Ports TCP et UDP - Administrative Console

Notice de Configuration : Ports TCP et UDP
Ref : NDV51-NC-Port-UDP-TCP-fr
www.neocoretech.com
www.neocoretech.com
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 1
1 Ports TCP et UDP à ouvrir pour l’utilisation de ndv®
Vous trouverez ci-dessous la liste des ports à ouvrir entre les différents éléments d’une solution Neocoretech.
1.1
Broker – PC de management de l’Administrateur
Console d’administration
Sens
Ports TCP-UDP
Description
TCP 80
Connexion HTTP au serveur ndv® :
Connexion en HTTP à la page d’accueil du serveur ndv®.
Accès à la console de configuration ndv® à travers HTTP
Connexion SSH à la console d’administration ndv® :
Ce port est utilisé par la console d'administration ndv®. Un tunnel
SSH est créé entre la console java du poste de l'administrateur et
un serveur Broker ndv®
Low level Console :
Redirection en HTML5 de l’écran serveur ndv®. Nécessaire pour
l’accès distant à la console NDV Console Tools
Low level Console :
Redirection en HTML5 de l’écran serveur ndv®. Nécessaire pour
l’accès distant à la console NDV Console Tools
Connexion SSL au serveur ndv® :
Connexion en SSL à la page d’accueil du serveur ndv®. Accès à
la console de configuration ndv® à travers HTTPS.
TCP 22
TCP 81
PC vers Broker
TCP 8081
TCP 444
(Exemple : HTTPS://@IP-Broker:444)
www.neocoretech.com
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 2
1.2 Broker – Point d’accès
ndv®hyperbox et ndv®AP en IPsec
Sens
Ports TCP-UDP
Description
UDP 500
Tunnel IPsec :
Permet l’authentification des deux extrémités du tunnel IPsec.
(ISAKMP: Internet Security Association and Key Management
Protocol)
Tunnel IPsec :
Utilisation du protocole ESP (Encapsulating Security Payload)
afin d’assurer le chiffrement et la transmission des échanges
Requête d’identification au démarrage du point d’accès:
Le Broker recevant la requête d’identification d’un point d’accès,
assure la connexion avec ce point d’accès
Wake on LAN :
Requête Ethernet « packet magic » permettant au Broker de
démarrer à distance les points d'accès supportant le Wake on
Lan (WoL)
UDP 4500
Broker vers Client
TCP 500
Ports 40000 /
Broadcast
UDP 500
UDP 4500
Client vers Broker
TCP 500
www.neocoretech.com
Identification IPsec :
Permet l’authentification des deux extrémités du tunnel IPsec.
(ISAKMP: Internet Security Association and Key Management
Protocol)
Tunnel IPsec :
Utilisation du protocole ESP (Encapsulating Security Payload)
afin d’assurer le chiffrement et la transmission des échanges
Requête d’identification au démarrage du point d’accès:
Le point d’accès émet une requête d’identification au serveur
Broker. Le point d’accès envoie son identifiant unique UUID au
Broker
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 3
ndv®AP
Sens
Ports TCP-UDP
Description
TCP 22
Gestion, configuration et mise à jour de ndv®AP :
Communication bidirectionnelle entre le point d’accès et le Broker
pour la configuration et le chargement de paquets au moment du
démarrage
TCP 500
Requête d’identification au démarrage du point d’accès:
Le Broker recevant la requête d’identification d’un point d’accès,
assure la connexion avec ce point d’accès
UDP 7000 à 7009
Partition AFS :
Communication bidirectionnelle entre le point d’accès et le Broker
pour la distribution des paquets d’initialisation ndv®AP contenus
dans une cellule AFS du Broker
UDP 2727
Identification ndv®AP :
Requête d’identification émise par le Broker ndv® pour
l’identification des points d’accès ndv®AP
Ports 40000 /
Broadcast
Wake on LAN :
Requête Ethernet « packet magic » permettant au Broker de
démarrer à distance les points d’accès supportant le Wake on Lan
(WoL)
TCP 22
Gestion, configuration et mise à jour de ndv®AP :
Communication bidirectionnelle entre le point d’accès et le Broker
pour la configuration et le chargement de paquets au moment du
démarrage
Requête d’identification au démarrage du point d’accès:
Le point d’accès émet une requête d’identification au serveur
Broker. Le point d’accès envoie son identifiant unique UUID au
Broker
Partition AFS :
Communication bidirectionnelle entre le point d’accès et le Broker
pour la distribution des paquets d’initialisation ndv®AP contenus
dans une cellule AFS du Broker
DNS Load Balancer de connexion :
Les points d’accès de type ndv®AP s’appuient sur le système
ndv® d’équilibrage de charge des connexions (Connection Broker
DNS Load Balancer).
Broker vers Client
TCP 500
UDP 7000 à 7009
UDP 53
Client vers Broker
(Remarque : Cette méthode peut dans certains cas s’appliquer à des
point d’accès de type RDP)
TCP 5930
TCP 80
UDP 123
www.neocoretech.com
Affichage, clavier, souris et USB pour ndv®AP :
Port utilisé par le protocole qui gère le déport d’affichage, le son,
le clavier et la redirection USB des points d’accès ndv®AP
Portail de connexion ndv® :
Le portail HTTP est utilisé pour l’authentification des utilisateurs
qui veulent choisir les PC virtuels ou les groupes de PC Virtuels
auxquels ils peuvent se connecter
Synchronisation serveur de temps :
Le point d’accès ndv®AP émet une requête de synchronisation
NTP auprès du Broker ndv®
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 4
ndv®Client
Sens
Ports TCP-UDP
Description
TCP 22
Gestion, configuration et mise à jour de ndv®Client :
Communication bidirectionnelle entre le point d'accès et le Broker
pour la configuration et le chargement de paquets au moment du
démarrage (conjointement avec le port TCP 80)
UDP 2727
Identification ndv®Client :
Requête d'identification émise par le Broker ndv® pour
l'identification des points d'accès ndv®Client.
TCP 22
Gestion, configuration et mise à jour de ndv®Client :
Communication bidirectionnelle entre le point d'accès et le Broker
pour la configuration et le chargement de paquets au moment du
démarrage (conjointement avec le port TCP 80)
Affichage, clavier, souris et USB pour ndv®Client :
Port utilisé par le protocole qui gère le déport d'affichage, le son,
le clavier et la redirection USB des points d'accès ndv®Client
Portail de connexion ndv® :
Le portail HTTP est utilisé pour l’authentification des utilisateurs
qui veulent choisir les PC virtuels ou les groupes de PC Virtuels
auxquels ils peuvent se connecter
Broker vers Client
TCP 5930
Client vers Broker
TCP 80
www.neocoretech.com
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 5
ndv®Client pour Android
Sens
Ports TCP-UDP
Description
UDP 2727
Identification ndv®Client :
Requête d'identification émise par le Broker ndv® pour
l'identification des points d'accès ndv®Client pour Android
TCP 5930
Affichage, clavier, souris et USB pour ndv®Client :
Port utilisé par le protocole qui gère le déport d'affichage, le son,
le clavier et la redirection USB des points d'accès ndv®Client pour
Android
Portail de connexion ndv® :
Le portail HTTP est utilisé pour l’authentification des utilisateurs
qui veulent choisir les PC virtuels ou les groupes de PC Virtuels
auxquels ils peuvent se connecter
Broker vers Client
Client vers Broker
www.neocoretech.com
TCP 80
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 6
ndv®Anywhere HTML5
Sens
Ports TCP-UDP
Description
TCP 8081
Port Websocket HTML5 :
Port utilisé à travers un navigateur Web pour gérer en HTML5 le
déport d'affichage, le clavier et la souris
Port Websocket HTML5 :
Port utilisé à travers un navigateur Web pour gérer en HTML5 le
déport d'affichage, le clavier et la souris
Portail de connexion ndv® :
Le portail HTTP est utilisé pour l’authentification des utilisateurs
qui veulent choisir les PC virtuels ou les groupes de PC Virtuels
auxquels ils peuvent se connecter
TCP 81
Client vers Broker
TCP 80
www.neocoretech.com
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 7
RDP
Sens
Broker vers Client
Sens
Ports TCP-UDP
Description
UDP 161
Identification point d'accès support SNMP :
Requête SNMP émise par le Broker ndv® pour l'identification des
points d'accès RDP
UDP 137
Identification point d'accès support NETBIOS :
Requête NETBIOS émise par le Broker ndv® pour l'identification
des points d'accès RDP
Ports TCP-UDP
Description
UDP 53
DNS Load Balancer de connexion :
Eventuellement les points d’accès de type RDP peuvent
s’appuyer sur le système ndv® d’équilibrage de charge des
connexions (Connection Broker DNS Load Balancer).
Le DNS primaire du point d’accès RDP est alors configuré avec
l’adresse IP d’un des Brokers ndv®. Le DNS secondaire du point
d’accès RDP est alors configuré avec l’adresse IP de l’autre
Broker ndv®. Le point d’accès initie sa connexion RDP sur le nom
DNS broker.ndv
Client vers Broker
(Remarque : Aucune configuration serveur DNS n’est nécessaire)
TCP 3389
www.neocoretech.com
Affichage, clavier, souris et USB pour RDP :
Port utilisé par le protocole RDP qui gère le déport d'affichage, le
son, le clavier et la redirection USB des points d'accès RDP
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 8
1.3 Broker
Communication Interne Serveur NDV® (Broker – Hyperviseur)
Sens
Dans les 2 sens
Ports TCP-UDP
Tous les Ports
Description
VLAN ou LAN dédié :
La communication inter-serveur ndv® s’établit à travers un VLAN
(ou LAN) dédié sur lequel sont connectée les interfaces réseaux
internes (eth0) des serveurs ndv®.
(Remarque : il n’y a aucun filtrage de ports à l’intérieur de ce
VLAN (ou LAN) dédié)
Time Server (Broker –Serveur de Temps LAN / WAN)
Sens
Broker vers NTP
Server
www.neocoretech.com
Ports TCP-UDP
UDP 123
Description
Synchronisation d'horloge (NTP Protocol) :
Pour le bon fonctionnement de l'infrastructure, les serveurs ndv®
ont besoin d'avoir la même date et la même heure. Le serveur
Master Broker se synchronise à un serveur de temps NTP. Les
autres serveurs de l’infrastructure ndv® se synchronisent avec le
Master Broker via leur interface interne (eth0)
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 9
2 Comment contrôler l’état des ports
2.1
Contrôle entre un serveur et un point d’accès :
Depuis les serveurs ndv®, vous pouvez exécuter des commandes nmap afin de tester si les ports sont
ouverts entre vos serveurs ndv® et vos points d’accès.
Pour cela, depuis la low level console, choisir le menu « Tools » de NDV Console Tools
Puis : « NetTest »
Vous arriverez sur une fenêtre « nmap ».
Exemple : On cherche à savoir si les ports TCP 22, 500, 8081 sont ouverts entre le Master Broker et un
point d’accès dont l’IP est 10.10.163.34.
www.neocoretech.com
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 10
La réponse obtenue est :
Autre exemple pour tester cette fois-ci l’état des ports nécessaires à ndv®Anywhere :
nmap peut aider dans le cadre du déploiement d'un accès distant pour ndv®Anywhere. Depuis une
machine qui dispose d'un accès Internet, on veut vérifier l'état des ports 80, 81, et 8180 de l'IP publique qui
redirige le flux HTML5 vers le Broker ndv®. La commande inclue aussi un traceroute qui permet à l'instant
donné d'avoir une idée de la latence Internet pour atteindre l’IP publique :
nmap -A -Pn -T4 @IPPublic
La réponse obtenue est :
Starting Nmap 6.25 ( http://nmap.org ) at 2015-04-23 12:14 CEST
Nmap scan report for @IPPublic
Host is up (0.0091s latency).
Not shown: 996 filtered ports ==> 996 ports sont filtrés (donc inaccessibles car probablement
bloqués par un firewall)
PORT STATE SERVICE VERSION
80/tcp open http-proxy Squid http proxy 2.7.STABLE9 ==> Port 80 ouvert en écoute
| http-open-proxy: Potentially OPEN proxy.
|_Methods supported: GET
|_http-title: Site doesn't have a title (text/html).
81/tcp open tcpwrapped ==> Port 80 ouvert en écoute
113/tcp closed ident
8081/tcp open tcpwrapped ==> Port 80 ouvert en écoute
Device type: general purpose|specialized
Running (JUST GUESSING): OpenBSD 4.X (94%), Comau embedded (92%), Linux 2.6.X (90%), FreeBSD
6.X|7.X (89%)
OS CPE: cpe:/o:openbsd:openbsd:4.0 cpe:/o:linux:linux_kernel:2.6.29 cpe:/o:freebsd:freebsd:6.3
cpe:/o:freebsd:freebsd:7
Network Distance: 11 hops ==> 11 sauts routeurs pour atteindre l'IP publique
www.neocoretech.com
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 11
Les différents états retournés par nmap sont :



Open
Une application qui tourne sur la machine cible accepte les connexions TCP ou les paquets
UDP sur ce port. Les ports ouverts montrent également les services disponibles sur le réseau.
Closed
Accessible (reçoit et répond aux paquets envoyés par Nmap) mais il n'y a pas d'application à
l'écoute sur ce port. Utilité: machine cible « UP ». Détection de l'OS par Nmap
Remarque: il peut être utile de bloquer de tels ports avec un firewall
Filtered
Nmap ne peut déterminer si le port est ouvert car il est intercepté avant d'atteindre le port.
Peut-être causé par un firewall, des règles de routage ou bien un firewall intégré à la machine
cible.

Unfiltered
Le port est accessible, mais nmap est incapable de déterminer s'il est ouvert/fermé. Il faut
alors tester avec d'autres types de scan: Windows scan, ou FIN scan pour savoir si le port est
ouvert.

Open | Filtered
Nmap est incapable de déterminer si le port est ouvert ou filtré. Cela arrive, par ex, lorsqu'un
port ouvert ne donne pas de réponse. L'absence de réponse peut vouloir dire également
qu'un filtrage a « droppé » le paquet généré par Nmap ou la réponse obtenue.

Closed | Filtered
Cet état est utilisé quand Nmap est incapable de déterminer si un port est fermé ou filtré.
2.2 Contrôle entre un point d’accès et un serveur
A partir d’un PC Windows ou Linux que vous souhaitez utiliser pour un accès ndv®Client ou RDP, installer
un scanner réseau, tel que nmap (Zenmap …) et vérifier les ports point d’accès et un serveur Neocoretech.
Autres utilitaires depuis un PC Windows ou Linux :




la commande netstat
la commande tcpdump
la commande socat
En complément depuis Windows, il existe par exemple l'utilitaire Microsoft PORTQRY:
Télécharger et installer http://www.microsoft.com/en-us/download/details.aspx?id=17148
Utiliser l’utilitaire depuis une invite de commande :
On cherche par exemple à vérifier l’état du port UDP 2727 du PC qui exécute le ndv®client. En retour, on
doit avoir le port UDP 2727 à l’état « LISTENING ». Lorsqu’on quitte ndv®client l’état du port UDP 2727
passe à « NOT LISTENING ».
portqry -n @IP-PC -p UDP -e 2727
www.neocoretech.com
6, rue Linus Carl Pauling 76130 Mont St Aignan
Tel : +33 2 76 78 10 60
Page 12