Configuration d'une liste d'autorisation d'adresses IP pour se connecter à Kaspersky Security Center Linux

Par défaut, les utilisateurs peuvent se connecter à Kaspersky Security Center Linux depuis n'importe quel appareil sur lequel ils peuvent ouvrir Kaspersky Security Center Web Console. Cependant, vous pouvez configurer le Serveur d'administration afin que les utilisateurs puissent s'y connecter uniquement à partir d'appareils avec des adresses IP autorisées. Dans ce cas, même si un intrus vole un compte de Kaspersky Security Center Linux, il ne pourra pas se connecter à Kaspersky Security Center Linux car l'adresse IP de l'appareil de l'intrus ne se trouve pas dans la liste d'autorisation.

L'adresse IP est vérifiée lorsqu'un utilisateur se connecte à Kaspersky Security Center Linux ou exécute une application qui interagit avec le Serveur d'administration via Kaspersky Security Center Linux OpenAPI. À ce moment, l'appareil d'un utilisateur tente d'établir une connexion avec le Serveur d'administration. Si une adresse IP de l'appareil ne figure pas dans la liste d'autorisation, l'erreur d'authentification se produit et l'événement KLAUD_EV_SERVERCONNECT signale qu'une connexion avec le Serveur d'administration n'a pas été établie.

Par exemple, ces applications incluent Kaspersky Anti Targeted Attack Platform et Kaspersky Security for Virtualization. Il peut également s'agir d'un client développé par vous sur la base d'OpenAPI.

Conditions requises pour une liste d'autorisation d'adresses IP

Les adresses IP sont vérifiées uniquement lorsque les applications suivantes tentent de se connecter au Serveur d'administration :

• Serveur de Kaspersky Security Center Web Console

  Si vous vous connectez à Kaspersky Security Center Linux via Kaspersky Security Center Web Console, vous pouvez configurer un pare-feu sur l'appareil où Kaspersky Security Center Web Console Server est installé à l'aide du système d'exploitation standard. Ensuite, si quelqu'un essaie de se connecter à Kaspersky Security Center Linux sur un appareil et Kaspersky Security Center Web Console Server est installé sur un autre appareil, un pare-feu permet d'empêcher les intrus d'intervenir.

• Applications interagissant avec le Serveur d'administration via les objets d'automatisation klakaut
• Applications interagissant avec le Serveur d'administration via OpenAPI, comme Kaspersky Anti Targeted Attack Platform ou Kaspersky Security for Virtualization

Par conséquent, indiquez les adresses des appareils sur lesquels les applications répertoriées ci-dessus sont installées.

Vous pouvez définir des adresses IPv4 et IPv6. Vous ne pouvez pas spécifier de plages d'adresses IP.

Comment établir une liste d'autorisation d'adresses IP

Si vous n'avez pas encore défini de liste d'autorisation, suivez les instructions ci-dessous.

Pour établir une liste d'autorisation d'adresses IP pour se connecter à Kaspersky Security Center Linux :

1. Sur l'appareil du Serveur d'administration, exécutez l'invite de commande sous un compte avec des droits d'administrateur.
2. Remplacez votre répertoire actuel par le dossier d'installation de Kaspersky Security Center Linux (généralement, /opt/kaspersky/ksc64/sbin).
3. Sous le compte root, saisissez la commande suivante :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

   Indiquez les adresses IP qui répondent aux exigences énumérées ci-dessus. Plusieurs adresses IP doivent être séparées par un point-virgule.

   Exemple d'autorisation de connexion d'un seul appareil au Serveur d'administration :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   Exemple d'autorisation de connexion de plusieurs appareils au Serveur d'administration :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. Relancez le service du Serveur d'administration.

Vous pouvez savoir si vous avez correctement configuré la liste d'autorisation d'adresses IP dans les journaux d'événement Syslog sur le Serveur d'administration.

Comment modifier une liste d'autorisation d'adresses IP

Vous pouvez modifier une liste d'autorisation comme vous l'avez fait lors de sa création. Pour cela, exécutez la même commande et indiquez une nouvelle liste d'autorisation :

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s

Si vous souhaitez supprimer certaines adresses IP de la liste d'autorisation, réécrivez-la. Par exemple, votre liste d'autorisation inclut les adresses IP suivantes : 192.0.2.0 ; 198.51.100.0 ; 203.0.113.0. Vous souhaitez supprimer l'adresse IP 198.51.100.0. Pour ce faire, saisissez la commande suivante à l'invite de commande, en :

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

N'oubliez pas de redémarrer le service du Serveur d'administration.

Comment réinitialiser une liste d'autorisation configurée d'adresses IP

Pour réinitialiser une liste d'autorisation d'adresses IP déjà configurée, procédez comme suit :

1. Sous le compte root, saisissez la commande suivante à l'invite de commande :

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. Relancez le service du Serveur d'administration.

Après cela, les adresses IP ne sont plus vérifiées.