ファイアウォールの設定

MOVEit Transfer ポートおよびポート範囲の設定

MOVEit Transfer は、設定で指定されたポートを介してのみ通信します。これらのポートは、MOVEit Transfer Config ユーティリティによって制御されます。ほとんどのファイアウォールは、ファイアウォールで保護されたホストからの送信トラフィックを有効にし、「ファイアウォール外」からのトラフィックを制限します (これには、企業ファイアウォールと WAN ファイアウォールの間 (一般的に DMZ と呼ばれる)、さらに ISP の大都市圏ネットワーク、またさらにインターネットでアクセスできるデバイス全体の切り替えが含まれます)。

プロトコルトラフィックの概要

MOVEit Transfer との通信には、HTTP over TLS (「HTTPS」)、FTP over TLS (「FTPS」とも呼ばれる) および/または Secure File Transfer Protocol (SFTP) が使用されます。また、MOVEit Transfer は、シンプルメールトランスファープロトコル (SMTP) サービス (通知に使用される E メールサーバー) にもアクセスする必要があります。

背景

FTPS は事実上、2 つの異なるポート (1 つは制御用、もう 1 つはデータ用) を使用します。FTPS は、制御メッセージ用に論理ポート (FTP セッションのコマンドの送信に使用するポート) を使用し、データ用にもう 1 つの論理ポート (フォルダーまたはファイルのすべてまたはチャンクを送信するための別のチャネル) を使用します。このような区別は、FTPS などのプロトコルには重要です。なぜなら、制御コマンドとチャンクデータストリームがそれぞれ通過できるように、対応する受信ファイアウォールルールを適用できるからです。方向も重要です。なぜなら、ファイアウォールは、外側へのトラフィックを有効にし、受信接続を制限することを目的としているためです。

SFTP は、制御メッセージ用とデータ用の両方に 1 つのポートを使用します。

保護されていない HTTP サービスも使用できますが、推奨されません。保護されていないサービスを有効にした場合、MOVEit はユーザーを保護されているサービスにリダイレクトします (IIS はリダイレクトを行いません)。

ファイアウォールルールには方向性があることを理解しておくことが重要です。つまり、企業ネットワークに対する送信者/受信者の位置に応じて、サービスへのアクセスを制御します。LAN からの送信トラフィックは、通常、制限されません (これは、たとえば、Web ブラウザを e コマースサーバーに何気なく接続する際に明白です)。ただし、インターネットから企業 LAN に向かうトラフィックは、ネットワークの資産を保護するために制限され、ルールやポリシーに含めます。次に、内部 (企業 LAN 内から来ている) で開始されたトラフィックおよび接続とインターネット上のどこか別の場所 (ビジネスパートナーのネットワーク、モバイルネットワークなどから来ている) から開始されたトラフィックを区別します。

ポート、ルール、および転送プロトコル

以下の図では、以下の規則を使用しています。

• 緑色の矢印は Web (HTTP/S) を示しています。
• 水色の矢印は FTP over TLS プロトコル (FTPS) を示しています。
• 青色の矢印は SSH プロトコル (SFTP によって使用) を示しています。
• グレーの矢印はその他のプロトコル (SMTP、RADIUS、LDAP) を示しています。

企業ファイアウォールと WAN ゲートウェイファイアウォールの間の DMZ にあるMOVEit Transfer サーバー

すべてのルールを拒否する

外部のトラフィックによって MOVEit Transfer への不正な接続を開かないようにするには、次のルールに従ってください。

必須: MOVEit Transfer への (すべての接続) を拒否する

MOVEit Transfer が外部のコンピュータへの不正な接続を開かないようにするには、次のルールに従ってください。

必須: MOVEit Transfer からの (すべての接続) を拒否する

MOVEit Transfer で実行するサービスによっては、1 つ以上のポートを開く必要があります。この基準と具体的な条件を以下で説明します。

リモート Web ブラウザ (HTTPS)

MOVEit Transfer は通常、TCP ポート 80 の保護されていない Web 接続と TCP ポート 443 の保護されている Web 接続をリッスンします。リモートユーザーは、リモートアドレスから保護されているポート (443) に接続できる必要があります。必要に応じて、MOVEit Transfer で保護されていないポートに接続しているユーザーを保護されているポートに自動的にリダイレクトするために、ポート 80 を開いたままにしておくこともできます。

• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 443 への接続を許可する
• オプション (非推奨): TCP (リモート) (任意のポート) から MOVEitDMZ ポート 80 への接続を許可する

リモートセキュア FTP over SFTP クライアント (SFTP)

MOVEit Transfer では、FTP over SSH クライアントをサポートするのに、1 つのポートの SSH トンネルを使用します。1 つの SSH トンネルを使用すると、FTP over SSL で使用される複数の暗号化データストリームを使用するのと比べて、ファイアウォールで開く必要があるポートが少なくて済むという利点があります (FTP over SSH は 1 つのポートを使用する保護された転送プロトコルです)。通常、SSH で使用されるポートは TCP ポート 22 のみです。

必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 22 への接続を許可する

リモートセキュア FTP TLS クライアント (FTPS)

MOVEit Transfer FTP がインターネット経由でクライアントをサポートする必要がある場合、PSC ではパッシブモードの FTP 送信を必須とし、MOVEit Transfer FTP のパッシブデータポートを狭い範囲に固定することを強く推奨します。

明示的な FTPS 制御接続は、TCP ポート 21 上で行われます。

暗黙的な FTPS 制御接続は、TCP ポート 990 上で行われます。

MOVEit Transfer システムで FTPS を使用する場合、明示的モードと暗黙的モードの両方 (最大限のクライアント互換性を確保するため)、パッシブモード (サーバーが使用するポートを選択して、クライアントに通知択できるようにするため)、および制限されたポート範囲を使用するように設定することを強くお勧めします。

パッシブ FTP (制約付き) - 推奨

パッシブ FTP は、クライアント側からの設定を簡略化します。これにより、MOVEit Transfer サーバーとクライアントは FTP 用の通常の制御ポートを使用することができ、クライアントが開始するサーバーとの送信データ接続を有効にします。

• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 21 への接続を許可する
• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 990 への接続を許可する
• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 3000_3100 への接続を許可する (管理者の裁量で決定)

MOVEit Transfer は通常、TCP ポート 21 (および暗黙的モードを使用している場合は 990 も) のセキュア FTP 制御接続をリッスンします。制約付きのパッシブモードでは、MOVEit Transfer は特定のクライアントセッションのデータチャネルに対して指定された、設定可能な TCP 非特権ポート範囲 (3000 ～ 3100 など) のセキュア FTP データ接続をリッスンします。MOVEit Transfer は制御チャネルを使用してクライアントが使用するであろう論理データポートを伝えるため、パッシブモード送信を指定する以外にクライアント側でさらに設定する項目はありません。

このオプションを選択した場合、MOVEit Transfer に使用されるデータポート範囲はアクセス可能である必要があります。適切な通信を行うには、これらの受信ポートを開いたままにしておく必要があります。

クライアント証明書の使用 (追加の制御ポートが必要)

MOVEit Transfer では、FTPS クライアントがターゲットの異なる制御ポートに対してクライアント証明書を使用することを想定しています。

クライアント証明書を使用して MOVEit Transfer FTPS (FTP/TLS) を使用する場合、MOVEit Transfer では、これらのクライアントが別の FTPS 制御ポートを使用して転送サーバーに接続することを想定しています。そのポートの受信ファイアウォールルールを開く必要があります。ただし、このクライアント証明書のシナリオでは、MOVEit Transfer から通常の FTPS セッションに提供されるのと同じデータポートが提供されます。(データポートの追加のファイアウォールルールは必要ありません)。

たとえば、MOVEit Transfer FTP サーバーに明示的な制御ポートと暗示的な制御ポートが設定されている場合を例にとってみましょう。MOVEit ではポート 21 と 990 を使用して、通常の FTPS 接続の制御メッセージを処理します。ただし、クライアント証明書認証を使用するセッションの場合、デフォルトでは、MOVEit Transfer では、クライアント証明書による認証接続を処理するために、10021 (明示的チャネル) と 10990 (暗示的チャネル) に FTPS 制御メッセージが表示されることを想定しています。

CCC コマンド - 開いているポート数の範囲を広げることに対する代替策

MOVEit Transfer では、CCC FTP コマンドがサポートされています。CCC コマンドを使用すると、通常であれば FTP over SSL で非表示にされている PORT コマンドを FTP 対応のファイアウォールが認識できるようになります。特に CCC コマンドを使用すると、制御チャネルが暗号化モードからクリアテキストモードになるため、ファイアウォールが PORT コマンドを認識できるようになります。

CCC コマンドを使用すると、次のようなセキュリティ上のリスクが生じます。

• クリアテキストになった PORT コマンドをスニッフィングしてセキュア FTP サーバーに接続し、実際のクライアントであるかのように接続してデータを盗んだり、実際のクライアントによる接続を妨げてサービス拒否攻撃を起こしたりする可能性があります。
• 制御チャネルの解読時に、フォルダー名、ファイル名、「change password」などのカスタムコマンドをスニッフィングする可能性があります。

代替策 (開いているポート数を制限すること) のセキュリティ上のリスクとして、このサーバーに別のサービスをインストールして、これらのポートをリッスンする可能性があります。

アクティブ FTP - 非推奨

アクティブ FTP をインターネット接続に使用することは推奨されません。リモートファイアウォールは、特に暗号化されているアクティブ FTP でのデータ接続を許可しない可能性が高いからです。

• 必須: TCP (リモート) (任意のポート) から 1 ポート 21 への接続を許可する
• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 990 への接続を許可する
• 必須: TCP MOVEitDMZ ポート 20 から (リモート) (任意のポート) への接続を許可する
• 必須: TCP MOVEitDMZ ポート 989 から (リモート) (任意のポート) への接続を許可する

パッシブ FTP (制約なし) - 非推奨

制約なしのモードでパッシブ FTP をセットアップすることは推奨されません。このモードで適切な操作を行うには、ファイアウォールで多数の非特権ポート (数千規模) を開く必要があるためです。

• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 21 への接続を許可する
• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ ポート 990 への接続を許可する
• 必須: TCP (リモート) (任意のポート) から MOVEitDMZ (非特権ポート) への接続を許可する

MOVEit Transfer は通常、TCP ポート 21 (および暗黙的モードを使用している場合は 990 も) のセキュア FTP 制御接続をリッスンします。MOVEit Transfer はさらに、パッシブ FTP サーバーとして、クライアントとネゴシエートした TCP 非特権ポート (1023 より大きいポート) のセキュア FTP データ接続をリッスンします。適切な通信を行うには、これらのポートを開いたままにしておく必要があります。

E メール通知 (SMTP)

MOVEit Transfer サーバーでは、E メール通知を送信するのに、SMTP 準拠のメールサーバーを使用する必要があります。MOVEit Transfer サーバーの通知がメールサーバーに到達するためにファイアウォールを通過する必要がある場合、受信要求をリッスンする TCP ポート SMTP 経由での MOVEit Transfer のアクセスを許可する必要があります。通常、これはポート 25 になります。メールサーバーが信頼できないときにメッセージをキューに配置したい場合や、メールを転送するために特別な認証パラメータが必要な場合、通常は一度に多数の通知を送信する計画がある場合は、ローカルメールリレーを設定することを検討してください。

必須: TCP MOVEitDMZ (非特権ポート) から (メールサーバー) ポート 25 への接続を許可する

リモート認証 (RADIUS)

RADIUS リモート認証を使用する場合、MOVEit Transfer は UDP を使用してリモート RADIUS サーバーに通信できる必要があります。通常、RADIUS のサポートに使用される UDP ポートは 1645 ですが、このポートは設定が可能です。

オプション: UDP MOVEitDMZ (非特権ポート) から (RADIUS サーバー) ポート 1645 への接続を許可する

リモート認証 (LDAP)

LDAP リモート認証を使用する場合、MOVEit Transfer は TCP を使用してリモート LDAP サーバーに通信できる必要があります。通常、LDAP のサポートに使用される TCP ポートは 389 で、LDAP over SSL のサポートに使用されるポートは 636 ですが、これらのポートは設定が可能です (LDAP over SSL の使用を強く推奨します。こちらは最新の LDAP サーバーの大部分でサポートされています。たとえば、Active Directory LDAP サーバーで SSL アクセスを有効にする方法については、「機能フォーカス - 外部認証」の「Active Directory - SSL」を参照してください)。

• オプション: TCP MOVEitDMZ (非特権ポート) から (LDAP サーバー) ポート 389 への接続を許可する
• オプション: TCP MOVEitDMZ (非特権ポート) から (LDAP サーバー) ポート 63 への接続を許可する

リモートの Microsoft SQL Server データベース

Web ファームパターンなどで MOVEit Transfer をリモートの Microsoft SQL Server データベースに接続する場合、MOVEit Transfer ノードは SQL Server のポート上で通信できる必要があります。ポート 1433 がデフォルトの SQL Server ポートですが、SQL Server インスタンスに別のポートを設定した場合は、1433 ではなくそのポートを使用してください。MOVEit Transfer アプリケーションノード自体で SQL Server Studio または別の SQL Server ユーティリティを実行する予定がある場合にのみ、ポート 1434 を開く必要があります。

• 必須: SQLServer デフォルトインスタンスで、TCP MOVEitDMZ から (MS SQL Server) (ポート 1433) への接続を許可する
• オプション: SQL 管理接続で、TCP MOVEitDMZ から (MS SQL Server) (ポート 1434) への接続を許可する

MOVEit Transfer Web ファーム

MOVEit Transfer Web ファームを使用している場合、各ノードと UNC ファイルストア (NAS など) 間で Microsoft ネットワークプロトコルが許可されている必要があります。通常、これを行うには、さまざまなマシン間で TCP ポート 445 を開きます。ただし、インターネットに対してこのポートを開いたままにしないでください。

タイムサービス

FDA の規制を受けている一部のサイトなどでは、MOVEit Transfer のクロックが既知の外部ソースと同期していることを確認しなければならない場合があります。time.nist.gov などの外部の時刻ソースのホスト名は、パブリックタイムサーバーの各種一覧に掲載されています。

タイムサービス (RFC958) では通常、UDP ポート 123 が使用されます。外部のタイムサービスをサポートするファイアウォールルールを設定する際には、UDP パケットが、MOVEit Transfer の非特権ポートからリモートの UDP ポート 123 に送られることを許可する必要があります。この場合、リモートサーバーは 1 つまたは少数に抑えることをお勧めします。同じ UDP ポートを使用した返信トラフィックも、MOVEit Transfer サーバーに戻ることができなければなりません。

注:

• お使いのファイアウォールもタイムサーバーとして機能できる必要があります。この場合、ファイアウォールはその背後にあるすべてのマシンが時刻を取得することを許可する代わりに、ファイアウォール自体がタイムサーバーに問い合わせます。
• ドメインのメンバーであるサーバーは、ドメインコントローラと自動的に時刻が同期されているため、外部のタイムサーバーは必要ありません。

SysLog サービス

MOVEit Transfer 監査イベントを SysLog サーバーに送信する場合、UDP SysLog パケットが UDP ポート 514 で MOVEit Transfer から SysLog サーバーに送信されることを許可する必要があります。

SNMP サービス

MOVEit Transfer 監査イベントを SNMP 管理コンソールに送信する場合、UDP SNMP パケットが UDP ポート 161 で MOVEit Transfer から SNMP 管理コンソールに送信されることを許可する必要があります。

ODBC stunnel (大部分で廃止)

この手順は、ほとんどの MOVEit Transfer 設定要素に対してアドホックカスタムレポートを実行し、保護された接続を経由してリモートにエントリを監査する MOVEit Transfer API の機能でほぼ置き換えられています。

ODBC stunnel 接続を設定する場合 (「詳細トピック - データベース - リモートアクセス」に記載)、TCP ポート 33062 で MOVEit Automation から MOVEit Transfer への接続を許可する必要があります。このポートは設定が可能で、関与している stunnel_mysqlserver.conf 設定ファイルと stunnel_mysqlclient.conf 設定ファイルの両方で変更することができます。

MOVEit Freely と MOVEit Buddy

MOVEit Freely と MOVEit Buddy は、セキュア FTP クライアントです。必要なポート情報については、上記の「リモートセキュア FTP over SSL クライアント」のセクションを参照してください。

MOVEit Automation

MOVEit Automation は通常、HTTPS 経由で MOVEit Transfer と通信します。必要なポート情報については、上記の「リモート Web ブラウザ (HTTP/S)」のセクションを参照してください。

MOVEit ウィザード、MOVEit Xfer、MOVEit Transfer API または MOVEit EZ

MOVEit ウィザード、MOVEit Xfer、MOVEit Transfer API および MOVEit EZ クライアントはすべて HTTPS を使用して MOVEit Transfer と通信します。必要なポート情報については、上記の「リモート Web ブラウザ (HTTP/S)」のセクションを参照してください。

AS2 クライアント

AS2 クライアントは通常 HTTPS を使用します。ごくまれに、代わりに HTTP を使用することもあります。必要なポート情報については、上記の「リモート Web ブラウザ (HTTP/S)」のセクションを参照してください。

AS3 クライアント

AS3 クライアントは、セキュア FTP クライアントです。必要なポート情報については、上記の「リモートセキュア FTP over SSL クライアント」のセクションを参照してください。