Cette rubrique décrit les configurations de pare-feu nécessaires pour permettre à votre trafic interne et externe de communiquer avec MOVEit Transfer. MOVEit Transfer a été conçu pour être disponible et sécurisé sur les segments DMZ exposés à Internet.

MOVEit Transfer présente des serveurs de protocoles (tels que HTTPS, FTPS et SFTP) auxquels se connectent les clients utilisant les mêmes protocoles. Il peut également exiger la disponibilité de services tels que SMTP (pour les notifications par e-mail) et LDAP (si une authentification externe est utilisée), ainsi que sa base de données MFT et son magasin de fichiers (qui sont généralement exécutés sur un hôte distinct).

Configuration des ports et des plages de ports de MOVEit Transfer

MOVEit Transfer ne communique que sur les ports désignés par sa configuration. Ces ports sont contrôlés par l'utilitaire de configuration de MOVEit Transfer. La plupart des pare-feu autorisent le trafic sortant des hôtes situés derrière le pare-feu tout en limitant le trafic provenant du « monde extérieur » (cela inclut le saut entre les pare-feu de votre entreprise et du réseau étendu ou ce que l'on appelle communément la DMZ, le réseau métropolitain de votre FAI au-delà, et au-delà l'ensemble de l'Internet des périphériques joignables).

Conseil : Si vous utilisez MOVEit Transfer pour la première fois ou si vous n'êtes pas sûr des ports que MOVEit Transfer utilise actuellement ou sur lesquels il prévoit du trafic, vous pouvez consulter l'utilitaire de configuration de MOVEit Transfer. Vous pouvez également valider ces paramètres à l'aide d'outils d'analyse de ports tels que nmap.

Aperçu du trafic du protocole

HTTP sur TLS (« HTTPS »), FTP sur TLS (également appelé « FTPS ») et/ou le protocole de transfert de fichiers sécurisé (SFTP) sont utilisés pour communiquer avec MOVEit Transfer. MOVEit Transfer doit également accéder à vos services SMTP (Simple Mail Transfer Protocol) (serveur d'e-mail utilisé pour les notifications).

Contexte

FTPS utilise différents ports (en fait deux canaux), l'un pour le contrôle et l'autre pour les données. FTPS utilise des ports logiques pour les messages de contrôle (un port utilisé pour envoyer des commandes de session FTP) et d'autres ports logiques pour les données (un canal différent pour envoyer des portions entières ou en morceaux du dossier ou des fichiers). Cette distinction est importante car, pour des protocoles comme FTPS, elle peut signifier l'application de règles de pare-feu entrants pour permettre le passage des commandes de contrôle et du flux de données en morceaux. La direction est également importante, car les pare-feu sont censés permettre le trafic sortant et restreindre les connexions entrantes.

SFTP utilise un seul port pour les messages de contrôle et les données.

Les services HTTP non sécurisés sont facultatifs et non recommandés. En cas d'activation de services non sécurisés, MOVEit redirige les utilisateurs vers les services sécurisés. (IIS ne redirige pas les utilisateurs.)

Il est important de comprendre que les règles du pare-feu sont directionnelles. En d'autres termes, elles contrôlent l'accès aux services en fonction de la position de l'expéditeur/du destinataire par rapport au réseau de l'entreprise. Le trafic sortant d'un réseau local n'est normalement pas limité (C'est évident lorsque vous connectez par hasard votre navigateur Web à un serveur de commerce électronique, par exemple.). Cependant, le trafic destiné à votre réseau local d'entreprise depuis Internet est limité et encadré par des règles et des politiques visant à protéger les actifs de votre réseau. Notez ensuite la distinction entre le trafic et les connexions initiés en interne (à partir du réseau local de l'entreprise) et le trafic initié à partir d'Internet (à partir du réseau d'un partenaire commercial, d'un réseau mobile, etc.)

Important : Les règles qui suivent supposent que vous utilisez MOVEit Transfer sans MOVEit Gateway. La passerelle MOVEit sert de proxy de confiance à MOVEit Transfer. Si vous utilisez MOVEit Gateway, consultez le Guide de l'administrateur de MOVEit Gateway pour obtenir des détails spécifiques sur le déploiement.

Ports, règles et protocoles de transfert

Le diagramme qui suit utilise les conventions suivantes :

  • Les FLÈCHES VERTES indiquent des services Web (HTTP/S).
  • Les FLÈCHES BLEU CIEL indiquent des services FTP sur le protocole TLS (FTPS).
  • Les FLÈCHES BLEUES indiquent le protocole SSH (utilisé par SFTP).
  • Les FLÈCHES GRISES indiquent d'autres protocoles (SMTP, RADIUS, LDAP).
Remarque : L'infographie suivante présente LDAP et SMTP sur un réseau local d'entreprise. Si vous utilisez des services disponibles dans le nuage, comme O365, LDAP et SMTP seraient alors positionnés du côté d'Internet.

Serveur MOVEit Transfer positionné sur la DMZ entre un pare-feu d'entreprise et un pare-feu de passerelle WAN

Refuser toutes les règles

Pour empêcher le trafic extérieur de se connecter à MOVEit Transfer sans autorisation, utilisez la règle suivante :

OBLIGATOIRE : Refuser (TOUTES LES CONNEXIONS) à MOVEit Transfer

Pour empêcher MOVEit Transfer de se connecter sans autorisation à des ordinateurs externes, utilisez la règle suivante :

OBLIGATOIRE : Refuser MOVEit Transfer à (TOUTES LES CONNEXIONS)

Selon les services que vous choisissez d'exécuter sur MOVEit Transfer, vous devez ouvrir un ou plusieurs ports. Les critères et détails sont répertoriés ci-dessous.

Navigateurs Web à distance (HTTPS)

En règle générale, MOVEit Transfer écoute les connexions Web NON SÉCURISÉES sur le port TCP 80 et les connexions Web SÉCURISÉES sur le port TCP 443. Les utilisateurs distants DOIVENT être en mesure de se connecter au port sécurisé (443) à partir d'adresses distantes. Vous pouvez également laisser le port 80 ouvert si vous souhaitez que MOVEit Transfer redirige automatiquement les utilisateurs qui se connectent au port non sécurisé vers le port sécurisé (facultatif).

  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 443)
  • Facultatif (et non recommandé) : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 80)
Remarque : Le client MOVEit Mobile utilise HTTPS (port 443).

Clients FTP sur SSH (SFTP) sécurisés distants

MOVEit Transfer utilise un tunnel SSH à un port pour prendre en charge les clients FTP sur SSH. L'utilisation d'un seul tunnel SSH présente l'avantage suivant par rapport aux nombreux flux de données cryptés utilisés par le protocole FTP sur SSL : le nombre de ports à ouvrir sur le pare-feu est moins important. (FTP sur SSH est un protocole de transfert sécurisé à un seul port.) Le port généralement utilisé par SSH est le port TCP 22.

OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 22)

Clients FTP TLS sécurisés distants (FTPS)

Si le FTP de MOVEit Transfer doit prendre en charge des clients via Internet, PSC vous recommande fortement de DEMANDER DES TRANSFERTS FTP EN MODE PASSIF et de BLOQUER LES PORTS DE DONNÉES PASSIFS SUR UNE PLAGE RÉDUITE sur le FTP de MOVEit Transfer.

Remarque : En règle générale, il ne suffit pas de spécifier le FTP sur votre pare-feu pour sécuriser totalement le FTP (sauf si le client et le serveur utilisent l'option CCC). Les pare-feu qui prennent en charge le FTP recherchent le terme « PORT » dans les canaux de données et ouvrent des failles temporaires pour les communications sur les ports désignés entre les deux machines, des deux côtés du canal de données. Cependant, les canaux de données sécurisés sont cryptés, ce qui signifie que le pare-feu ne peut pas ouvrir de ports temporaires.

Les connexions FTPS en mode explicite sont établies au niveau du port TCP 21.

Les connexions de type FTPS en mode implicite sont établies au niveau du port TCP 990.

Si vous utilisez FTPS sur votre système MOVEit Transfer, il est FORTEMENT RECOMMANDÉ de le configurer pour utiliser les modes explicite et implicite (pour une plus grande compatibilité avec le client), le mode passif (pour permettre au serveur de choisir et de notifier au client un port à utiliser), et pour utiliser une gamme restreinte de ports.

FTP passif (mode restreint) - Recommandé

Le FTP passif simplifie la configuration du côté client. Il permet au serveur MOVEit Transfer et à tout client d'utiliser des ports de contrôle typiques pour FTP et permet au client d'initier des connexions de données sortantes avec le serveur.

  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 21)
  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 990)
  • OBLIGATOIRE : Autoriser TCP (distant) (n'importe quel port) à MOVEitDMZ Ports-3000_3100 (à la discrétion de l'administrateur)

En règle générale, MOVEit Transfer écoute les connexions de contrôle du FTP SÉCURISÉ sur le port TCP 21 (990 si le mode implicite est utilisé). En mode passif restreint, MOVEit Transfer écoute les connexions de données FTP SECURE sur une plage configurable de ports élevés TCP contigus (par exemple, 3000-3100,) qu'il spécifie pour le canal de données d'une session client particulière. Étant donné que MOVEit Transfer utilise le canal de contrôle pour transmettre le port de données logique qu'il s'attend à ce que le client utilise, rien d'autre ne doit être configuré du côté du client que de spécifier les transferts en mode passif.

Si vous choisissez cette option, la plage de ports de données utilisée pour MOVEit Transfer doit être accessible. Ces ports entrants doivent être laissés ouverts afin de garantir une communication correcte.

Utilisation de certificats clients (ports de contrôle supplémentaires nécessaires)

MOVEit Transfer s'attend à ce que les clients FTPS utilisant des certificats clients ciblent des ports de contrôle différents.

Si vous utilisez MOVEit Transfer FTPS (FTP/TLS) avec des certificats clients, MOVEit Transfer s'attend à ce que ces clients se connectent au serveur de transfert en utilisant un port de contrôle FTPS distinct. Vous devrez ouvrir une règle de pare-feu entrant pour ce port. Toutefois, dans ce scénario de certificat client, MOVEit Transfer fournit le ou les mêmes ports de données que pour les sessions FTPS ordinaires. (Aucune règle de pare-feu supplémentaire pour les ports de données n'est nécessaire.)

Par exemple, considérons le cas où des ports de contrôle explicite et de contrôle implicite sont configurés pour un serveur FTP MOVEit Transfer. MOVEit utilise les ports 21 et 990 pour gérer les messages de contrôle pour les connexions FTPS ordinaires. Pour les sessions utilisant l'authentification par certificat du client, cependant, par défaut, MOVEit Transfer s'attend à voir des messages de contrôle FTPS sur 10021 (canal explicite) et 10990 (canal implicite) pour gérer les connexions authentifiées par certificat du client.

Important : Si vous voulez exiger que certaines connexions FTPS s'authentifient avec des certificats clients alors que d'autres ne le font pas (fréquent lors des migrations), vous devez définir ces ports de contrôle supplémentaires pour autoriser l'authentification par certificat client FTPS.

Commande CCC - Plage de ports ouverts à numéro élevé : solution alternative

MOVEit Transfer prend en charge la commande FTP CCC. La commande CCC permet aux pare-feu prenant en charge le FTP de prendre en charge les commandes PORT qui sont autrement masquées par FTP sur SSL. Plus précisément, la commande CCC permet aux commandes PORT d'être reconnues par les pare-feu en faisant passer le canal de contrôle du mode crypté au mode non chiffré.

L'utilisation de la commande CCC entraîne les risques de sécurité suivants :

  • Il est possible de détecter la commande de port, désormais non chiffrée, pour établir la connexion à un serveur FTP sécurisé et soit dérober des données en prétendant être le client réel, soit créer une attaque par déni de service en empêchant le client réel de se connecter.
  • Tant que le canal de contrôle n'est pas crypté, il est possible de détecter les noms de dossiers, les noms de fichiers et les commandes personnalisées, par exemple pour la modification des mots de passe.

Le risque de sécurité associé à l'autre solution (un nombre limité de ports ouverts) est le suivant : un autre service pourrait être installé sur ce serveur et commencer à écouter sur ces ports.

FTP actif - Non recommandé

Le FTP actif n'est PAS recommandé pour les connexions Internet, car les pare-feu distants risquent de ne pas autoriser les connexions de données en mode FTP actif, en particulier si elles sont cryptées.

  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à 1 (port 21)
  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 990)
  • OBLIGATOIRE : Autoriser la connexion du TCP MOVEitDMZ (port 20) au port distant (n'importe quel port)
  • OBLIGATOIRE : Autoriser la connexion du TCP MOVEitDMZ (port 989) au port distant (n'importe quel port)

FTP passif (mode non restreint) - Non recommandé

Il n'est pas recommandé de configurer un FTP passif en mode non restreint. En effet, pour fonctionner correctement, ce mode nécessite l'ouverture de nombreux ports à numéro élevé (des milliers) sur le pare-feu.

  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 21)
  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (port 990)
  • OBLIGATOIRE : Autoriser la connexion du TCP distant (n'importe quel port) à MOVEitDMZ (ports à numéro élevé)

En règle générale, MOVEit Transfer écoute les connexions de contrôle du FTP SÉCURISÉ sur le port TCP 21 (990 si le mode implicite est utilisé). En tant que serveur FTP passif, MOVEit Transfer écoutera alors la connexion de données au FTP SÉCURISÉ sur le port TCP à numéro élevé (>1023) négocié avec le client. Ces ports doivent être laissés ouverts afin de garantir une communication correcte.

Notification par e-mail (SMTP)

Le serveur MOVEit Transfer nécessite l'utilisation d'un serveur de messagerie compatible SMTP pour envoyer des notifications par e-mail. Si les notifications de votre serveur MOVEit Transfer doivent passer par un pare-feu pour atteindre un serveur de messagerie, vous devez autoriser MOVEit Transfer à y accéder sur le port TCP sur lequel le SMTP écoute les demandes entrantes. En général, il s'agit du port 25. Si vous souhaitez avoir la possibilité de mettre des messages en file d'attente lorsque votre serveur de messagerie n'est pas fiable, si vous avez besoin de paramètres d'authentification spéciaux pour relayer des messages, ou si plus généralement vous envisagez d'envoyer plusieurs notifications simultanément, vous pouvez envisager de configurer un relais de messagerie local.

Remarque : Le serveur MOVEit Transfer n'a pas besoin d'accéder à un serveur de messagerie interne si vous pouvez le désigner à votre relais de messagerie amont (ISP).

OBLIGATOIRE : Autoriser la connexion du TCP MOVEitDMZ (ports à numéro élevé) au port 25 de (VOTRE SERVEUR DE MESSAGERIE)

Authentification à distance (RADIUS)

Si vous envisagez d'utiliser le protocole d'authentification à distance RADIUS, MOVEit Transfer doit être en mesure de communiquer via UDP avec le serveur RADIUS distant. Le port UDP généralement utilisé pour prendre en charge le protocole RADIUS est le numéro 1645, mais ce port est configurable.

FACULTATIF : Autoriser la connexion UDP MOVEitDMZ (ports à numéro élevé) au port 1645 de (VOTRE SERVEUR RADIUS)

Authentification à distance (LDAP)

Si vous envisagez d'utiliser le protocole d'authentification à distance LDAP, MOVEit Transfer doit être en mesure de communiquer via TCP avec le serveur LDAP distant. Le port TCP généralement utilisé pour prendre en charge le protocole LDAP est le numéro 389, et le port généralement utilisé pour prendre en charge le protocole LDAP sur SSL est le numéro 636, mais ces ports sont configurables. (Il est fortement recommandé d'utiliser le protocole LDAP over SSL, qui est pris en charge par la plupart des serveurs LDAP modernes. Par exemple, reportez-vous à Active Directory - SSL dans Caractéristiques et avantages - Authentification externe pour obtenir des instructions concernant l'activation de l'accès SSL sur les serveurs Active Directory LDAP.)

  • FACULTATIF : Autoriser la connexion du TCP MOVEitDMZ (ports à numéro élevé) au port 389 de (VOTRE SERVEUR LDAP)
  • FACULTATIF : Autoriser la connexion du TCP MOVEitDMZ (ports à numéro élevé) au port 63 de (VOTRE SERVEUR LDAP)

Base de données Microsoft SQL Server distante

Si MOVEit Transfer se connecte à une base de données Microsoft SQL Server distante, comme par exemple dans un parc de serveurs, le nœud MOVEit Transfer doit être en mesure de communiquer sur les ports SQL Server. Le port 1433 est le port SQL Server par défaut. Si vous avez configuré un autre port pour votre instance SQL Server, utilisez-le en lieu et place du port 1433. Vous devez ouvrir le port 1434 uniquement si vous envisagez d'exécuter SQL Server Studio ou un autre utilitaire SQL Server sur les nœuds d'application MOVEit Transfer eux-mêmes.

  • OBLIGATOIRE : Autoriser la connexion du TCP MOVEitDMZ à (votre serveur MS SQL Server) (port 1433) pour l'instance SQL Server par défaut
  • Facultatif : Autoriser la connexion du TCP MOVEitDMZ à (votre serveur MS SQL Server) (port 1434) pour la connexion SQL Admin

Parcs de serveurs MOVEit Transfer

Si des parcs de serveurs MOVEit Transfer sont utilisés, chaque nœud et le stockage de fichiers UNC (NAS, par exemple) doivent autoriser les protocoles de réseau Microsoft entre eux. Cela s'effectue généralement en ouvrant le port TCP 445 entre les différentes machines. Cependant, NE laissez PAS ce port ouvert (vers ou depuis Internet).

Service de temps

Certains sites, par exemple ceux régulés par la FDA, peuvent nécessiter la synchronisation de l'horloge disponible dans MOVEit Transfer avec une source externe connue. Les noms d'hôtes des sources de temps externes, par exemple time.nist.gov, sont répertoriés dans plusieurs listes de serveurs de temps publics.

Les services de temps (RFC 958) utilisent normalement le port UDP 123. Lorsque vous configurez des règles de pare-feu pour prendre en charge le service de temps externe, vous devez autoriser le déplacement des paquets UDP entre n'importe quel port sur MOVEit Transfer et le port UDP 123, idéalement sur un ou un petit nombre de serveurs distants. Le trafic de retour utilisant le même port UDP doit également être en mesure de retourner à votre serveur MOVEit Transfer.

Remarques :

  • Votre pare-feu doit également pouvoir agir en tant que serveur de temps. Dans ce cas, le pare-feu interroge lui-même les serveurs de temps externes au lieu d'autoriser chaque machine située derrière le pare-feu à avoir son propre temps.
  • Les serveurs qui sont membres d'un domaine sont automatiquement synchronisés avec le contrôleur de domaine, aucun serveur de temps externe n'est donc nécessaire.

Service SysLog

Si vous choisissez d'envoyer des événements d'audit à un serveur SysLog, vous devrez probablement autoriser le déplacement des paquets UDP SysLog entre votre MOVEit Transfer et le serveur SysLog sur le port UDP 514.

Service SNMP

Si vous choisissez d'envoyer des événements d'audit MOVEit Transfer à une console de gestion SNMP, vous devrez probablement autoriser le déplacement des paquets UDP SysLog entre votre MOVEit Transfer et la console de gestion SNMP sur le port UDP 161.

ODBC utilisant stunnel (obsolète)

L'ODBC via stunnel a été remplacé par la fonctionnalité de rapports personnalisés, soit via l'interface Web (Rapports - Rapports personnalisés), soit via l’API de MOVEit Transfer. Chacune de ces options vous permet d'exécuter des rapports personnalisés sur la plupart des éléments de configuration et des entrées d'audit de MOVEit Transfer, à distance et sur une connexion sécurisée.

MOVEit Freely et MOVEit Buddy

MOVEit Freely et MOVEit Buddy sont des clients FTP sécurisés. Consultez la section Clients FTP sur SSL (FTP/S) sécurisés distants ci-dessus pour obtenir les informations nécessaires sur les ports.

MOVEit Automation

MOVEit Automation communique généralement avec MOVEit Transfer via HTTPS. Consultez la section Navigateurs Web distants (HTTP/S) ci-dessus pour obtenir les informations nécessaires sur les ports.

Assistant MOVEit, MOVEit Xfer, API MOVEit Transfer ou MOVEit EZ

Les clients Assistant MOVEit, MOVEit Xfer, API MOVEit Transfer et MOVEit EZ communiquent tous avec MOVEit Transfer à l'aide de HTTPS. Consultez la section Navigateurs Web distants (HTTP/S) ci-dessus pour obtenir les informations nécessaires sur les ports.

Clients AS2

Les clients AS2 utilisent normalement le protocole HTTPS. Dans de rares cas, ils peuvent utiliser le protocole HTTP. Consultez la section Navigateurs Web distants (HTTP/S) ci-dessus pour obtenir les informations nécessaires sur les ports.

Clients AS3

Les clients AS3 sont des clients FTP sécurisés. Consultez la section Clients FTP sur SSL (FTP/S) sécurisés distants ci-dessus pour obtenir les informations nécessaires sur les ports.