Tanium-Netzwerkports
Für die in Tanium as a Service Verteilung erforderlichen Ports, siehe Benutzerhandbuch für Tanium as a Service: Host- und Netzwerksicherheitsanforderungen.
Die Anforderungen an den Netzwerkport für Server der Tanium Core Platform hängen davon ab, ob Sie eine Tanium Appliance oder eine Windows-Verteilung haben. Der Tanium Client hat seine eigenen Port Anforderungen. Details zu den Anforderungen für jeden Port finden Sie unter Details zur Verwendung des Tanium Core Platform-Ports.
Konfigurieren Sie Firewall-Richtlinien, um Ports für Tanium-Datenverkehr mit TCP-basierten Regeln anstelle von anwendungsidentitätsbasierten Regeln zu öffnen. Konfigurieren Sie beispielsweise auf einer Palo Alto Networks-Firewall die Regeln mit Serviceobjekten oder Servicegruppen anstelle von Anwendungsobjekten oder Anwendungsgruppen.
Modul- und servicespezifische Port-Anforderungen
Klicken Sie auf die folgenden Links, um auf die zugehörigen Benutzerhandbücher zuzugreifen, um zusätzliche Port-Anforderungen anzuzeigen, die spezifisch für Tanium™-Module und Shared Services sind:
- Asset
- Client Management
- Comply: Keine zusätzlichen Port-Anforderungen
- Connect
- Deploy
- Direct Connect
- Discover
- Endpunkt-Konfiguration
- Endbenutzerbenachrichtigung
- Enforce
- Gesundheitsüberprüfung
- Impact
- IR
- Integrity Monitor: Keine zusätzlichen Port-Anforderungen
- Interact: Keine zusätzlichen Port-Anforderungen
- Map: Keine zusätzlichen Port-Anforderungen
- Netzwerkquarantäne
- Patch: Keine zusätzlichen Port-Anforderungen
- Performance
- Protect: Keine zusätzlichen Port-Anforderungen
- Reputation
- Reveal
- Threat Response
- Trends
Tanium Appliance
Die folgende Tabelle fasst die Tanium-Prozesse und Standardwerte für Ports zusammen, die bei der Kommunikation mit der Tanium Core Platform verwendet werden:
Die Installation und Verwaltung der Tanium Appliance erfordert die Kommunikation über gemeinsame Netzwerkservice-Ports. Die folgende Tabelle listet die Standardports für diese Dienste:
| Dienste | Eingehender Port | Zielport |
|---|---|---|
| DNS | 53/tcp, 53/udp | |
| ESP (IPSec für Cluster) | 50/ip | 50/ip |
| IKE (IPSec für Cluster) | 500/udp, 4500/udp | 500/udp, 4500/udp |
| LDAP (optional) | 389/tcp, 636/tcp | |
| NTP | 123/udp | |
| SSH, SCP, SFTP | 22/tcp1 | 22/tcp1 |
| SNMP (optional) | 161/udp | |
| Syslog (optional) | 514/udp, 514/tcp | |
| iDrac (empfohlen) | 443/tcp2, 5900/tcp2 | |
|
1 Zusätzlich zum Fernzugriff auf die Geräte wird Port 22 für einen sicheren Kommunikationskanal zwischen den Geräten verwendet. 2 Diese Ports müssen nur für die IP-Adresse des dedizierten iDRAC-Ports geöffnet sein (falls zutreffend). Der IDrac-Port verfügt über eine IP-Adresse, die sich von den TanOS-Netzwerkschnittstellen unterscheidet. Siehe Bereitstellungshandbuch für Tanium Appliance: Konfigurieren Sie die iDRAC-Schnittstelle. |
||
Die folgende Abbildung zeigt, wie die Tanium Core Platform Ports in einer aktiv-aktiv-Verteilung mit Appliance-Infrastruktur verwendet.
Windows
Die folgende Tabelle fasst die Tanium-Prozesse und Standardwerte für Ports zusammen, die bei der Kommunikation mit der Tanium Core Platform verwendet werden.
| Komponente | Prozess | Eingehender Port | Zielport |
|---|---|---|---|
| Tanium Server | TaniumReceiver.exe | 443, 17472 | 80, 443 (aktiv-aktiv), 1433 oder 5432, 17472 (aktiv-aktiv), 17477 |
| SQL Server oder PostgreSQL-Server | Sqlservr.exe oder postgres.exe | 1433 oder 5432 | |
| Tanium-Modulserver | TaniumModuleServer.exe | 17477 | 80, 443 |
| Tanium Zonenserver | TaniumZonenserver.exe | *17472 | |
| Tanium Zone Server-Hub | TaniumZonenserver.exe | *17472 | |
| Tanium Client | TaniumClient.exe | 17472 | *17472 |
| Als bewährtes Verfahren zur Verbesserung der Sicherheit des Zonenservers sollten Sie separate Ports für Datenverkehr von Zonenserver-Hubs und Tanium Clients konfigurieren. Für die Schritte siehe Handbuch für die Bereitstellung der Tanium Core Platform unter Windows: Konfiguration von Ports für Datenverkehr von Zonenserver-Hubs und Tanium Clients. | |||
Die folgende Abbildung zeigt, wie die Tanium Core Platform Ports in einer aktiv-aktiv-Verteilung mit Windows-Infrastruktur verwendet:
Tanium Client
Sie können das Tanium™ Client Management-Modul verwenden, um eine Version des Tanium Clients zu verteilen. Für die Ports, die Client Management für die Kommunikation benötigt, siehe Benutzerhandbuch für Tanium Client Management: Netzwerkverbindung, Ports und Firewalls.
Details zur Verwendung des Tanium Core Platform-Ports
In den folgenden Abschnitten werden Details zu Ports aufgeführt, die von den Komponenten der Tanium Core Platform verwendet werden, und die Standardports angegeben.
Um die Standard-Ports für Plattformserver zu ändern, siehe Einstellungen für Tanium Core Platform-Server. Um die Standard-Ports für Tanium Clients zu ändern, siehe Benutzerhandbuch für Tanium Client Management: Netzwerkverbindung, Ports und Firewalls.
Tanium Server
Der Tanium Server fungiert als zentraler Kommunikationshub in der Tanium-Umgebung. Der Server empfängt Datenverkehr, den Tanium Clients und die Tanium Console initiieren. Der Server initiiert Verbindungen zum Tanium-Datenbankserver sowie alle Zonenserver.
Eingehend (Tanium Client an Tanium Server)
Regelzusammenfassung
Datenverkehr an TCP-Port 17472 am Tanium Server von jedem Endpunkt aus zulassen, der im internen Netzwerk verwaltet werden soll.
Details
Der Kommunikationsfluss zwischen den Tanium Clients und dem Tanium Server ist nicht intuitiv. Wenn Sie z. B. eine Frage über die Tanium Console stellen, könnte die Intuition vermuten, dass es der Server ist, der Verbindungen zum Abfragen der Clients initiiert. In der Tanium-Plattform sind jedoch spezielle Kunden, die als Anführer bekannt sind, die einzigen, die Verbindungen zum Tanium Server herstellen.
Darüber hinaus initiieren alle Tanium Clients Verbindungen, wenn sie sich registrieren. Während der Registrierung meldet der Tanium Client Informationen über sich selbst und sammelt Konfigurationsaktualisierungen, einschließlich Änderungen an Peer-Listen.
Eingehend (Tanium Console)
Regelzusammenfassung
Zulassen von Datenverkehr von vertrauenswürdigen Hosts (wie z. B. eine Managementsubnetzadresse) zu TCP-Port 443 auf dem Tanium Server.
Details
Aus Sicherheitsgründen ist die TCP- und SOAP-Kommunikation zum Tanium Server TLS-verschlüsselt. Daher konfiguriert das Tanium Server-Installationsprogramm den Server so, dass er TCP- und SOAP-Anforderungen auf Port 443 lauscht. Wenn eine andere installierte Anwendung auf Port 443 lauscht, können Sie einen anderen Port festlegen.
Ausgehend (Tanium Server an Datenbankserver)
Regelzusammenfassung
Datenverkehr vom Tanium Server auf Port 1433 oder 5432 (TCP) zum Datenbankserver zulassen.
Details
Der Tanium Server initiiert Verbindungen zum Datenbankserver auf Port 1433 (SQL Server) oder 5432 (PostgreSQL).
Ausgehend (Tanium Server an Modulserver)
Regelzusammenfassung
Datenverkehr vom Tanium Server zum TCP-Port 17477 auf dem Modulserver zulassen.
Details
Der Tanium Server initiiert Verbindungen zum Modulserver auf Port 17477.
Ausgehend (Tanium Server an Internet)
Regelzusammenfassung
Datenverkehr vom Tanium Server an die Zielports 80 und 443 (TCP) im Internet zulassen.
Die Verwendung von Port 443 ist eine bewährte Sicherheitspraxis, da der Datenverkehr auf diesem Port über das Protokoll Hypertext Transfer Protocol Secure (HTTPS) verschlüsselt wird.
Details
Der Tanium Server baut Verbindungen zu https://content.tanium.com und http://*.digicert.com auf, wenn er Aktualisierungen für Komponenten und Module der Tanium Core Platform importiert. Der Server kann für andere Operationen auch Verbindungen zu anderen Internetseiten aufbauen, z. B. zu https://update.microsoft.com.
Eingehend/Ausgehend (aktiv-aktiv-Verteilung)
Regelzusammenfassung
Datenverkehr an und von den Tanium Servern in active-active Clustern auf TCP-Port 17472 zulassen.
Details
Jedes Clustermitglied kann eine Verbindung zum anderen Mitglied einleiten. Paketdateien, die an ein Mitglied hochgeladen werden, werden mit dem anderen Clustermitglieder synchronisiert. Darüber hinaus gibt jedes Mitglied die Nachrichten von Tanium (z. B. Antworten auf Fragen) an das andere Clustermitglied weiter.
Tanium-Modulserver
Eingehend (Tanium Server an Modulserver)
Regelzusammenfassung
Datenverkehr vom Tanium Server zum TCP-Port 17477 auf dem Modulserver zulassen.
Details
Überprüfen Sie die Dokumentation für die speziellen Tanium-Module, die Sie verwenden möchten, um zu sehen, ob sie zusätzliche eingehende Ports benötigen :siehe Modul- und servicespezifische Port-Anforderungen.
Ausgehend (Modulserver an Internet)
Regelzusammenfassung
Datenverkehr vom Modulserver an Zielports 80 und 443 (TCP) im Internet zulassen.
Die Verwendung von Port 443 ist eine bewährte Sicherheitspraxis, da der Datenverkehr auf diesem Port über das HTTPS-Protokoll verschlüsselt wird.
Details
Der Modulserver startet keine Verbindungen. Wenn jedoch ein Modul importiert wird, muss der Modulserver möglicherweise mit Tanium und anderen Internet-Standorten verbunden werden, um die erforderlichen Inhalte herunterzuladen, und die installierten Modul-Dienste können Verbindungen einleiten. Überprüfen Sie die Dokumentation für die speziellen Module, die Sie verwenden möchten, um zu sehen, ob sie zusätzliche ausgehende Ports benötigen: siehe Modul- und servicespezifische Port-Anforderungen.
Ausgehend (Moduldienste an Tanium Server)
Regelzusammenfassung
Datenverkehr zum Modulserver-Port 443 (TCP) vom Modulserver auf dem Tanium Server zulassen.
Details
Der Modulserver startet keine Verbindungen. Ein Modul kann jedoch eine Verbindung zum Tanium Server einleiten.
Tanium Zone Server-Hub
Ausgehend (Tanium Zone Server-Hub an Zonenserver)
Regelzusammenfassung
Erlauben Sie Datenverkehr vom Zonenserver Hub zum Ziel-TCP-Port 17472 auf DMZ-Computern, die die Zonenserver hosten. In einer Appliance-Verteilung wird der Hub immer auf der Tanium Server Appliance installiert. In einer Windows-Verteilung wird der Hub normalerweise auf dem Tanium Server-Host installiert, kann aber auch auf einem dedizierten Host installiert werden.
Details
Wenn Sie den Zonenserver als Proxy für Datenverkehr von verwalteten Endpunkten in weniger vertrauenswürdigen Netzwerksegmenten zum Tanium Server im Kernnetzwerk verwenden, muss der Zonenserver-Hub eine Verbindung mit den Zonenservern in der DMZ herstellen können. In der Tanium Core Platform 7.3 oder älter identifiziert die Konfigurationsdatei ZonenserverList.txt im Hub-Installationsordner die Adressen der Ziel-Zonenserver. In späteren Versionen bestimmen die Hub-zu-Zonenserver-Zuordnungen die Zielzonenserver: siehe Benutzerhandbuch zur Tanium Console: Zonenserver und Hubs verwalten.
Tanium Zone Server
Eingehend (Tanium Client an Zonenserver)
Regelzusammenfassung
Datenverkehr von jedem Computer im Internet auf TCP-Port 17472 auf dem Zonenserver in der DMZ zulassen.
Details
Tanium Clients initiieren Verbindungen zu einem Zonenserver, als ob es sich um einen Tanium Server handelte.
Eingehend (Tanium Zone Server-Hub an Zonenserver)
Regelzusammenfassung
Erlauben Sie Datenverkehr vom Zonenserver-Hub zum TCP-Port 17472 auf den Zonenservern im DMZ. In einer Appliance-Verteilung wird der Hub immer auf der Tanium Server Appliance installiert. In einer Windows-Verteilung wird der Hub normalerweise auf dem Tanium Server-Host installiert, kann aber auch auf einem dedizierten Host installiert werden.
Details
Wenn Sie den Tanium Zonenserver als Proxy für Datenverkehr von verwalteten Endpunkten in weniger vertrauenswürdigen Netzwerksegmenten zum Tanium Server im Kernnetzwerk verwenden, muss der Tanium Zone Server-Hub eine Verbindung mit den Zonenservern in der DMZ herstellen können.
Tanium Client
Eingehend/Ausgehend (Tanium Client an Client)
Regelzusammenfassung
Datenverkehr an und von Tanium Client-Peers auf den TCP-Überwachungsport 17472 zulassen.
Details
Zusätzlich zur Client-to-Server-TCP-Kommunikation, die auf Port 17472 stattfindet, kommunizieren die Tanium Clients auch mit Peers auf Port 17472. Die Standardeinstellungen für Client-Peering stellen sicher, dass Clients lineare Ketten nur innerhalb der Grenzen von lokalen Netzwerken (LANs) bilden. Daher müssen Sie eine bidirektionale TCP-Kommunikation auf dem Überwachungsport zwischen Clients ermöglichen, die sich im gleichen LAN befinden, aber nicht unbedingt zwischen allen Clients in Ihrem Unternehmens-WAN. Für Details zu Client Peering-Einstellungen, siehe Benutzerhandbuch für Tanium Client Management: Konfigurieren von Tanium Client-Peering.
Ausgehend (Tanium Client an Zonenserver)
Regelzusammenfassung
Datenverkehr von jedem Endpunkt im Internet auf TCP-Port 17472 auf dem Zonenserver in der DMZ zulassen.
Details
In Verteilungen mit einem Zonenserver kann sich ein Tanium Client mit einem Zonenserver anstatt mit einem Tanium Server verbinden. Die Kommunikationsanforderungen für diese Clients sind identisch mit den Anforderungen für Kommunikation von Tanium Server zu Tanium Client.
Zuletzt aktualisiert: 20.09.202115:58 | Feedback
