Requisitos de seguridad / cortafuegos


Esta sección explica cómo se puede acceder al Administrador de aplicaciones detrás de un firewall. Los cortafuegos actúan como barreras que impiden el acceso no autorizado a una red. Actúan como entrada por la que pueden pasar personas autorizadas y otras no. Debe configurar el firewall para que el host en el que se ejecuta el Administrador de aplicaciones pueda acceder al monitor en el puerto correspondiente.

Nota: Es importante saber que todos los puertos deben estar abiertos para que tenga lugar la comunicación bidireccional.

Puertos que se abrirán cuando los monitores estén detrás del firewall:

Monitores Detalles del puerto
SERVIDORES DE APLICACIONES
Glassfish Puerto Glassfish JMX (predeterminado: 8686)
JBoss Comunicación bidireccional entre el puerto del servidor web JBoss (predeterminado: 8080) y el puerto del servidor web del Administrador de aplicaciones (predeterminado: 9090).
El nombre de host de Applications Manager debe ser accesible desde el servidor JBoss.
Puerto de objetos JBoss RMI (predeterminado: 4444).
Embarcadero Habilite JMX para la supervisión. El puerto JMX   para las instalaciones predeterminadas de Jetty es 9999.
Microsoft .Net

Instrumental de administración de Windows (WMI) - Puerto: 445

Llamada a procedimiento remoto (RPC) (predeterminado: 135)

Conozca más sobre los puertos necesarios para el modo de supervisión WMI.
Servidor de aplicaciones de Oracle Puerto del servidor de aplicaciones Oracle (predeterminado: 7200)
Gato Puerto del servidor web Tomcat (predeterminado: 8080)
Servidor VMware vFabric tc Puerto JMX del servidor VMware vFabric tc (predeterminado: 6969)
WebLogic Comunicación bidireccional entre el puerto de escucha de WebLogic (predeterminado: 7001) y el puerto del servidor web de Applications Manager (predeterminado: 9090)

WebSphere

Puerto de la aplicación WebSphere (predeterminado: 9080)

MONITORES PERSONALIZADOS
Monitor de consultas de base de datos Puerto de servidor de base de datos correspondiente
Archivo / directorio, secuencia de comandos (modo Telnet / SSH)

Puerto Telnet: 23 (si el modo de monitoreo es Telnet)

Puerto SSH: 22 (si el modo de monitoreo es SSH)

Archivo / directorio, contador de rendimiento de WMI (modo WMI)

Instrumental de administración de Windows (WMI) - Puerto: 445

Llamada a procedimiento remoto (RPC) - Puerto: 135

Conozca más sobre los puertos necesarios para el modo de supervisión WMI.
SERVIDORES DE BASE DE DATOS
DB2 El puerto en el que se está ejecutando DB2 (predeterminado: 50000)
Memcached El puerto en el que se ejecuta el servidor Memcached (predeterminado: 11211)
MySQL El puerto en el que se está ejecutando MySQL (predeterminado: 3306)
Oráculo El puerto en el que se ejecuta Oracle (predeterminado: 1521)
PostgreSQL El puerto en el que se ejecuta PostgreSQL (predeterminado: 5432)
Microsoft SQL Server El puerto en el que se ejecuta SQL Server (predeterminado: 1433). Es posible que se requiera el puerto UDP 1434 para el servicio del navegador de SQL Server cuando se utilizan instancias con nombre.
Sybase El puerto en el que se ejecuta Sybase (predeterminado: 5000)
SAP HANA Puerto IndexServer de SAP HANA (predeterminado: 30015)
Apache HBase El puerto en el que se ejecuta Hbase. Para instalaciones predeterminadas de HBase, el número de puerto JMX es 10101 para Master y 10102 para RegionServer.
NoSQL
Casandra Habilite JMX para la supervisión. El puerto JMX para las instalaciones predeterminadas de Cassandra es 7199.
ERP
Oracle EBS Puerto del servidor web Oracle EBS (predeterminado: 7200)
Microsoft Dynamic CRM / 365 (local)

Para monitorear una aplicación Microsoft Dynamics CRM / 365, use la cuenta de usuario Administrador que tiene permiso para ejecutar consultas WMI en el espacio de nombres 'root \ CIMV2' del Dynamics CRM / 365 Server.

Acceso al firewall para monitoreo:

Puertos necesarios para la monitorización a través de WMI.

  • Instrumental de administración de Windows (WMI) (predeterminado: TCP 445)
  • Llamada a procedimiento remoto (RPC) (predeterminado: TCP 135)
  • El servidor de destino utiliza un puerto aleatorio por encima de 1024 de forma predeterminada para responder a la comunicación remota (DCOM) (predeterminado: TCP 1025 a 1030)

Acceso a Powershell para monitoreo:

Haga clic aquí para ver los requisitos previos de PowerShell.

SERVIDORES DE CORREO
Servidor de intercambio Instrumental de administración de Windows (WMI) (predeterminado: 445)
Llamada a procedimiento remoto (RPC) (predeterminado: 135)
Comunicación remota de PowerShell - TCP 5985 y 5986
Sesión de Exchange PowerShell - TCP 80 y 443
Conozca más sobre los puertos necesarios para el modo de supervisión WMI
Servidor de correo Puerto del servidor SMTP (predeterminado: 25) para enviar correos desde el Administrador de aplicaciones.
Puerto POP (predeterminado: 110) para recuperar correos usando el servidor POP.
MIDDLEWARE / PORTAL
IBM WebSphere MQ El puerto de escucha de MQ (predeterminado: 1414)
Microsoft MSMQ / servidor de SharePoint

Instrumental de administración de Windows (WMI) - Puerto: 445

Llamada a procedimiento remoto (RPC) - Puerto: 135

Conozca más sobre los puertos necesarios para el modo de supervisión WMI.
Servidor VMware vFabric RabbitMQ El ID de puerto donde está configurado el complemento de administración (predeterminado: 55672)
Servidor de integración WebLogic Puerto de integración WebLogic (predeterminado: 7001)
Esmoquin de Oracle El número de puerto SNMP, en el que se ejecuta el agente SNMP de Tuxedo. El número de puerto predeterminado es 161.
Apache ActiveMQ El puerto en el que se ejecuta ActiveMQ.
Apache Kafka

El puerto JMX predeterminado es 9999.

Si Apache Kafka se ejecuta en JDK7 Update 4 o superior, el número de puerto al que se vinculará el conector RMI debe establecerse mediante la propiedad del sistema " -Dcom.sun.management.jmxremote.rmi.port = 9999 " en Apache Kafka para conectarse desde el Administrador de aplicaciones a través del firewall.

Si Apache Kafka se ejecuta en versiones anteriores de JDK, consulte http://www.netcluesoft.com/rmi-through-a-firewall.html para configurar el número de puerto para la comunicación del conector RMI.

SERVIDORES
AS400 / iSeries

Para conectar el servidor AS400 / iSeries desde el Administrador de aplicaciones, utiliza el paquete JTOpen. El paquete JTOpen utiliza los siguientes puertos no SSL 449, 446, 8470, 8471, 8472, 8473, 8474, 8475, 8476. Asegúrese de que los puertos mencionados en la columna " Puerto no SSL " del enlace no estén bloqueados en el firewall.

https://www-01.ibm.com/support/docview.wss?uid=nas8N1019667

Linux / Solaris / AIX / HPUnix / Tru64 Unix

Puerto Telnet (predeterminado: 23), si el modo de supervisión es Telnet.

Puerto SSH (predeterminado: 22), si el modo de monitoreo es SSH

Puerto de agente SNMP (predeterminado: 161), si el modo de supervisión es SNMP

Ventanas

Para el modo de supervisión WMI:

Para monitorear un servidor de Windows, el usuario debe tener privilegios de "Administrador"

Puertos requeridos -

Instrumental de administración de Windows (WMI) (predeterminado: 445)
Llamada a procedimiento remoto (RPC) (predeterminado: 135)
WMI usa DCOM para la comunicación remota. El servidor que será monitoreado por el administrador de aplicaciones usa un número de puerto aleatorio por encima de 1024 de manera predeterminada para responder. Debe conectarse a este servidor de destino y configurarlo para usar un puerto dentro de un rango específico de puertos. Consulte este enlace para saber más sobre cómo restringir los puertos en el servidor de destino:  https://support.microsoft.com/en-us/help/154596/how-to-configure-rpc-dynamic-port-allocation-to- trabajar con cortafuegos. Tenga en cuenta que debe especificar al menos 5 puertos en este rango para el servidor de destino (normalmente se recomienda abrir al menos 100 puertos). Este mismo rango de puertos también debe abrirse en el firewall.

En Windows Server 2008 y versiones posteriores, y en Windows Vista y versiones posteriores, use el siguiente rango de puertos dinámicos:

Puerto de salida: 49152

Puerto final: 65535

Si el entorno de red de su computadora utiliza solo Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 o Windows Vista, debe habilitar la conectividad en el rango de puertos alto de 49152 a 65535.

Windows 2000, Windows XP y Windows Server 2003 utilizan el siguiente rango de puertos dinámicos:

Puerto de salida: 1025

Puerto final: 5000

Si el entorno de red de su computadora utiliza Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 o Windows Vista junto con versiones de Windows anteriores a Windows Server 2008 y Windows Vista, debe habilitar la conectividad en los siguientes rangos de puertos:

Rango de puerto alto 49152 a 65535

Rango de puerto bajo de 1025 a 5000

Modo de monitoreo SNMP:

Puertos necesarios - Puerto del agente SNMP: 161

SERVICIOS
Directorio Activo

Instrumental de administración de Windows (WMI) - Puerto: 445

Llamada a procedimiento remoto (RPC) - Puerto: 135

Comunicación remota de PowerShell: TCP 5985 y 5986

Consulte también los puertos necesarios para el modo de supervisión WMI en Servidores
FTP / SFTP

Puerto en el que se ejecuta FTP o SFTP (predeterminado: 21 para FTP, 22 para SFTP)

JMX [MX4J / JDK 1.5] Puerto del agente JMX (predeterminado: 1099)
 

Para monitorear JMX detrás del firewall, se deben realizar los siguientes cambios.

  • Edite el archivo startApplicationsManager.bat / sh . Agregue
    -Dmonitor.jmx.rmi.port = <número de puerto para comunicación de socket RMI> a las opciones de tiempo de ejecución de Java.
  • Reinicie el servidor de Applications Manager
  • Asegúrese de que el puerto RMI Socket (paso 1) y el puerto JNDI (paso 4) estén abiertos en el firewall
  • Agregue el monitor de aplicaciones JMX después de proporcionar los detalles relevantes.
  • El monitor debe agregarse correctamente
LDAP Puerto del servidor LDAP
Monitoreo de servicio El puerto de servicio que necesita monitorear
SNMP Puerto del agente SNMP (predeterminado: 161)
Telnet Puerto que necesita para Telnet
Apache ZooKeeper

El puerto predeterminado del agente JMX es 1099

Si Apache ZooKeeper se ejecuta en JDK7 Update 4 o superior, el número de puerto al que se vinculará el conector RMI debe establecerse mediante la propiedad del sistema " -Dcom.sun.management.jmxremote.rmi.port = 1099 " en Apache ZooKeeper para conectarse desde el Administrador de aplicaciones a través del firewall.

Si Apache ZooKeeper se ejecuta en versiones anteriores de JDK, consulte http://www.netcluesoft.com/rmi-through-a-firewall.html para configurar el número de puerto para la comunicación del conector RMI.

Coherencia de Oracle Habilite JMX para la supervisión. El puerto JMX para las instalaciones predeterminadas de Coherence es 1099.
Hadoop Habilite JMX para la supervisión. El puerto JMX del NameNode.
TRANSACCIÓN
APM Insight El puerto del servidor web de Applications Manager debe ser accesible desde el servidor del agente de APM Insight (predeterminado: 9090).
Virtualización
Hyper-V

Instrumental de administración de Windows (WMI) - Puerto: 445

Llamada a procedimiento remoto (RPC) - Puerto: 135

Consulte también los puertos necesarios para el modo de supervisión WMI en Servidores
VMWare ESX / ESXi Puerto del servicio web VMWare (predeterminado: 443)
Citrix Xenserver El puerto https donde se ejecuta el servicio web XenServer. El puerto predeterminado es 443.
Estibador El puerto del zócalo de Docker. (puerto predeterminado: 4243).
SERVIDOR WEB / SERVICIOS
Real Browser Monitor (puerto Qengine) El qeport (predeterminado: 5001) mencionado en el archivo AppManager_Homeworkingconfqeruntime.properties debe ser accesible desde la máquina donde desea registrar los scripts web RBM
Monitor de certificado SSL Puerto SSL en el que se ejecuta el servidor web (predeterminado: 443).
Servidor web: Apache / IIS / PHP Puerto HTTP del servidor web (predeterminado: 80).
Elasticsearch El puerto en el que se ejecuta ElasticSearch (predeterminado: 9200).
Apache Solr El puerto en el que se ejecuta ApacheSolr (predeterminado: 8983)
Diverso
Oyentes de trampas El puerto de escucha de capturas (predeterminado: 1620) en el servidor de Applications Manager debe ser accesible desde el servidor al que desea enviar capturas. Más información sobre la recepción de trampas SNMP.
Monitoreo de la experiencia del usuario web Asegúrese de estar conectado a Internet y de poder acceder al sitio 24 horas al día, 7 días a la semana.

El Administrador de aplicaciones se asegura de que los datos estén seguros. La base de datos interna de PGSQL permite que solo el localhost acceda a la base de datos a través de usuarios autenticados. Los nombres de usuario y las contraseñas se almacenan en la base de datos PGSQL que se incluye junto con el producto. Las contraseñas están encriptadas para mantener la seguridad.

Privilegios necesarios para diferentes tipos de monitores:

Monitores Privilegios
Directorio Activo Nombre de usuario / contraseña de administrador [modo WMI]
Amazonas
  • El ID de clave de acceso de AWS para acceder a AWS a través de la API. La clave de acceso tiene 20 caracteres alfanuméricos.
  • La clave de acceso secreta de AWS. La clave secreta debe tener 40 caracteres alfanuméricos.
Servidor Apache Credenciales para acceder a la URL de estado del servidor para Apache
AS400 / iSeries
  • Para recuperar datos para todos los módulos en el monitor AS400 / iSeries excepto 'Disco', se requiere un usuario con perfil de usuario * USER.
  • Para recuperar datos para 'Disco' y realizar acciones de administrador desde el Administrador de aplicaciones, se requiere un usuario con perfil de usuario * SECOFR.
  • Si no es posible utilizar el perfil de usuario * SECOFR, para recuperar datos del disco y realizar las acciones de administración, como ver el archivo en spool, el registro de trabajos y realizar acciones en TRABAJOS, BOBINA, SUBSISTEMA, un perfil de usuario con autorizaciones especiales como * ALLOBJ, Se requiere * SAVSYS, * JOBCTL, * SPLCTL.

  • El usuario debe tener permiso para acceder a la biblioteca QMPGDATA / QPFRDATA porque el Administrador de aplicaciones utiliza el servicio de recopilación de rendimiento para recuperar detalles del disco del servidor AS400 / iSeries. Nota: Si la recopilación de datos de rendimiento no está habilitada en AS400 / iSeries, debe iniciarla mediante el comando STRPFRCOL o GO PERFORM -> COLLECT PERFORMANCE DATA -> START PERFORMANCE COLLECTION. También podrá ejecutar el mandato STRPFRCOL desde la página del supervisor del servidor AS400 / iSeries en Admin -> Opción de mandato no interactivo.

Monitor de consultas de base de datos Usuario con privilegios para acceder a una base de datos en particular y ejecutar la consulta
DB2 Usuario con al menos autoridad de nivel de instancia SYSMON
Servidor de intercambio Nombre de usuario / contraseña de administrador [modo WMI]
Directorio de archivos Usuario con privilegios para acceder al archivo o directorio para monitorear
FTP / SFTP Si la autenticación está habilitada, ingrese el nombre de usuario y la contraseña para conectarse al servidor FTP / SFTP y muévase al directorio requerido
Glassfish Nombre de usuario y contraseña para conectarse a la consola de administración de Glassfish
HP-UX Privilegio de usuario invitado
URL HTTP Si se requiere autenticación básica, ingrese lo mismo en el monitor
Hyper-V Privilegios de administrador para el sistema operativo raíz (Windows 2008 R2 y otras versiones compatibles de Hyper-V)
IBM AIX Los privilegios de usuario invitado son suficientes, pero se requieren privilegios de "raíz" para recopilar detalles relacionados con la memoria. Por lo tanto, es preferible utilizar una cuenta "raíz" para ver todos los detalles.
IBM WebSphere MQ Un nombre de canal con el tipo de "Canal de conexión del servidor"
JBoss Utilice el nombre de usuario / contraseña de JBoss (si Jboss está autenticado). El usuario debe poder acceder a la consola JBoss JMX. Si no es así, no se requiere nombre de usuario / contraseña
Tiempo de ejecución JMX / Java

Si la autenticación está habilitada, ingrese el nombre de usuario y la contraseña para conectarse al agente JMX.

Si la aplicación Java se ejecuta en JDK7 Update 4 o superior, el número de puerto al que se vinculará el conector RMI debe establecerse mediante la propiedad del sistema " -Dcom.sun.management.jmxremote.rmi.port = 1099 " en ese Java aplicación para conectarse desde el Administrador de aplicaciones a través del firewall.

Si la aplicación Java se ejecuta en versiones anteriores de JDK, consulte http://www.netcluesoft.com/rmi-through-a-firewall.html para configurar el número de puerto para la comunicación del conector RMI.

LDAP Si la autenticación está habilitada, ingrese el nombre de usuario y la contraseña. Si no se proporciona un nombre de usuario y contraseña, se conectará al servidor LDAP como un inicio de sesión anónimo.
Linux Privilegio de usuario invitado
Servidor de correo Si la autenticación está habilitada, ingrese el nombre de usuario y la contraseña para conectarse a SMTP y POP
Microsoft .Net Nombre de usuario / contraseña de administrador [modo WMI]
Microsoft Office SharePoint Server Nombre de usuario / contraseña de administrador [modo WMI]
MS SQL Administrador del sistema / propietario de la base de datos "maestra"
MSMQ Nombre de usuario / contraseña de administrador [modo WMI]
MySQL El nombre de usuario especificado debe tener acceso a las bases de datos que se supervisarán. MySQL también debería estar configurado. Esto permite que el host en el que se ejecuta App Manager acceda a la base de datos MySQL.
Oráculo Usuario con roles CONNECT y SELECT_CATALOG_ROLE
SAP / SAP CCMS

Necesita un perfil de usuario de SAP con los siguientes objetos de autorización: S_RFC, S_XMI_LOG y S_XMI_PROD, que son los requisitos previos mínimos para agregar un monitor SAP.

Usamos SAP Java Connector para conectarnos al servidor SAP ABAP. SAP JCo se comunicará desde APM a SAP utilizando SAP Dispatcher. El puerto de SAP Dispatcher que se utilizará es el 3200 con el número del sistema SAP.

Monitor de secuencia de comandos Usuario con privilegios para ejecutar el script y acceder al archivo de salida.
Servidor con modo SNMP Cadena de comunidad SNMP con privilegios de lectura.
SNMP / dispositivo de red

Para la versión SNMP V1 / V2c:

  • Cadena de comunidad SNMP con privilegios de solo lectura.

Para SNMP versión V3:

Seleccione uno de los tres niveles de seguridad en la lista desplegable:

  • NoAuthNoPriv : los mensajes se pueden enviar sin autenticar y sin cifrar. Ingrese un nombre de usuario y un nombre de contexto.
  • AuthNoPriv : los mensajes se pueden enviar autenticados pero sin cifrar. Introduzca un nombre de usuario, un nombre de contexto y una contraseña de autenticación. Puede seleccionar un protocolo de autenticación como MD5 o SHA de la lista desplegable.
  • AuthPriv : los mensajes se pueden enviar autenticados y cifrados. Introduzca un nombre de usuario, un nombre de contexto, una contraseña de autenticación y una contraseña de privacidad. Puede seleccionar un protocolo de autenticación como MD5 o SHA de la lista desplegable. Por defecto, se utilizará la técnica de cifrado 'DES'.
Solaris Privilegio de usuario invitado.
Sybase El usuario debe tener privilegios de administrador o el propietario de la base de datos para la base de datos maestra.
Gato
  • Para 5.xy versiones posteriores, se requiere un nombre de usuario y una contraseña para conectarse a la aplicación Tomcat Manager. De lo contrario, no se requiere nombre de usuario / contraseña.
  • Para 5.x, el usuario especificado debe tener un rol de 'administrador'.
  • Para 6.xy versiones posteriores, el usuario especificado debe tener los roles "manager-gui", "manager-script", "manager-jmx" y "manager-status".
VMWare ESX / ESXi

Al agregar servidores VMWare ESX / ESXi para la supervisión, le recomendamos que utilice la cuenta raíz. Sin embargo, si no puede usar la cuenta raíz, puede usar un perfil de "solo lectura" para agregar los servidores. Este perfil tiene todos los privilegios necesarios para la monitorización. El usuario que cree debe ser:

  • un miembro del usuario del grupo.
  • basado en el perfil 'solo lectura'.
Servidor VMware vFabric RabbitMQ Nombre de usuario y contraseña del servidor RabbitMQ.
WebLogic Utilice el nombre de usuario / contraseña de WebLogic, si WebLogic está autenticado. El usuario debe ser administrador. De lo contrario, no se requiere nombre de usuario / contraseña.
Servidor de integración WebLogic Utilice el nombre de usuario / contraseña de WebLogic, si WebLogic está autenticado. El usuario debe ser administrador. De lo contrario, no se requiere nombre de usuario / contraseña.
Servicios web Proporcione el nombre de usuario y la contraseña, si es necesario para invocar la operación del servicio web.
WebSphere Si la seguridad global está habilitada, use el mismo nombre de usuario / contraseña. De lo contrario, no se requiere nombre de usuario / contraseña.
Ventanas Nombre de usuario / contraseña de administrador [modo WMI].

Edición de Empresa

Camino Puertos
Administrador a servidor administrado Puerto SSL (predeterminado 8443): para la sincronización de la base de datos del servidor
web (predeterminado 9090).
Servidor administrado a administrador Puerto SSL (predeterminado 8443).

Nota: El entorno de producción le brinda los detalles de configuración que debe cuidar al mover el Administrador de aplicaciones a Producción.