiguration

MOVEit Transfer wurde so konzipiert, dass es auf DMZ-Produktionssegmenten sicher ist, die Zugang zum Internet haben. MOVEit Transfer kommuniziert nur über Ports, die von MOVEit Transfer gesteuert werden. In diesem Thema wird beschrieben, wie Sie dieses Verhalten auf Ihrer Firewall durchsetzen.

Überblick

HTTPs, FTP over SSL (FTP/SSL, ftps) und/oder FTP over SSH (FTP/SSH, sftp) werden für die Kommunikation mit MOVEit Transfer verwendet. MOVEit Transfer muss in der Regel auch auf die SMTP-Dienste eines anderen E-Mail-Servers zugreifen, um Benachrichtigungen zuzustellen.

Nicht sichere HTTP-Dienste sind optional und im Allgemeinen nicht empfehlenswert. Wenn nicht sichere Dienste aktiviert sind, leitet MOVEit die Benutzer an die sicheren Dienste weiter. (Bei IIS erfolgt keine Weiterleitung.) Der Zugriff auf verschiedene Dienste über verschiedene Standorte (z. B. intern vs. Internet) kann auch von der Firewall gesteuert werden. Siehe Abbildung unten:

• GRÜNE PFEILE geben Webdienste (HTTP/S) an.
• HELLBLAUE PFEILE geben FTP-over-SSL-Dienste an.
• BLAUE PFEILE geben SSH-Dienste an.
• GRAUE PFEILE geben andere Dienste (SMTP, RADIUS, LDAP) an.

Beispiel eines Firewall-Regelsatzes und einer Port-Abbildung in MOVEit Transfer

Alle verweigern

Verwenden Sie die folgende Regel, damit von außen keine nicht autorisierten Verbindungen zu MOVEit Transfer hergestellt werden können:

• ERFORDERLICH: Deny (ALL CONNECTIONS) to [ERFORDERLICH: (ALLE VERBINDUNGEN) verweigern für] MOVEit Transfer

Verwenden Sie die folgende Regel, damit MOVEit Transfer keine nicht autorisierten Verbindungen zu externen Computern herstellten kann:

• ERFORDERLICH: Deny MOVEit Transfer to (ALL CONNECTIONS) [ERFORDERLICH: MOVEit Transfer für (ALLE VERBINDUNGEN) verweigern]

Abhängig von den Diensten, die auf MOVEit Transfer ausgeführt werden sollen, müssen Sie einen oder mehrere Ports öffnen. Die Kriterien und Einzelheiten werden im Folgenden behandelt.

Remote-Webbrowser (HTTP/S)

MOVEit Transfer sucht in der Regel NICHT SICHERE Webverbindungen auf TCP-Port 80 und SICHERE Webverbindungen auf TCP-Port 443. Remote-Benutzer MÜSSEN von Remote-Adressen eine Verbindung zum sicheren Port (443) herstellen können. Optional können Sie auch Port 80 offen lassen, wenn MOVEit Transfer Benutzer, die eine Verbindung zu dem nicht sicheren Port herstellen, stattdessen an einen sicheren Port weiterleiten soll.

• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-443 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-443 zulassen)
• Optional (und nicht empfohlen): Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-80 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-80 zulassen)

Hinweis: MOVEit Mobile-Clients nutzt HTTPS (Port 443).

Sichere FTP-over-SSL-Remote-Clients (FTP/S)

Wenn MOVEit Transfer-FTP Clients über das Internet unterstützen muss, empfiehlt PSC auf MOVEit Transfer-FTP dringendst FTP-ÜBERTRAGUNGEN IM PASSIVEN MODUS und die BEGRENZUNG PASSIVER DATENPORTS AUF EINEN KLEINEN BEREICH.

Warnung: Die alleinige Angabe von FTP für Ihre Firewall reicht selten für eine sichere FTP-Übertragung aus (es sei denn, sowohl Client als auch Server verwenden die CCC-Option). Firewalls, die FTP erkennen, suchen nach dem Begriff „PORT“ in Datenkanälen und öffnen temporäre Lücken in der Firewall für eine Kommunikation über die angegebenen Ports zwischen den beiden Rechnern auf beiden Seiten des Datenkanals. Sichere Datenkanäle sind jedoch verschlüsselt, sodass die Firewall keine temporären Ports öffnen kann.

Explizite FTPS-Steuerverbindungen werden auf TCP-Port 21 hergestellt.

Implizite FTPS-Steuerverbindungen werden auf TCP-Port 990 hergestellt.

Wenn Sie FTPS auf Ihrem MOVEit Transfer-System nutzen, sollten Sie es UNBEDINGT so konfigurieren, dass es Folgendes verwendet: den expliziten und den impliziten Modus (um die höchstmögliche Client-Kompatibilität zu erzielen), den passiven Modus (damit der Server Portnummern auswählen kann) und einen eingeschränkten Bereich an Ports (damit keine Lücke geöffnet wird, die von einem Trojaner genutzt werden könnte).

CCC-Befehl – Alternative zum Bereich hoher offener Ports

MOVEit Transfer unterstützt den CCC FTP-Befehl. Der CCC-Befehl ermöglicht es FTP-Firewalls, die PORT-Befehle zu erkennen, die sonst durch FTP over SSL verborgen sind. Der CCC-Befehl ermöglicht insbesondere die Erkennung der PORT-Befehle durch Firewalls, indem der Steuerkanal den verschlüsselten Modus verlässt und in den Klartextmodus wechselt.

Durch die Verwendung des CCC-Befehls entstehen folgende Sicherheitsrisiken:

• Es besteht die Möglichkeit, den nun im Klartext vorliegenden Port-Befehl auszuspionieren, um eine Verbindung zum sicheren FTP-Server herzustellen und entweder Daten zu stehlen, indem eine Verbindung wie bei einem echten Client hergestellt wird, oder einen DoS-Angriff (Denial of Service) auszulösen, indem verhindert wird, dass der echte Client eine Verbindung herstellt.
• Es besteht die Möglichkeit, Ordnernamen, Dateinamen und benutzerdefinierte Befehle wie „Kennwort ändern“ auszuspionieren, solange der Steuerkanal unverschlüsselt ist.

Das Sicherheitsrisiko der alternativen Lösung – einer begrenzten Anzahl offener Ports – besteht darin, dass ein anderer Dienst auf dem Server installiert werden und mit der Überwachung dieser Ports beginnen könnte.

Aktives FTP – Nicht empfohlen

Aktives FTP ist als Internet-Verbindung NICHT zu empfehlen, weil Remote-Firewalls wahrscheinlich keine Datenverbindungen mit aktivem FTP zulassen, insbesondere wenn sie verschlüsselt sind.

ERFORDERLICH: Allow TCP (Remote) (Any Port) to 1 Port-21 (TCP (Remote) (Beliebiger Port) für 1 Port-21 zulassen)

• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-990 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-990 zulassen)
• ERFORDERLICH: Allow TCP MOVEitDMZ Port-20 to (Remote) (Any Port) (TCP MOVEitDMZ-Port-20 für (Remote) (Beliebiger Port) zulassen)
• ERFORDERLICH: Allow TCP MOVEitDMZ Port-989 to (Remote) (Any Port) (TCP MOVEitDMZ-Port-989 für (Remote) (Beliebiger Port) zulassen)

Passives FTP (uneingeschränkt) – Nicht empfohlen

Die Einrichtung von passivem FTP im uneingeschränkten Modus ist nicht zu empfehlen, weil der ordnungsgemäße Einsatz dieses Modus viele hohe, in der Firewall offene Ports (tausende) erfordert.

• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-21 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-21 zulassen)
• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-990 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-990 zulassen)
• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ (High Ports) (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port (hohe Ports) zulassen)

MOVEit Transfer sucht in der Regel SICHERE FTP-Steuerverbindungen auf TCP-Port 21 (und 990 bei Verwendung des impliziten Modus). Als passiver FTP-Server sucht MOVEit Transfer eine SICHERE FTP-Datenverbindung auf dem hohen TCP-Port (>1023), der mit dem Client ausgehandelt wurde. Diese Ports müssen für eine ordnungsgemäße Kommunikation offen bleiben.

Passives FTP (eingeschränkt) – Empfohlen

• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-21 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-21 zulassen)
• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-990 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-990 zulassen)
• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Ports-3000_3003 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Ports-3000_3003 zulassen)
  (nach Ermessen des Administrators)

MOVEit Transfer sucht in der Regel SICHERE FTP-Steuerverbindungen auf TCP-Port 21 (und 990 bei Verwendung des impliziten Modus). Im eingeschränkten passiven Modus sucht MOVEit Transfer SICHERE FTP-Datenverbindungen auf einer konfigurierbaren begrenzten Anzahl an fortlaufenden hohen TCP-Ports (z. B. 3000, 3001, 3002, 3003), die es einem bestimmten Client zuweist. (Auf Clients müssen lediglich Übertragungen im passiven Modus angegeben werden; ansonsten ist keine zusätzliche Konfiguration erforderlich.) Diese Ports müssen für eine ordnungsgemäße Kommunikation offen bleiben.

Zusätzliche Ports für Clientzertifikate

Wenn sich der gesamte FTP/SSL-Datenverkehr mit Clientzertifikaten authentifizieren muss, ist eine Einrichtung zusätzlicher FTP/SSL-Ports für diesen Zweck nicht erforderlich. Wenn sich jedoch einige FTP/SSL-Verbindungen/Benutzer mit Clientzertifikaten authentifizieren sollen, während dies bei anderen nicht der Fall sein soll (üblich bei Migrationen), müssen Sie zusätzliche Ports für die Authentifizierung über FTP/SSL-Clientzertifikate einrichten.

Mit Clientzertifikaten authentifizierte Sitzungen nutzen dieselben Datenports wie normale FTP/SSL-Sitzungen, sodass keine zusätzlichen Datenports erforderlich sind. Allerdings werden einem MOVEit Transfer-FTP-Server in dieser Situation in der Regel ein zweiter expliziter Steueranschluss und ein zweiter impliziter Steueranschluss zugewiesen. So verwendet MOVEit beispielsweise die Ports 21 und 990 für Verbindungen ohne Authentifizierung über Clientzertifikate und die Ports 10021 und 10990 für Verbindungen mit Authentifizierung über Clientzertifikate.

FTP-over-SSH-Remote-Clients (SSH)

MOVEit Transfer verwendet einen SSH-Tunnel mit einem Port zur Unterstützung von FTP-over-SSH-Clients. Die Nutzung eines einzigen SSH-Tunnels hat einen Vorteil gegenüber den von FTP over SSL verwendeten verschlüsselten Datenströmen: Es müssen weniger Ports in einer Firewall geöffnet werden. (FTP over SSH ist ein sicheres Übertragungsprotokoll mit nur einem einzigen Port.) SSH verwendet in der Regel TCP-Port 22.

• ERFORDERLICH: Allow TCP (Remote) (Any Port) to MOVEitDMZ Port-22 (TCP (Remote) (Beliebiger Port) für MOVEitDMZ-Port-22 zulassen)

E-Mail-Benachrichtigung (SMTP)

Zum Senden von E-Mail-Benachrichtigungen muss der MOVEit Transfer-Server einen SMTP-konformen E-Mail-Server verwenden. Wenn Ihr MOVEit Transfer-Server eine Firewall passieren muss, um einen E-Mail-Server zu erreichen, müssen Sie MOVEit Transfer Zugriff darauf erteilen, jedoch nur über TCP-Port 25. Wenn die Möglichkeit bestehen soll, Nachrichten in Warteschlangen zu stellen, falls Ihr E-Mail-Server nicht zuverlässig ist, wenn Sie besondere Authentifizierungsparameter zum Übertragen von E-Mails benötigen oder Sie allgemein viele Benachrichtigungen auf einmal zu senden beabsichtigen, sollten Sie die Einrichtung des lokalen E-Mail-Relays in Betracht ziehen.

Hinweis: Der MOVEit Transfer-Server braucht nicht auf einen internen E-Mail-Server zuzugreifen, wenn Sie ihn stattdessen auf Ihren Upstream-E-Mail-Relay (ISP) verweisen können.

• ERFORDERLICH: Allow TCP MOVEitDMZ (High Ports) to (YOUR MAIL SERVER) Port-25 (TCP MOVEitDMZ (Hohe Ports) für (IHR E-MAIL-SERVER) Port-25 zulassen)

Remote-Authentifizierung (RADIUS)

Wenn Sie RADIUS-Remote-Authentifizierung verwenden möchten, muss MOVEit Transfer über UDP mit dem RADIUS-Remote-Server kommunizieren können. Normalerweise wird UDP-Port 1645 zur Unterstützung von RADIUS verwendet; der Port kann jedoch konfiguriert werden.

• OPTIONAL: Allow UDP MOVEitDMZ (High Ports) to (YOUR RADIUS SERVER) Port-1645 (UDP MOVEitDMZ (Hohe Ports) für (IHR E-MAIL-SERVER) Port-1646 zulassen)

Remote-Authentifizierung (LDAP)

Wenn Sie LDAP-Remote-Authentifizierung verwenden möchten, muss MOVEit Transfer über TCP mit dem LDAP-Remote-Server kommunizieren können. Normalerweise wird TCP-Port 389 zur Unterstützung von LDAP und Port 636 zur Unterstützung von LDAP over SSL verwendet; diese Ports sind jedoch konfigurierbar. (Die Verwendung von LDAP over SSL wird dringend empfohlen; dies wird von den meisten modernen LDAP-Servern unterstützt. Anweisungen zum Aktivieren des SSL-Zugriffs auf Active Directory-LDAP-Servern finden Sie zum Beispiel unter Funktionsumfang - Externe Authentifizierung.)

• OPTIONAL: Allow TCP MOVEitDMZ (High Ports) to (YOUR LDAP SERVER) Port-389 (TCP MOVEitDMZ (Hohe Ports) für (IHR LDAP-SERVER) Port-389 zulassen)
• OPTIONAL: Allow TCP MOVEitDMZ (High Ports) to (YOUR LDAP SERVER) Port-63 (TCP MOVEitDMZ (Hohe Ports) für (IHR LDAP-SERVER) Port-63 zulassen)

Microsoft SQL Server-Remote-Datenbank

Wenn MOVEit Transfer eine Verbindung zu einer Microsoft SQL Server-Remote-Datenbank herstellt, wie z. B. in einer Webfarm, muss der MOVEit Transfer-Knoten über die SQL Server-Ports kommunizieren können. Port 1433 ist der Standard-Port für SQL Server; wenn Sie einen anderen Port für Ihre SQL Server-Instanz konfiguriert haben, verwenden Sie diesen Port anstelle von 1433. Sie müssen Port 1434 nur öffnen, wenn Sie SQL Server Studio oder ein anderes SQL Server-Dienstprogramm auf den MOVEit Transfer-Anwendungsknoten ausführen möchten.

• ERFORDERLICH: Allow TCP MOVEitDMZ to (Your MS SQL Server) (Port 1433) for SQLServer default instance (TCP MOVEitDMZ für (Ihr MS SQL Server) (Port 1433) für SQLServer-Standardinstanz zulassen)
• Optional: Allow TCP MOVEitDMZ to (Your MS SQL Server) (Port 1434) for SQL Admin Connection (TCP MOVEitDMZ für (Ihr MS SQL Server) (Port 1434) für SQL Admin-Verbindung zulassen)

MOVEit Transfer-Webfarmen

Wenn MOVEit Transfer-Webfarmen verwendet werden, müssen alle Knoten und das NAS Microsoft-Netzwerkprotokolle zwischen sich zulassen. Dies erfolgt in der Regel durch Öffnen des TCP-Ports 445 zwischen den verschiedenen Rechnern. Lassen Sie diesen Port jedoch NICHT für Verbindungen in das oder aus dem Internet offen.

Zeitdienst

Manche Sites, wie z. B. die, die von der FDA reguliert werden, müssen unter Umständen sicherstellen, dass die Uhrzeit auf MOVEit Transfer mit einer bekannten, externen Quelle synchronisiert ist. Die Hostnamen externer Zeitquellen, wie z. B. time.nist.gov, sind in verschiedenen Listen öffentlicher Zeitserver zu finden.

Zeitdienste (RFC 958) verwenden in der Regel UDP-Port 123. Beim Einrichten von Firewall-Regeln zur Unterstützung eines externen Zeitdiensts müssen Sie UDP-Paketen die Berechtigung erteilen, von einem beliebigen hohen Port auf MOVEit Transfer zum UDP-Remote-Port 123 zu gelangen, idealerweise auf einem oder einer kleinen Gruppe von Remote-Servern. Der zurückkommende Datenverkehr, der denselben UDP-Port verwendet, muss auch zu Ihrem MOVEit Transfer-Server zurückkehren können.

Hinweise:

• Ihre Firewall könnte auch als Zeitserver fungieren. In dieser Situation fragt die Firewall externe Zeitserver selbst ab, anstatt jedem Rechner hinter der Firewall zu erlauben, seine eigene Zeit abzurufen.
• Die Zeit von Servern, die zu einer Domäne gehören, wird automatisch mit dem Domänencontroller synchronisiert, sodass kein externer Zeitserver erforderlich ist.

SysLog-Dienst

Wenn Sie sich entscheiden, MOVEit Transfer-Überwachungsereignisse an einen SysLog-Server zu senden, müssen Sie UDP-SysLog-Paketen wahrscheinlich die Berechtigung erteilen, von MOVEit Transfer über UDP-Port 514 zum SysLog-Server zu gelangen.

SNMP-Dienst

Wenn Sie sich entscheiden, MOVEit Transfer-Überwachungsereignisse an eine SNMP-Management-Konsole zu senden, müssen Sie UDP-SNMP-Paketen wahrscheinlich die Berechtigung erteilen, von MOVEit Transfer über UDP-Port 161 zur SNMP-Management-Konsole zu gelangen.

ODBC-stunnel (größtenteils veraltet)

Dieses Verfahren wurde weitgehend durch die Möglichkeit der MOVEit Transfer-API ersetzt, benutzerdefinierte Ad-hoc-Berichte über eine sichere Verbindung per Fernzugriff an den meisten MOVEit Transfer-Konfigurationselementen und -Überwachungseinträgen auszuführen.

Wenn Sie sich für die Einrichtung einer ODBC-stunnel-Verbindung entscheiden (wie in Erweiterte Themen - Datenbank - Remotezugriff beschrieben), müssen Sie auf TCP-Port 33062 wahrscheinlich Verbindungen zwischen MOVEit Automation und MOVEit Transfer zulassen. Dieser Port kann konfiguriert und in den beiden betroffenen Konfigurationsdateien (stunnel_mysqlserver.conf und stunnel_mysqlclient.conf) geändert werden.

MOVEit Freely und MOVEit Buddy

MOVEit Freely und MOVEit Buddy sind sichere FTP-Clients. Angaben zu den erforderlichen Port-Informationen finden Sie im Abschnitt Sichere FTP-over-SSL-Remote-Clients weiter oben.

MOVEit Automation

MOVEit Automation kommuniziert in der Regel über HTTPs mit MOVEit Transfer. Angaben zu den erforderlichen Port-Informationen finden Sie im Abschnitt Remote-Webbrowser (HTTP/S) weiter oben.

MOVEit-Assistent, MOVEit Xfer, MOVEit Transfer-API und MOVEit EZ

Die Clients des MOVEit-Assistenten, MOVEit Xfer, MOVEit Transfer-API und MOVEit EZ kommunizieren über HTTPs mit MOVEit Transfer. Angaben zu den erforderlichen Port-Informationen finden Sie im Abschnitt Remote-Webbrowser (HTTP/S) weiter oben.

AS2-Clients

AS2-Clients verwenden in der Regel HTTPS. In seltenen Fällen können sie stattdessen HTTP verwenden. Angaben zu den erforderlichen Port-Informationen finden Sie im Abschnitt Remote-Webbrowser (HTTP/S) weiter oben.

AS3-Clients

AS3-Clients sind sichere FTP-Clients. Angaben zu den erforderlichen Port-Informationen finden Sie im Abschnitt Sichere FTP-over-SSL-Remote-Clients weiter oben.