-
Titel
Welche Netzwerkports und URL werden für die Funktion der K1000 benötigt -
Beschreibung
Die folgende Tabelle beschreibt den K1000 (SMA) Netzwerkverkehr (Inbound, Outbound, bidirektional) an der NIC. Dies soll das interne Netzwerkverhalten beschreiben. Alle ausgehenden Ports, die Zugriff auf das Internet benötigen, werden in der Spalte "Richtung" als "NAT" gekennzeichnet. Einige spezielle Konfigurationen, z. B. das Zulassen von SMTP-Inbound Traffic direkt an die SMA, erfordern geringfügige Abweichungen und benutzerdefinierte Konfigurationen außerhalb der Grenzen dieser Liste. Wenden Sie sich im Zweifelsfall an den KACE Support, um weitere Informationen zu erhalten. -
Lösung
Der Patch- und Aktualisierungsprozess von Quest für die KACE® System Management Appliances (SMA) umfasst mehrere Sicherheitsfunktionen. Beispielsweise werden die Übertragungen von Patch- und Update-Metadaten für die SMA durch Quest verschlüsselt. Prüfsummen werden verwendet, um die Integrität von SMA-Patch-Nutzdaten zu überprüfen. Das Verzeichnis, in dem sich SMA-Patch-Nutzdaten befinden, ist berechtigungsgesteuert, um Manipulationen durch Benutzer zu verhindern.
Wie bei jeder Webserver-basierten Anwendung gehören zu den bewährten Sicherheitsmethoden die Einschränkung des Zugriffs auf die KACE Systems Management Appliance (SMA) aus dem Internet. Sorgfältige Überlegungen und Überprüfungen der Umgebung sind erforderlich, um die Sicherheit zu gewährleisten.
Es wird dringend empfohlen, Firewalls, Verschlüsselung, Portzugriff, Rollen, Antivirus, SSL, Zugriffssteuerungsliste, Notfallwiederherstellung und Best Practices zum Sichern Ihres SMA zu berücksichtigen, bevor Sie den SMA im Internet konfigurieren. Wenn der SMA als Internet- / öffentlich zugänglicher Verkehr konfiguriert ist, sollte mindestens nur HTTPS-Verkehr (Port 443) über eine Firewall an den SMA für den UI-Zugriff und den Kommunikationsverkehr des Agenten eingehen.Weitere Informationen zu diesem Thema finden sie hier: KACE-SMA Course 1 Installing the KACE SMA-Web-based Training
Hinweis: Dieser Kurs ist nur in Englisch.
Folgende Tabelle beinhaltet die Ports, Funktionen und Kommunikationsrichtung:
Port
Zweck
Konfigurierbar unter:
Optional/Notwendig
Richtung
Protokoll
20/21
FTP-Zugriff auf die Backups
Sicherheitseinstellungen
Optional
Inbound
FTP
22
SSH für KACE Support Tether
Sicherheitseinstellungen
Optional
Outbound/NAT
SSH
25
SMTP
Helpdesk-Konfiguration/Netzwerkeinstellungen
Optional
Bidirectional
TCP
80
Zugriff auf User-, Admin- und System-Interface (ohne SSL-Verschlüsselung)
Agentenzugriff und Replikationsdownloads (ohne SSL-Verschlüsselung)Sicherheitseinstellungen
Erforderlich für UI / Agent-Datenverkehr, wenn SSL nicht aktiviert ist. Es ist dringend empfohlen, stattdessen SSL zu verwenden; Wird benötigt Outbound / NAT für die SMA selbst
Inbound (ohne SSL);
Outbound/NAT (SMA benötigt HTTP für Synchronisation des Patchfeeds)
HTTP
161
SNMP Überwachung der SMA
Sicherheitseinstellungen
Optional
Inbound
UDP
443
Zugriff auf User-, Admin- und System-Interface (SSL-Verschlüsselung)
Agentenzugriff und Replikationsdownloads (SSL-Verschlüsselung)Sicherheitseinstellungen
Notwendig, wenn SSL eingeschaltet ist
Inbound (Agenten und Replikations-Netzverkehr);
Outbound/NAT (verschiedene Services, incl Patching, beasiert auf der Möglichkeit der SMA vom Internet Daten zu beziehen (via HTTPS)
HTTPS
587
SMTPS Outbound Mail Relay
Helpdesk-Konfiguration/Netzwerkeinstellungen
Notwendig, um E-Mails via SMTPS zu senden
Outbound;
NAT (sollte ein Internetservice verwendet werden)
TCP
110/995
POP3/SPOP Inbound Mail
Helpdesk-Konfiguration/Netzwerkeinstellungen
Notwendig, um E-Mails via POP/SPOP zu empfangen
Outbound;
NAT (sollte ein Internetservice verwendet werden)
TCP
139/445
Zugriff auf die SMB-Shares, üblicherweise für die Agentenprovisionierung (wenn nicht WinRM genutzt wird)
Sicherheitseinstellungen
Beide Ports werden benötigt, um Agenten zu provisionieren
Bidirectional
SMB
389/636
LDAP/LDAPS
LDAP Filter / LDAP-Anmeldung
Optional
Outbound;
NAT (sollte ein Internetservice verwendet werden)
LDAP
3306
lesender Zugriff auf die Datenbank per ODBC
Sicherheitseinstellungen
Optional
Inbound
TCP
5985/5986
WinRM (HTTP/HTTPS) für die Agentenprovisionierung
Agentenprovisionierung
Optional
Outbound HTTP/HTTPS 52231
Upgrade Statusseite (nur während des Upgradevorgangs verfügbar)
Nicht einstellbar
Optional
Diese URL werden benötigt, um die vollständige Funktion der SMA/K1000 herzustellen
Sie müssen in die Whitelist mit den Ports 80 und 443 (HTTP/HTTPS) eingetragen werden:
Zweck URL Grundlegende Funktion und
WebUI_Verlinkungenservice.kace.com
servicecdn.kace.com
www.kace.com
quest.com
KACE Tether tether.kace.com KACE GO App Benachrichtigungen notify.kace.com Dell Updates ftp.dell.com
downloads.dell.com
Dell Garantiezeiträume api.dell.com Lenovo Garantiezeiträume SupportAPI.lenovo.com HP Garantiezeiträume css.api.hp.com Diese URL werden benötigt, um die Patchingfunktion der SMA/K1000 (ab 10.0.) herzustellen
Sie müssen in die Whitelist mit den Ports 80 und 443 (HTTP/HTTPS) eingetragen werden:
Herausgeber URL(s) KACE Patch Catalog cdn01.catalog.kace.com Adobe Systems, Inc. ardownload.adobe.com
armdl.adobe.com
Altova, Inc. cdn.sw.altova.com Atlassian Software Systems Ltd s3.amazonaws.com Autodesk, Inc. download.autodesk.com
knowledge.autodesk.com
up.autodesk.com
Canneverbe Limited download.cdburnerxp.se Don HO download.notepad-plus-plus.org EverNote Corporation cdn1.evernote.com Foxit Software cdn01.foxitsoftware.com GlavSoft LLC. www.tightvnc.com inkscape.org media.inkscape.org LIGHTNING UK! download.imgburn.com Microsoft Corporation b1.download.windowsupdate.com
dl.delivery.mp.microsoft.com
download.microsoft.com
download.windowsupdate.com
endpoint920510.azureedge.net
officecdn.microsoft.com
officecdn-microsoft-com.akamaized.net
Mozilla ftp.mozilla.org Mysql cdn.mysql.com Opera Software ASA ftp.opera.com Piriform Ltd download.ccleaner.com Python Software Foundation www.python.org RealVNC Ltd. www.realvnc.com Simon Tatham the.earth.li The GIMP developer community download.gimp.org VideoLAN Team download.videolan.org VMWare, Inc. download3.vmware.com win.rar GmbH www.rarlab.com Wireshark Foundation ftp.uni-kl.de
www.wireshark.org
Da das alte Patchingsystem, welches bis 9.1 verwendet wurde, seit Januar 2020 nicht mehr supported wird, wurden die alten Links entfernt.