Basic steps – Network
Use secure and trusted networks connection
Network communications must be secure, whether or not you are on a closed network. By default, secure communications should be used when accessing the VMS. For example:
- VPN tunnels or HTTPS by default
- Latest version of the Transport Layer Security (https://datatracker.ietf.org/wg/tls/charter/) (TLS, currently 1.2) with valid certificates that meet industry best practices, such as from Public-Key Infrastructure (X.509) (https://datatracker.ietf.org/wg/ipsec/documents/) and CA/Browser Forum (https://cabforum.org/).
Otherwise, credentials may be compromised and intruders might use them to access the VMS.
Configure the network to allow client computers to establish secure HTTPS sessions or VPN tunnels between the client devices and the VMS servers.
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 SI-2 Flaw remediation
- NIST SP 800-53 CM-6 Configuration Settings
- NIST SP 800-53 SC-23 Session Authenticity
Use firewalls to limit IP access to servers and computers
Milestone recommends that you use secure connections, and the following additional steps:
- Use secure device authentication
- Use TLS
- Use device whitelisting to authenticate devices
- Use firewalls to limit network communication between servers and client computers and programs.
All XProtect components and the ports needed by them are listed in individual sections below. To ensure, for example, that the firewall blocks only unwanted traffic, you need to specify the ports that the XProtect VMS uses. You should only enable these ports. The lists also include the ports used for local processes.
They are arranged in two groups:
- Server components (services)—Offer their service on particular ports which is why they need to listen for client requests on these ports. Therefore, these ports need to be opened in the Windows Firewall for inbound connections.
- Client components (clients)—Initiate connections to particular ports on server components. Therefore, these ports need to be opened for outbound connections. Outbound connections are typically open by default in the Windows Firewall.
If nothing else is mentioned, ports for server components must be opened for inbound connections, and ports for client components must be opened for outbound connections.
Do keep in mind that server components can act as clients to other server components as well.
The port numbers are the default numbers, but this can be changed. Contact Milestone Support, if you need to change ports that are not configurable through the Management Client.
Server components (inbound connections)
Each of the following sections list the ports which need to be opened for a particular service. In order to figure out which ports need to be opened on a particular computer, you need to consider all services running on this computer.
Restrict remote access to the Management Server by adding firewall rules to only allow Recording Servers to connect to TCP port 9000.
Management Server servicio y procesos relacionados
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 80 | HTTP | IIS | Todos los servidores y el XProtect Smart Client y el Management Client | La finalidad del puerto 80 y del puerto 443 es la misma. Sin embargo, qué puerto utiliza el VMS depende de si usted ha utilizado certificados para proteger la comunicación.
|
| 443 | HTTPS | IIS | ||
| 445 | TCP | Servicio Management Server | Management Server Manager. | Habilite a usuarios del Windows Active Directory para añadirlos a cometidos. |
| 6473 | TCP | Management Server servicio | Management Server Manager icono de la bandeja, solo conexión local. | Mostrando estado y gestionando el servicio. |
| 8080 | TCP | Servidor de gestión | Solo conexión local. | Comunicación entre procesos internos en el servidor. |
| 9000 | HTTP | Servidor de gestión | Recording Server servicios | Servicio web para comunicación interna entre servidores. |
| 12345 | TCP | Management Server servicio | XProtect Smart Client | Comunicación entre el sistema y los destinatarios de Matrix. Puede cargar el número de puerto en Management Client. |
| 12974 | TCP | Management Server servicio | Servicio SNMP de Windows | Comunicación con agente de extensión de SNMP. No utilice el puerto para otros fines, incluso si su sistema no aplica SNMP. En sistemas XProtect 2014 o más antiguos, el número de puerto era 6475. En sistemas XProtect 2019 R2 y más antiguos, el numero de puerto era 7475. |
SQL Server servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 1433 | TCP | SQL Server | Management Server servicio | Almacenar y recuperar configuraciones por medio de Identity Provider. |
| 1433 | TCP | SQL Server | Event Server servicio | Almacenar y recuperar eventos por medio de Identity Provider. |
| 1433 | TCP | SQL Server | Log Server servicio | Almacenar y recuperar entradas de registro por medio de Identity Provider. |
Data Collector servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 7609 | HTTP | IIS | En el ordenador del servidor de gestión: Data Collector servicios en todos los demás servidores. En otros ordenadores: Data Collector servicio en el Servidor de Gestión. | Monitor del sistema. |
Event Server servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 1234 | TCP/UDP | Event Server Servicio | Cualquier servidor que envíe eventos genéricos a su sistema XProtect. | Escuchando eventos genéricos de dispositivos o sistemas externos. Solo si la fuente de datos relevante está habilitada. |
| 1235 | TCP | Event Server servicio | Cualquier servidor que envíe eventos genéricos a su sistema XProtect. | Escuchando eventos genéricos de dispositivos o sistemas externos. Solo si la fuente de datos relevante está habilitada. |
| 9090 | TCP | Event Server servicio | Cualquier sistema o dispositivo que envía eventos de análisis a su sistema XProtect. | Escuchar eventos de análisis de dispositivos o sistemas externos. Solo es relevante si la característica Eventos de análisis está habilitada. |
| 22331 | TCP | Event Server servicio | XProtect Smart Client y la Management Client | Datos de configuración, eventos, alarmas y planos. |
| 22332 | WS/WSS HTTP/HTTPS* | Event Server servicio | API Gateway y la Management Client | Suscripción de evento/estado, API REST de eventos, API de mensajería de Websockets y API REST de alarmas. |
| 22333 | TCP | Event Server servicio | MIP Plug-ins y aplicaciones. | MIP mensajería. |
*Se devolverá un error 403 cuando se acceda a HTTP para acceder a un punto final solo para HTTPS.
Recording Server servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 25 | SMTP | Recording Server Servicio | Cámaras, codificadores y dispositivos de E/S. | Escuchando mensajes de eventos de dispositivos. El puerto está deshabilitado de forma predeterminada. (Desaprobado) Habilitar esta opción abrirá un puerto para conexiones no encriptadas y no es recomendable. |
| 5210 | TCP | Recording Server Servicio | Servidores de grabación de failover. | Fusión de bases de datos después de que se haya estado ejecutando un servidor de grabación de failover. |
| 5432 | TCP | Recording Server Servicio | Cámaras, codificadores y dispositivos de E/S. | Escuchando mensajes de eventos de dispositivos. El puerto está deshabilitado de forma predeterminada. |
| 7563 | TCP | Recording Server Servicio | XProtect Smart Client, Management Client | Recuperando flujos de vídeo y audio, comandos de PTZ. |
| 8966 | TCP | Recording Server Servicio | Recording Server Manager icono de la bandeja, solo conexión local. | Mostrando estado y gestionando el servicio. |
| 9001 | HTTP | Recording Server Servicio | Servidor de gestión | Servicio web para comunicación interna entre servidores. Si se están usando múltiples instancias del Servidor de grabaciones, cada instancia necesita su propio puerto. Los puertos adicionales serán 9002, 9003, etc. |
| 11000 | TCP | Recording Server Servicio | Servidores de grabación de failover | Agrupando el estado de los servidores de grabación. |
| 12975 | TCP | Recording Server Servicio | Servicio SNMP de Windows | Comunicación con agente de extensión de SNMP. No utilice el puerto para otros fines, incluso si su sistema no aplica SNMP. En sistemas XProtect 2014 o más antiguos, el número de puerto era 6474. En sistemas XProtect 2019 R2 y más antiguos, el número de puerto era 7474. |
| 65101 | UDP | Recording Server servicio | Solo conexión local | Escuchar notificaciones de eventos de los controladores. |
Además de las conexiones entrantes al servidor de Recording Server enumeradas previamente, el servicio Recording Server establece conexiones salientes a:
- Cámaras
- NVR
- Sitios remotos interconectados (ICP interconectado de Milestone)
Failover Server servicio y servicio de Failover Recording Server
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 25 | SMTP | Failover Recording Server Servicio | Cámaras, codificadores y dispositivos de E/S. | Escuchando mensajes de eventos de dispositivos. El puerto está deshabilitado de forma predeterminada. (Desaprobado) Habilitar esta opción abrirá un puerto para conexiones no encriptadas y no es recomendable. |
| 5210 | TCP | Failover Recording Server Servicio | Servidores de grabación de failover | Fusión de bases de datos después de que se haya estado ejecutando un servidor de grabación de failover. |
| 5432 | TCP | Failover Recording Server Servicio | Cámaras, codificadores y dispositivos de E/S. | Escuchando mensajes de eventos de dispositivos. El puerto está deshabilitado de forma predeterminada. |
| 7474 | TCP | Failover Recording Server Servicio | Servicio SNMP de Windows | Comunicación con agente de extensión de SNMP. No utilice el puerto para otros fines, incluso si su sistema no aplica SNMP. |
| 7563 | TCP | Failover Recording Server Servicio | XProtect Smart Client | Recuperando flujos de vídeo y audio, comandos de PTZ. |
| 8844 | UDP | Failover Recording Server Servicio | Comunicación entre los servicios del servidor de grabación failover. | Comunicación entre los servidores. |
| 8966 | TCP | Failover Recording Server Servicio | Failover Recording Server Manager icono de la bandeja, solo conexión local. | Mostrando estado y gestionando el servicio. |
| 8967 | TCP | Failover Server Servicio | Failover Server Manager icono de la bandeja, solo conexión local. | Mostrando estado y gestionando el servicio. |
| 8990 | HTTP | Failover Server Servicio | Management Server servicio | Monitorización del estado del servicio de Failover Server. |
| 9001 | HTTP | Failover Server Servicio | Servidor de gestión | Servicio web para comunicación interna entre servidores. |
Además de las conexiones entrantes al servicio del Servidor de failover/Failover Recording Server enumeradas previamente, el servicio del Servidor de failover/Failover Recording Server establece conexiones salientes a las grabadoras normales, cámaras y para el Envío automático de vídeo.
Log Server servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 22337 | HTTP | Servicio Log Server | Todos los componentes de XProtect excepto el servidor de grabación. | Escribir, leer y configurar el servidor de registros. |
Este puerto utiliza HTTP, pero la comunicación está encriptada con seguridad de mensajes que utiliza la especificación WS-Security para asegurar los mensajes. Para obtener más información, consulte Seguridad de mensajes en WCF.
Mobile Server servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 8000 | TCP | Mobile Server servicio | Mobile Server Manager icono de la bandeja, solo conexión local. | Aplicación SysTray. |
| 8081 | HTTP | Mobile Server servicio | Clientes móviles, clientes web y Management Client. | Enviando flujos de datos; vídeo y audio. |
| 8082 | HTTPS | Mobile Server servicio | Clientes móviles y clientes web. | Enviando flujos de datos; vídeo y audio. |
| 40001 - 40099 | HTTP | Mobile Server servicio | Servicio del servidor de grabaciones | Mobile Server Push de vídeo. Este rango de puertos está deshabilitado de forma predeterminada. |
LPR Server servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 22334 | TCP | LPR Server Servicio | Servidor de eventos | Recuperar las matrículas reconocidas y el estado del servidor. Para poder conectarse, el servidor de eventos debe tener instalado el plug-in LPR. |
| 22334 | TCP | LPR Server Servicio | LPR Server Manager icono de la bandeja, solo conexión local. | Aplicación SysTray |
Milestone Open Network Bridge servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 580 | TCP | Milestone Open Network Bridge Servicio | Clientes de ONVIF | Autenticación y solicitudes para configuración de flujo de vídeo. |
| 554 | RTSP | Servicio RTSP | Clientes de ONVIF | Transmisión de vídeo solicitado a clientes de ONVIF. |
XProtect DLNA Server servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 9100 | HTTP | DLNA Server Servicio | Dispositivo DLNA | Detección de dispositivos y suministro de configuración de canales DLNA. Solicita flujos de vídeo. |
| 9200 | HTTP | DLNA Server Servicio | Dispositivo DLNA | Transmisión de vídeo solicitada a dispositivos de DLNA. |
XProtect Screen Recorder servicio
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 52111 | TCP | XProtect Screen Recorder | Recording Server Servicio | Proporciona vídeo desde un monitor. Aparece y actúa del mismo modo que una cámara en el servidor de grabaciones. Puede cargar el número de puerto en Management Client. |
XProtect Incident Manager service
Número de puerto | Protocolo | Proceso | Conexiones desde... | Objetivo |
|---|---|---|---|---|
| 80 | HTTP | IIS | XProtect Smart Client y la Management Client | La finalidad del puerto 80 y del puerto 443 es la misma. Sin embargo, qué puerto utiliza el VMS depende de si usted ha utilizado certificados para proteger la comunicación.
|
| 443 | HTTPS | IIS |
Componentes del servidor (conexiones salientes)
Management Server servicio
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 443 | HTTPS | El servidor de licencias que alberga el servicio de Gestión de licencias. La comunicación es por medio de https://www.milestonesys.com/ OnlineActivation/ LicenseManagementService.asmx | Licencias de activación. |
Recording Server servicio
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 80 | HTTP | Cámaras, NVR, codificadores Sitios interconectados | Autenticación, configuración y flujos de datos; vídeo y audio. Inicio de sesión |
| 443 | HTTPS | Cámaras, NVR, codificadores | Autenticación, configuración y flujos de datos; vídeo y audio. |
| 554 | RTSP | Cámaras, NVR, codificadores | Flujos de datos, vídeo y audio. |
| 7563 | TCP | Sitios interconectados | Flujos de datos y eventos. |
| 11000 | TCP | Servidores de grabación de failover | Agrupando el estado de los servidores de grabación. |
| 40001 – 40099 | HTTP | Servicio servidor Mobile | Envío automático de vídeo del servidor móvil. Este rango de puertos está deshabilitado de forma predeterminada. |
Failover Server servicio y servicio de Failover Recording Server
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 11000 | TCP | Servidores de grabación de failover | Agrupando el estado de los servidores de grabación. |
Event Server servicio
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 80 | HTTP | API Gateway y la Management Server | Acceda a la API de configuración desde el API Gateway |
| 443 | HTTPS | API Gateway y la Management Server | Acceda a la API de configuración desde el API Gateway |
| 443 | HTTPS | Milestone Customer Dashboard vía | Envíe mensajes de estado, eventos y error desde el sistema XProtect a Milestone Customer Dashboard. |
Log Server servicio
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 443 | HTTP | Servidor de registro | Reenviando mensajes al servidor de registro. |
API Gateway
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 443 | HTTPS | Management Server | API de RESTful |
| 22332 | WS/WSS HTTP/HTTPS* | Management Client | Suscripción de evento/estado, API REST de eventos, API de mensajería de Websockets y API REST de alarmas. |
Cámaras, codificadores y dispositivos de E/S (conexiones entrantes)
Número de puerto | Protocolo | Conexiones desde... | Objetivo |
|---|---|---|---|
| 80 | TCP | Servidores de grabación y servidores de grabación de failover | Autenticación, configuración y flujos de datos; vídeo y audio. |
| 443 | HTTPS | Servidores de grabación y servidores de grabación de failover | Autenticación, configuración y flujos de datos; vídeo y audio. |
| 554 | RTSP | Servidores de grabación y servidores de grabación de failover | Flujos de datos; vídeo y audio. |
Cámaras, codificadores y dispositivos de E/S (conexiones salientes)
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 25 | SMTP | Servidores de grabación y servidores de grabación de failover | Enviando notificaciones de eventos (obsoleto). |
| 5432 | TCP | Servidores de grabación y servidores de grabación de failover | Enviando notificaciones de eventos. El puerto está deshabilitado de forma predeterminada. |
| 22337 | HTTP | Servidor de registro | Reenviando mensajes al servidor de registro. |
Solo unos pocos modelos de cámara son capaces de establecer conexiones salientes.
Componentes del cliente (conexiones salientes)
XProtect Smart Client, XProtect Management Client, servidor de XProtect Mobile
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 80 | HTTP | servicio API Gateway y Management Server | Autenticación y otras API en el API Gateway. |
| 443 | HTTPS | servicio API Gateway y Management Server | Autenticación de usuarios básicos cuando el cifrado está habilitado y otras API en el API Gateway. |
| 443 | HTTPS | Milestone Systems A/S (doc.milestonesys.com en 52.178.114.226) | Management Client y Smart Client ocasionalmente comprueban si la ayuda en línea está disponible accediendo a la URL de la ayuda. |
| 7563 | TCP | Recording Server servicio | Recuperando flujos de vídeo y audio, comandos de PTZ. |
| 22331 | TCP | Event Server servicio | Alarmas. |
XProtect Web Client, cliente de XProtect Mobile
Número de puerto | Protocolo | Conexiones a... | Objetivo |
|---|---|---|---|
| 8081 | HTTP | Servidor XProtect Mobile | Recuperando flujos de vídeo y audio. |
| 8082 | HTTPS | Servidor XProtect Mobile | Recuperando flujos de vídeo y audio. |
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 CA-3 System Interconnections
- NIST SP 800-53 CM-6 Configuration Settings
- NIST SP 800-53 SC-7 Boundary Protection
Use a firewall between the VMS and the Internet
The VMS should not connect directly to the Internet. If you expose parts of the VMS to the Internet, Milestone recommends that you use an appropriately configured firewall between the VMS and the Internet.
If possible, expose only the XProtect Mobile server component to the Internet, and locate it in a demilitarize zone (DMZ) with firewalls on both sides. This is illustrated in the following figure.
Learn more
The following control(s) provide additional guidance:
- NIST SP 800-53 CA-3 System Interconnections
Connect the camera subnet to the recording server subnet only
Milestone recommends that you connect the camera subnet only to the recording server subnet. The cameras and other devices need to communicate only with the recording servers. For more information, see Recording Server.
Learn more
The following control(s) provide additional guidance:
- NIST 800-53 SC-7 Boundary Protection