Firewall-Konfiguration für sichere Netzwerke
Das MOBOTIX CLOUD VMS und seine Bridge-Hardware sind speziell auf hohe Sicherheit ausgelegt und verwenden nur ausgehende TCP- und UDP-Verbindungen, um mit der Cloud zu kommunizieren. Wenn Sie ausgehende Verbindungen auf Ihrer lokalen Firewall einschränken, finden Sie hier die IPv4- und Port-Informationen, die Sie benötigen.
Hinweis:
Zwischen der MOBOTIX CLOUD Bridge und dem Internet dürfen sich keine Proxys oder ähnliche Geräte zur Filterung der Anwendungsschicht befinden, und Multicast muss aktiviert sein, damit die Bridge Kameras erkennen kann (wenn sich die Bridge und die Kameras im selben Subnetz befinden, ist dies im Allgemeinen kein Problem). UPNP ist NICHT erforderlich (die Bridge verwendet es nicht, wenn es aktiviert ist).
Weitere Informationen über das von uns verwendete ONVIF-Kameraerkennungsprotokoll finden Sie in diesem Artikel über WS-Discovery. Web Service Discovery ist ein OASIS-Industriestandard und funktioniert im Allgemeinen ohne großen Aufwand in den meisten internen Netzwerken. Sie sollten Ihre Firewall nicht anpassen müssen, damit es funktioniert, es sei denn, es befinden sich zusätzliche Firewalls zwischen Ihrer Bridge und den Kameras
Outbound (Ausgehende) Ports für die MOBOTIX CLOUD Bridge
Die folgenden TCP- und UDP-Ports werden von der MOBOTIX CLOUD Bridge verwendet. Alle Verbindungen sind nur für ausgehende Verbindungen vorgesehen, d. h. die Bridge verbindet sich nur ausgehend und nimmt niemals eingehende Verbindungen an (daher müssen Sie z. B. generell keine NAT-Regeln einrichten).
- 80/tcp # Wird verwendet, um Video-Endpunkte in der Cloud zu erkennen.
- 443/tcp # Wird für die Übertragung von Video in die Cloud verwendet (TLS 1.2+)
- 773/tcp # Wird für die Übertragung von Video in die Cloud verwendet (TLS 1.2+)
- 8081/tcp # Wird für die Übertragung von Video in die Cloud verwendet
- 8082/udp # Wird für die Übertragung von Video-Metadaten in die Cloud verwendet
- 50000-60000/tcp # Wird gelegentlich für die Fehlerbehebung und Fernwartung verwendet (über SSL gesichert)
Die Ports 80 und 443 werden für die Verwaltung der Firmware verwendet. Wenn diese Ports gefiltert oder blockiert werden, kann dies zu fehlgeschlagenen Updates für unsere Systeme führen.
Die Ports 8081 und 8082 werden für den Vorschaustrom verwendet. Wenn diese Ports gefiltert oder blockiert werden, hat dies Auswirkungen auf die Stabilität und Qualität des Vorschaustreams.
MOBOTIX Cloud nutzt auch Standard-Ports für unsere Fehlerbehebungs-Tools. (z. B. Ncat und Fping) Diese Ports werden möglicherweise in Ihrem Netzwerk verwendet, aber Sie können sicher sein, dass sie nur der Systemwartung dienen.
Proxies:
Zwischen der MOBOTIX CLOUD Bridge und dem Internet dürfen sich keine Proxys oder ähnliche Filtergeräte der Anwendungsschicht befinden, und Multicast muss aktiviert sein, damit die Bridge Kameras erkennen kann (wenn sich die Bridge und die Kameras im selben Subnetz befinden, ist dies in der Regel kein Problem). UPNP ist NICHT erforderlich (die Bridge wird es nicht verwenden, wenn es aktiviert ist).
Outbound (Ausgehende) IPs für die MOBOTIX Cloud Bridge
Sollten Sie die MOBOTIX CLOUD Bridge in ihrer Firewall Configuration auf eine bestimmte Gruppe von IP-Adressen beschränken müssen, finden Sie im Folgenden eine Liste der MOBOTIX CLOUD-IP-Adressen, die Sie im CIDR-Format zulassen sollten:
MOBOTIX CLOUD VMS
209.94.248.0/26
208.81.96.0/22
216.245.88.0/21
61.120.148.0/25
210.248.158.0/24
218.102.54.64/26
223.197.211.0/25
199.204.51.0/25
62.50.13.192/27
89.202.212.160/28
195.81.42.160/27
195.81.164.160/27
212.23.62.240/28
89.202.213.96/28
95.168.179.0/27
95.168.182.32/27
95.168.185.64/26
167.248.134.0/23
167.94.38.0/23
167.94.228.0/23
192.40.4.0/23
199.45.160.0/22
Vergewissern Sie sich außerdem, dass Ihre Firewall unsere DNS-Sites ebenfalls in die Whitelist aufgenommen hat. Diese Seiten sind wie folgt:
*.MOBOTIXCloud.com
*.plumv.com
Outbound (Ausgehende) Ports für die MOBOTIX CLOUD Web und MOBOTIX CLOUD APP
Unabhängig von der Bridge müssen sich auch die MOBOTIX CLOUD Web und die mobilen Anwendungen für PCs, Tablets und Telefone mit der Cloud verbinden, um Videos abzurufen, Einstellungen vorzunehmen usw. Die dafür benötigten Ports sind:
- tcp/80 # Nur HTTP->SSL-Redirect
- tcp/443 # Web-Benutzeroberfläche
- tcp/50000-60000 # Sichere Videoübertragung
Die IPs sind in der Regel die gleichen wie für die Bridge.
##########################################################################
Outbound Ports für CameraDirect
Camera Direct verwendet die folgenden TCP-Ports. Alle Verbindungen sind nur ausgehend, d. h., die Verbindungen sind ausgehend und akzeptieren niemals eingehende Verbindungen (daher müssen Sie z. B. NICHT generell NAT-Regeln einrichten).
MOBOTIX CLOUD Direct Subnets
167.248.134.73
167.248.135.100
167.248.135.100
192.40.4.124
192.40.5.26
Darüber hinaus müssen auch die IPs, die von “Outbound IPs für die MOBOTIX CLOUD Bridge” verwendet werden, zugelassen werden.
MOBOTIX CLOUD nutzt den Server 2.centos.pool.ntp.org für NTP. Normalerweise über Port 223, wie es der Standard ist.