Cenário: Conectando dispositivos externos por meio de um gateway de conexão

5 de abril de 2024

ID 204219

Este cenário descreve como conectar dispositivos gerenciados localizados fora da rede principal ao Servidor de Administração.

Pré-requisitos

O cenário tem os seguintes prerrequisitos:

  • Uma zona desmilitarizada (DMZ) é organizada na rede da organização.
  • O Servidor de Administração do Kaspersky Security Center é implementado na rede corporativa.

Fases

O cenário segue em etapas:

  1. Selecionando um dispositivo cliente na DMZ

    Este dispositivo será usado como um gateway de conexão. O dispositivo selecionado deve atender aos requisitos de gateways de conexão.

  2. Instalando o Agente de Rede na função de gateway de conexão

    Recomendamos que você use a instalação local para instalar o Agente de Rede no dispositivo selecionado.

    Por padrão, o arquivo de instalação está localizado em: \\<nome do servidor.>\KLSHARE\PkgInst\NetAgent_<número da versão>

    Na janela Gateway de conexão do Assistente de instalação do Agente de Rede, selecione Usar o Agente de Rede como um gateway de conexão na DMZ. Esse modo ativa simultaneamente a função de gateway de conexão e sinaliza ao Agente de Rede para aguardar as conexões do Servidor de Administração em vez de estabelecer conexões com o Servidor de Administração.

    Alternativamente, você pode instalar o Agente de Rede em um dispositivo Linux e configurá-lo para funcionar como um gateway de conexão, mas atente para a lista de limitações do Agente de Rede em execução em dispositivos Linux.

  3. Permitindo conexões em firewalls no gateway de conexão

    Para certificar-se de que o Servidor de Administração pode realmente se conectar ao gateway de conexão na DMZ, permita conexões com a porta TCP 13000 em todos os firewalls entre o Servidor de Administração e o gateway de conexão.

    Se o gateway de conexão não tiver um endereço IP real na Internet, mas estiver localizado atrás da Tradução de Endereço de Rede (NAT), configure uma regra para encaminhar as conexões por meio da NAT.

  4. Criando um grupo de administração para dispositivos externos

    Crie um novo grupo no grupo Dispositivos gerenciados. Esse novo grupo conterá dispositivos externos gerenciados.

  5. Conectando o gateway de conexão a um Servidor de Administração

    O gateway de conexão configurado está esperando por uma conexão vinda do Servidor de Administração. No entanto, o Servidor de Administração não lista o dispositivo com o gateway de conexão entre os dispositivos gerenciados. Isso ocorre porque o gateway de conexão não tentou estabelecer uma conexão com o Servidor de Administração. Portanto, você precisa de um procedimento especial para garantir que o Servidor de Administração inicie uma conexão com o gateway de conexão.

    Faça o seguinte:

    1. Adicione o gateway de conexão como um ponto de distribuição.
    2. Mova o gateway de conexão do grupo Dispositivos não atribuídos para o grupo que criado para dispositivos externos.

    O gateway de conexão está conectado e configurado.

  6. Conectando computadores desktop externos ao Servidor de Administração

    Normalmente, os computadores desktop externos não são movidos dentro do perímetro. Portanto, você precisa configurá-los para se conectarem ao Servidor de Administração por meio do gateway ao instalar o Agente de Rede.

  7. Configurando as atualizações para os computadores desktop externos

    Se as atualizações de aplicativos de segurança forem configuradas para serem baixadas do Servidor de Administração, os computadores externos baixarão as atualizações por meio do gateway de conexão. Isso apresenta duas desvantagens:

    • Tráfego desnecessário é gerado, o que ocupa a largura de banda do canal de comunicação via Internet da empresa.
    • Essa não é necessariamente a maneira mais rápida de obter atualizações. É muito provável que seja mais barato e mais rápido para computadores externos receberem atualizações dos servidores de atualização Kaspersky.

    Faça o seguinte:

    1. Mova todos os computadores externos para o grupo de administração separado criado anteriormente.
    2. Exclua o grupo com dispositivos externos da tarefa de atualização.
    3. Crie uma tarefa de atualização separada para o grupo com dispositivos externos.
  8. Conectando laptops em trânsito ao Servidor de Administração

    Laptops itinerantes encontram-se às vezes dentro da rede e fora e outras ocasiões. Para um gerenciamento eficaz, é necessário que eles se conectem ao Servidor de Administração de maneira diferente dependendo de sua localização. Para um uso eficiente do tráfego, eles também precisam receber atualizações de diferentes fontes dependendo de sua localização.

    É necessário configurar regras para usuários ausentes: perfis de conexão e descrições de local de rede. Cada regra define o Servidor de Administração, a instância à qual os laptops itinerantes devem se conectar, dependendo de sua localização e do Servidor de Administração a partir do qual devem receber atualizações.

Consulte também:

Acesso à Internet: Agente de Rede como um gateway de conexão no DMZ

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.