Acerca de la conexión de dispositivos fuera de la oficina

Algunos dispositivos administrados siempre se encuentran fuera de la red principal (por ejemplo, las terminales de autoservicio, los cajeros automáticos y las computadoras ubicadas en los hogares de los empleados, en los puntos de venta o en las sucursales de la empresa). Algunos dispositivos se mueven hacia fuera del perímetro de vez en cuando (por ejemplo, las computadoras portátiles de usuarios que visitan sucursales regionales o la oficina de un cliente).

Aún necesita monitorear y administrar la protección de los dispositivos fuera de la oficina, recibir información real sobre su estado de protección y mantener las aplicaciones de seguridad en ellos en el estado actualizado. Esto es necesario porque, por ejemplo, si un dispositivo de este tipo se ve comprometido mientras está lejos de la red principal, podría convertirse en una plataforma para propagar amenazas tan pronto como se conecte a la red principal. Para conectar dispositivos fuera de la oficina al Servidor de administración, puede utilizar los dos métodos siguientes:

• Una puerta de enlace de conexión en la zona desmilitarizada (DMZ)

  Consulte el esquema de tráfico de datos: Servidor de administración en una LAN, dispositivos administrados en Internet, puerta de enlace de conexión en uso

• Un Servidor de administración en DMZ

  Consulte el esquema de tráfico de datos: Servidor de administración en una DMZ, dispositivos administrados en Internet

Una puerta de enlace de conexión en la DMZ

Un método recomendado para conectar al Servidor de administración dispositivos que están fuera de la oficina consiste en preparar una DMZ en la red de la organización e instalar una puerta de enlace de conexión en la DMZ. Los dispositivos externos se conectarán a la puerta de enlace de conexión, y el Servidor de administración dentro de la red iniciará la conexión con los dispositivos a través de la puerta de enlace de conexión.

En comparación con el otro método, este es más seguro por los siguientes motivos:

• No es necesario abrir el acceso al Servidor de administración desde fuera de la red.
• Una puerta de enlace de conexión comprometida no representa un riesgo elevado para la seguridad de los dispositivos de red. En realidad, una puerta de enlace de conexión no administra ningún elemento por sí misma y no establece ninguna conexión.

Además, una puerta de enlace de conexión no necesita muchos recursos de hardware.

Sin embargo, este método implica un proceso de configuración más complejo:

• Para que un dispositivo funcione como una puerta de enlace de conexión en la DMZ, debe instalar el Agente de red y conectarlo al Servidor de administración de una forma muy concreta.
• No podrá utilizar la misma dirección para conectarse al Servidor de administración en todas las situaciones. Desde fuera del perímetro, deberá emplear no solo una dirección diferente (la dirección de la puerta de enlace de conexión), sino también un modo de conexión diferente: a través de una puerta de enlace de conexión.
• También debe definir una configuración de conexión diferente para las computadoras portátiles que se encuentren en diferentes ubicaciones.

El escenario de esta sección describe este método.

Un Servidor de administración en la DMZ

Otro método consiste en instalar un único Servidor de administración en la DMZ.

Esta configuración es menos segura que el método anterior. En este caso, para administrar computadoras portátiles externas, el Servidor de administración debe aceptar conexiones desde cualquier dirección de Internet. Continuará administrando todos los dispositivos de la red interna, pero desde la DMZ. Por lo tanto, un Servidor comprometido podría hacer mucho daño, a pesar de la baja probabilidad de que tal evento ocurra.

El riesgo se reduce significativamente si el Servidor de administración en la DMZ no administra dispositivos en la red interna. Por ejemplo, un proveedor de servicios puede utilizar una configuración de este tipo para administrar los dispositivos de los clientes.

Es posible que desee utilizar este método en los siguientes casos:

• Si está familiarizado con la instalación y configuración del Servidor de administración y no desea realizar otro procedimiento para instalar y configurar una puerta de enlace de conexión.
• Si necesita administrar más dispositivos. La capacidad máxima que admite el Servidor de administración es de 100 000 dispositivos, mientras que una puerta de enlace de conexión puede admitir hasta 10 000 dispositivos.

Esta solución también acarrea algunas posibles dificultades:

• El Servidor de administración necesita una base de datos más y más recursos de hardware.
• La información sobre los dispositivos se almacenará en dos bases de datos no relacionadas (una para el Servidor de administración dentro de la red y otra en la DMZ), lo que complica la supervisión.
• Para administrar todos los dispositivos, el Servidor de administración debe estar asociado en una jerarquía, lo que dificulta no solo la supervisión, sino también la administración. Una instancia del Servidor de administración secundario impone limitaciones en las posibles estructuras de los grupos de administración. Debe decidir de qué manera y qué tareas y directivas distribuirá a una instancia del Servidor de administración secundario.
• Configurar dispositivos externos para utilizar el Servidor de administración en la DMZ de forma externa y utilizar el Servidor de administración principal de forma local no es más simple que configurarlos para utilizar una conexión condicional mediante una puerta de enlace.
• Riesgos de seguridad elevados. Si hay una instancia del Servidor de administración comprometida, es más fácil que sus computadoras portátiles administradas se vean comprometidas. Si esto sucede, los hackers solo deben esperar a que una de las computadoras portátiles vuelva a conectarse a la red corporativa para poder continuar con su ataque en la red de área local.

Consulte también: Servidor de administración y dos dispositivos en DMZ: una puerta de enlace de conexión y un dispositivo cliente Acceso a Internet: Agente de red en modo de puerta de enlace de conexión en DMZ Servidor de administración en una DMZ, dispositivos administrados en Internet Acceso a Internet: Servidor de administración en la zona desmilitarizada (DMZ) Puerta de enlace de conexión

Principio de página