2.2. Firewall-Einstellungen

Für den Betrieb einer oder mehrerer Appliances mit den Standardeinstellungen sind die nachfolgenden Einstellungen an der eigenen Firewall vorzunehmen. Sofern ausgehende Verbindungen im eigenen Netzwerk geblockt werden, müssen diese ebenfalls erlaubt werden:
Port
Protokoll
Richtung
Ziel
Quelle
Port
Benötigt für
9000 TCP Eingehend Master
9000 GREYHOUND Client
9001 TCP Eingehend Master
9001 GREYHOUND Control (Appliance Fernkontrolle)
9002 TCP Eingehend Slave
9001 GREYHOUND Control (Appliance Fernkontrolle)
33891 TCP
UDP
Eingehend Master
3389 Appliance RDP Fernwartung
(Bitte nachfolgenden Sicherheitshinweis beachten)
33892 TCP
UDP
Eingehend Slave
3389 Appliance RDP Fernwartung
(Bitte nachfolgenden Sicherheitshinweis beachten))
443 TCP Eingehend Master
443 Connect Addons, Webchat, GREYHOUND Share
465 TCP Eingehend Master
465 Mobiler Nachrichtenzugriff, SMTP-Relay
995 TCP Eingehend Master
995 Mobiler Nachrichtenzugriff
9995 TCP Eingehend Master
9995 GREYHOUND Faxdienst







80 TCP Ausgehend 91.190.150.243, 87.106.236.3 Master
Slave
80 GREYHOUND Lizenzprüfung
443 TCP Ausgehend 91.190.150.243, 87.106.236.3 Master
Slave
443 Virensignatur-Updates
465 TCP Ausgehend
Master
Slave
465 Überwachungs-Reporting
587 TCP Ausgehend
Master
Slave
587 Backup-Reporting
9465 TCP Ausgehend
Master
Slave
9465 GREYHOUND Faxdienst
  • Bei Nutzung der GREYHOUND ONE müssen alle grün markierten Ports freigegeben werden.

  • Bei Nutzung der GREYHOUND TWO müssen zusätzlich die orange markierten Ports für das Replikationssystem freigegeben werden.

  • Bei fett markierten Ports sind die Quell- und die Zielports unterschiedlich.

Wichtiger SICHERHEITSHINWEIS

Wir empfehlen dringend den oben genannten RDP-Zugriff auf unsere beiden RDP-Gateway-Adressen, 178.77.65.22 sowie 5.175.16.235 einzuschränken. Damit wird sichergestellt, dass nur wir RDP-Zugriff auf die Geräte haben. Alle übrigen Verbindungen sollten von allen IP-Adressen erreichbar sein. (Mehr Infos)

TIPP

Wenn GREYHOUND sowohl im eigenen Netzwerk als auch viel von unterwegs genutzt wird, so kann die Appliance optional über einen eigenen Hostnamen wie beispielsweise greyhound.meinefirma.de erreichbar gemacht werden. Dazu sind Einträge in der eigenen Domain (A-Record beziehungsweise CNAME-Record) sowie im eigenen, lokalen DNS-Server notwendig.

Häufig haben Kunden oder deren IT-Dienstleister Bedenken, wenn es darum geht, Ports in der Firewall freizugeben. Grundsätzlich ist dem nicht entgegen zu setzen, wenn mit Bedacht das Sicherheitsrisiko abgewägt wird. Daher arbeiten alle Dienste auf der Appliance in der Standardkonfiguration ausschließlich mit verschlüsslten Protokollen, jeweils mit dem höchsten, aktuell nutzbaren Sicherheitsprotokoll.
GREYHOUND sowie die hausinterne Fernwartungssoftware kommunizieren über ein hoch verschlüsseltes, propertiäres Binärprotokoll. Neben der grundsätzlichen Sicherheit dieser Verschlüsselung sorgt die Tatsache, dass es sich hier um ein Binärprotokoll handelt, für weitere Sicherheit. Ein potenzieller Angreifer müsste schon einiges an Aufwand betreiben, um eventuell abgegriffene Daten lesbar zu machen. Bis heute ist nicht ein einziger Fall bekannt, bei dem ein GREYHOUND Server auch nur ansatzweise über dieses Protokoll kompromittiert wurde.
Die Authentifizierung bei den Nachrichten-Transport-Protokollen POP3s und SMTPs wird stets mit den weltweit als sicher geltenden Verschlüsselungsmethoden (SSL/TLS) verschlüsselt. Die gleiche Verschlüsselung kommt beim Datentransport via HTTPs zum Einsatz - so wie bei Banken und Webshops im Übrigen auch.
Das Remote Desktop Protokoll (RDP) von Microsoft ist das wohl am häufigsten eingesetzte Werkzeug für die Fernwartung von Windows Servern. Die maximale Sicherheit des RDP-Zugriffs wird durch das Einspielen der aktuellsten Windows-Sicherheits-Updates und -Patches gewährleistet. Um diese Sicherheit weiter zu erhöhen, verwenden wir für den Zugriff auf die Appliance zusätzlich ein sogenanntes RDP-Gateway, bei welchem sich jeder GREYHOUND Mitarbeiter explizit zweifach authentifizieren muss, um auf die gewünschte Appliance zuzugreifen. Diese Sicherheit kann bei den Appliances zudem nochmals erhöht werden, wenn der Zugriff in der eigenen Firewall auf lediglich zwei IP-Adressen eingeschränkt werden (siehe SICHERHEITSHINWEISE oben).
Die Freigabe der Ports auf Zuruf, also quasi nur im Problemfall, hat sich in der Praxis als völlig ungeeignet erwiesen. Zum einen tauchen Probleme meist zu den unpassendsten Zeiten auf, zum anderen nimmt es uns die Möglichkeit, proaktiv Probleme anzugehen, bevor der Kunde in der Arbeit beeinträchtigt wird.
Fazit: Die GREYHOUND Appliance benötigt prinzipbedingt von außen erreichbare Dienste. Ohne diese wäre GREYHOUND zum einen im eigenen Haus nicht nutzbar, zum anderen könnte die Appliance auch nicht von uns administriert werden. Beides ist jedoch bei der Entscheidung für die Appliance gewünscht. Die Port-Anpassungen sind demnach für das gewünschte Rundum-Sorglos-Erlebnis unumgänglich.