¿Cuales puertos de red y direcciones URL se requieren para el que el dispositivo KACE SMA funcione adecuadamente? (4211365)

¿Cuales puertos de red y direcciones URL se requieren para el que el dispositivo KACE SMA funcione adecuadamente?

La siguiente tabla describe el tráfico esperado de K1000 (SMA) (entrante, saliente, bidireccional) en la NIC (tarjeta de red). Esto es para describir el comportamiento de la red interna. Todos los puertos de salida que requieren acceso a Internet están etiquetados como 'NAT' en la columna Dirección. Algunas configuraciones únicas, como permitir el ingreso SMTP directamente al SMA, requerirán una ligera desviación y configuración personalizada fuera de los límites de esta lista. En caso de duda, comuníquese con el soporte de KACE para obtener una aclaración.

Para mas informacion sobre este tema, por favor vea la:  KACE-SMA Course 1 Installing the KACE SMA-Web-based Training

Nota: Este curso esta solo disponible en ingles.

El proceso de actualización y parcheo de Quest para KACE® System Management Appliances (SMA) incluye varias características de seguridad. Por ejemplo, las transmisiones de parches y metadatos de actualización de Quest para el SMA están cifradas. Sumas de comprobación (checksums) son utilizadas para validar la integridad de las cargas útiles (payloads) de parches en el SMA. Y el directorio donde residen las cargas útiles (payloads) de los parches del SMA está controlado por permisos para prevenir la manipulación por parte del usuario

La mejor práctica de seguridad es evitar exponer el KACE SMA a Internet. Si el KACE SMA está orientado a Internet / público, solo se debe permitir el tráfico del puerto 443 (HTTPS) de entrada a través del firewall al SMA para el acceso de interface Web y el tráfico de comunicación del agente. Se recomienda encarecidamente SSL, aunque es posible continuar permitiendo el tráfico HTTP (puerto 80) entrante para la interfaz de usuario. La interfaz de usuario (UI) se puede bloquear aún más mediante la funcionalidad de la Lista de control de acceso, ubicado en Ajustes seguido por Panel de Control (Utilice la consola de administrador).

 

Puerto	Propósito	Configurar en:	Opcional / Requerido	Dirección	Protocolo
20 and 21	Acssesos a archivos de respaldo (backup files) via FTP	Ajustes de seguridad	Opcional	Entrada	FTP
22	SSH para Tether - Soporte KACE	Ajustes de seguridad	Opcional	Salida / NAT	SSH
25	SMTP	Mesa de servicio Cola Configuración del correo electrónico / Ajustes de redes	Opcional	Bidireccional	TCP
80	Portal Usuario/Administrador/Sistema (no -SSL); Agente/Replicacion (no-SSL)	Ajustes de seguridad	Requerido para trafico Interface/Agente si SSL no esta activado; se recomienda el uso de SSL; el puerto es aun requerido para comunicaciones salientes/NAT del KACE SMA	Entrada (non-SSL); Salida/NAT (KACE SMA requiere HTTP para actividades de sincronizacion de parches)	HTTP
161	Monitoreo SNMP	Ajustes de seguridad	Opcional	Entrada	UDP
443	SSL - Portal de Usuario / Administrador / Sistema; Agente/Replicacion	Ajustes de seguridad	Requerido si SSL esta habilitado	Entrada (Agente / Trafico de replicacion); Salida/NAT (Varios servicios, incluye parcheo, depende para el KACE SMA pueda descargar contenido de internet via HTTPS	HTTPS
587	SMTPS correo saliente	Mesa de servicio Cola Configuración del correo electrónico / Ajustes de redes	Requerido para correos enviados vis SMTPS	Salida; NAT (si utiliza servicio en la nube)	TCP
110/995	POP3/SPOP Correo entrante	Mesa de servicio Cola Configuración del correo electrónico / Ajustes de redes	Requerido para la recepcion de correos via POP/SPOP	Salida; NAT (si utiliza servicio en la nube)	TCP
139/445	Acceso a folder Samba, tipicamente usado para aprovisionamiento del agente (metodo no-WinRM)	Ajustes de seguridad	Ambos puertos son requeridos para aprovisionamiento del agente	Bidireccional	SMB
389/636	LDAP/LDAPS	Etiquetas LDAP / Autenticacion LDAP	Opcional	Salida ; NAT (si utiliza servicio en la nube)	LDAP
3306	Acceso remoto (solo lectura) a la base de datos de KACE SMA	Ajustes de seguridad	Opcional	Entrada	TCP
5985/5986	WinRM (HTTP/HTTPS) utilizado para aprovisionamiento del agente	Aprovisionamiento	Opcional	Salida	HTTP/HTTPS
52231	Página de estado de la actualización (servidor web temporal durante la actualización)	No configurable	Opcional	Entrada	HTTP/HTTPS

 

URL necesarias para la funcionalidad adecuada de K1000

A continuación se muestran las URL utilizadas para actualizar las listas de parches, las actualizaciones de software de K1000, OVAL, SCAP, la garantía de Dell y las actualizaciones de Dell. Por favor haga una lista blanca en su firewall para puertos 80 y 443 (HTTP/HTTPS):

Para funcionabilidades basicas del SMA (K1000) (requerido), esto incluye las siguientes URLs:

• service.kace.com
• servicecdn.kace.com
• www.kace.com
• www.appdeploy.com
• notify.kace.com - Para notificationes de KACE Go App
• api.dib.quest.com - For Dell Identity Broker Obsoleto

Para la funcionabilidad de parches de K1000, esto incluye las siguientes URLs:

• kace.cdn.lumension.com
• kace.cdn.heatsoftware.com
• cache.patchlinksecure.net
• cache.lumension.com
• leic.lumension.com
• novell.cdn.heatsoftware.com

Para la funcionabilidad de Actualizaciones de Dell, esto incluye las siguientes URLs:

• quest.com
• ftp.dell.com
• downloads.dell.com
• api.dell.com

Para contenido de Microsoft, esto incluye las siguientes URLs:

• go.microsoft.com
• download.windowsupdate.com
• www.download.windowsupdate.com
• download.skype.com
• download.microsoft.com
• wsus.ds.download.windowsupdate.com
• download.visualstudio.microsoft.com

Para contenido de aplicaciones Adobe, esto incluye las siguientes URLs:

• ardownload.adobe.com
• armdl.adobe.com
• download.adobe.com
• ftp.adobe.com
• swupdl.adobe.com
• www.adobe.com

Para Mozilla Firefox, esto incluye la siguiente URL:

• ftp.mozilla.org

Para Mysql, esto incluye la siguiente URL:

• cdn.mysql.com

Para Ultra VNC, esto incluye la siguiente URL:

• support1.uvnc.com

Para 7-Zip, esto incluye la siguiente URL:

• downloads.sourceforge.net

Para VideoLAN VLC, esto incluye la siguiente URL:

• download.videolan.org