מאמר זה מפרט את הגדרות החומת אש הנדרשות עבור סוכן Atera והתוספים שלו.
סוכן Atera
יש לאפשר תעבורה יוצאת דרך פורט 443 (TCP) ו-8883 (TCP/UDP) באנטי-וירוס, חומת האש ושרת הפרוקסי.
יש להוסיף לרשימת ההיתרים את השרתים הבאים ברשת שלכם כדי להבטיח תקשורת תקינה של הסוכן:
- a32dl55qcodech-ats.iot.eu-west-1.amazonaws.com
- agent-api.atera.com
- agent-api-v2.atera.com
- agenthb.atera.com
- app.atera.com
- appcdn.atera.com
- ps.atera.com
- pubsub.atera.com
- dotnetcli.azureedge.net
- builds.dotnet.microsoft.com
- download.visualstudio.microsoft.com
- ps.pndsn.com
- pubsub.pubnub.com
- atera.pubnubapi.com
- agentreportingstore.blob.core.windows.net
- agentspoliciesprod.blob.core.windows.net
- packagesstore.blob.core.windows.net
- ticketingitemsstoreeu.blob.core.windows.net
- atera-agent-heartbeat-cus.servicebus.windows.net
- atera-agent-heartbeat.servicebus.windows.net
- cacerts.thawte.com
- *.cloudfront.net
- automationtasks.blob.core.windows.net
- dot.net
- ci.dot.net
רשימת היתרים בתוכנות אבטחה:
- אנטי-וירוס: הוסיפו את אפליקציית Atera לרשימת ההיתרים של האנטי-וירוס. C:\Program Files\Atera Networks.
-
חומת אש: ברשתות מסוימות תעבורת HTTPS חסומה. ודאו שהגדרתם כלל שמאפשר תעבורת HTTPS מ-LAN ל-WAN (כתובת Atera: agent-api.atera.com).
- הערה: החומה הגדולה של סין חוסמת חלק מהשרתים הנדרשים לסוכן Atera כדי לדווח על זמינות המכשיר (סטטוס מקוון/לא מקוון). לכן, מכשירים הנמצאים במדינה זו לא יהיו ניתנים לניהול מהקונסולה. שימוש ב-VPN עשוי לעקוף את ההגבלות, אך איננו מספקים הוראות או תמיכה בהגדרות מסוג זה.
-
פרוקסי: פרוקסי / סינון אתרים נפוץ מאוד ויכול להפריע לפעולה תקינה של הסוכן. ודאו שמותרת תעבורה יוצאת (443) וכן הורדת קבצים עם סיומות ZIP ו-EXE מהאתר שלנו (כתובת Atera: agent-api.atera.com).
- הערה: Atera אינה מספקת תמיכה או הגדרות לפרוקסי.
- חסימת מיקום גיאוגרפי: לדוגמה, נתבי SonicWall ידועים בתכונת חסימת המיקום הגיאוגרפי שלהם.
- יש לאפשר תעבורת תוכן בנוסף לתעבורת TCP (443).
למידע נוסף ראו:
Acronis
- פורט TCP 443 ו-8443 לגישה לקונסולת Cyber Protection, רישום סוכנים, הורדת תעודות, הרשאת משתמשים והורדת קבצים מאחסון הענן.
- פורט TCP 5905, 7770...7800 לתקשורת בין רכיבים
- פורט TCP 9850 לפקודות שורת פקודה (acrocmd, acropsh)
- פורט TCP 445 ו-25001 להתקנה מרחוק
- פורט TCP 443 ו-902 לגישה ל-vCenter Server ולשרתים ESX(i)
- פורט TCP 44445 להעברת נתונים במהלך גיבוי ושחזור
- פורט TCP 443, 44445, ו-55556 לגיבוי לענן
- פורט TCP 6109 ל-Active Protection
AnyDesk
כדי לאפשר חיבורים נכנסים ל-AnyDesk, יש להוסיף לרשימת ההיתרים את הבאים:
- *.net.anydesk.com
- פורט TCP 80, 443, 6568, ו-7070.
למידע נוסף, ראו את המאמר הזה של AnyDesk
Bitdefender
להלן רשימת הפורטים והשרתים בהם משתמש Bitdefender, לפי רכיב.
קונסולה אינטרנטית (Control Center)
| נכנס |
|
סוכן אבטחה (BEST, BEST Legacy, Endpoint Security, Endpoint Security for Mac)
| יוצא |
|
סוכן Relay
| נכנס |
|
||||||||||||
| יוצא |
|
שרת אבטחה (Multi-Platform)
| נכנס |
|
||||||||
| יוצא |
|
Sandbox Analyzer
| נכנס & יוצא |
|
למידע נוסף ופירוט על כל אחד מהפורטלים לעיל, עיינו במאמר הזה מתמיכת Bitdefender.
Chocolatey
ייתכן שתצטרכו להוסיף לרשימת ההיתרים את השרתים הבאים:
- chocolatey.org
- packages.chocolatey.org
Network Discovery
אפשרו לשירות Windows Management Instrumentation (WMI) לפעול דרך חומת האש של Windows.
ניתן להשתמש בפקודה הבאה:
- netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes
אפשרו ל-ICMP (Internet Control Message Protocol) לפעול דרך חומת האש של Windows. ניתן להשתמש בפקודה הבאה:
- netsh advfirewall firewall add rule name="ICMP Allow incoming V4 echo request" protocol=icmpv4:8,any dir=in action=allow
בדקו שהשירותים הבאים פועלים וסוג ההפעלה שלהם מוגדר לאוטומטי:
- sc query RPCSS
- sc query Winmgmt
- sc query RemoteRegistry
- sc query wuauserv
למידע נוסף, ראו Network Discovery: הגדרות רשת מיטביות
גיבוי אונליין
לשרת הענן שלנו יש שני תתי-רשת:
- 31.186.246.0/24
- 130.117.250.0/24
וכן cloud.atera.com.
בנוסף, ודאו שאתם מאפשרים תקשורת יוצאת דרך פורטים 5000 ו-443.
ScreenConnect
נדרש פורט 443 TCP עבור סביבת הענן. עבור התקנות מקומיות (on-premises), יש לפתוח את הפורטים 8040 ו-8041:
| שירות | פורט | פרוטוקול |
| ScreenConnect Web Server | 8040 | TCP |
| ScreenConnect Relay | 8041 | TCP |
למידע נוסף, ראו את המאמר הזה של ConnectWise
Splashtop
- יש להוסיף לרשימת ההיתרים (whitelist) בחומת האש את הדומיינים הבאים:
- amazonaws.com
- *.api.splashtop.com (מייצג wildcard)
- *.relay.splashtop.com (מייצג wildcard)
- Sn.splashtop.com
- cloudfront.net
- יש לפתוח את הפורטים היוצאים הבאים:
- פורט 443 (TCP) — חיבור עיקרי לכל תעבורת Splashtop
- פורט 80 (TCP) — נדרש לעדכונים אוטומטיים של Splashtop Streamer דרך CloudFront
- פורט 6783 (TCP) — משמש לחיבורים מקומיים באותה רשת
- פורט 3479 (UDP) — משמש לחיבורים ישירים (end-to-end) עם אופטימיזציית QUIC (משפר איכות סשן)
- ודאו שהנתיבים הבאים נמצאים ברשימת ההיתרים בתוכנת האנטי-וירוס/אבטחה שלכם:
C:\Program Files\ATERA Networks\AteraAgentC:\Program Files (x86)\Splashtop
למידע נוסף, ראו את המאמר הזה של Splashtop.
TeamViewer
כדי ש-TeamViewer יעבוד כראוי, יש לאפשר גישה לכל שרתי TeamViewer. הדרך הפשוטה ביותר היא לפתוח את פורט 5938 (TCP) לחיבורים יוצאים לכל כתובת IP. ניתן גם להוסיף את *.teamviewer.com לרשימת ההיתרים.
אם TeamViewer לא מצליח להתחבר דרך פורט 5938 (הפורט הראשי), הוא ינסה להתחבר דרך פורט TCP 443 או פורט TCP 80.
למידע נוסף, ראו את המאמר הזה של TeamViewer
Webroot
יש לפתוח את הפורטים 443 ו-80 עבור הכתובות הבאות:
-
תקשורת ועדכוני סוכן
*.webrootcloudav.com
-
הודעות סוכן
*.webroot.com
-
פורטל ניהול והעלאת לוגים של קריאות שירות
*.webrootanywhere.com
-
הורדה והעלאת קבצים של הסוכן
wrskynet.s3.amazonaws.com/*
wrskynet-eu.s3-eu-west-1.amazonaws.com/*
wrskynet-oregon.s3-us-west-2.amazonaws.com/*
-
סינון אתרים (WebFiltering)
WSAWebFilteringPortal.elasticbeanstalk.com (elasticbeanstalk הוא דומיין של Amazon AWS)
לתשומת לבכם: חלק מהחומות אש לא תומכות בשמות תת-דומיין עם שתי נקודות באמצעות מסיכת wildcard אחת (למשל, g1.p4.webrootcloudav.com שמיוצג על ידי *.webrootcloudav.com). במקרים כאלה, יש להשתמש ב-*.p4.webrootcloudav.com או *.*.webrootcloudav.com.
