Szenario: Verbinden von mobilen Geräten mittels Verbindungs-Gateway

Dieses Szenario beschreibt, wie Sie verwaltete Geräte, die sich außerhalb des Hauptnetzwerks befinden, mit dem Administrationsserver verbinden.

Erforderliche Vorrausetzungen

Für dieses Szenario müssen die folgenden Voraussetzungen erfüllt sein:

• Eine demilitarisierte Zone (DMZ) ist im Netzwerk Ihrer Organisation eingerichtet.
• Ein Kaspersky Security Center Administrationsserver ist im Unternehmensnetzwerk bereitgestellt.

Schritte

Das Szenario verläuft in Stufen:

1. Auswählen eines Client-Gerätes innerhalb der DMZ

   Das Gerät wird als Verbindungs-Gateway verwendet. Das von Ihnen ausgewählte Gerät muss den Anforderungen an ein Verbindungs-Gateway entsprechen.

2. Installation des Administrationsagenten für seine Rolle als Verbindungs-Gateway

   Für die Installation des Administrationsagenten auf dem ausgewählten Gerät wird eine lokale Installation empfohlen.

   Standardmäßig befindet sich die Installationsdatei unter: \\<Servername>\KLSHARE\PkgInst\NetAgent_<Versionsnummer>

   Wählen Sie im Installationsassistenten des Administrationsagenten im Fenster Verbindungs-Gateway die Option Administrationsagenten als Verbindungs-Gateway in der demilitarisierten Zone verwenden. Dieser Modus aktiviert die Rolle als Verbindungs-Gateway und unterweist gleichzeitig den Administrationsagenten, auf Verbindungen vom Administrationsserver zu warten, anstelle Verbindungen zum Administrationsserver herzustellen.

   Alternativ können Sie den Administrationsagent auf einem Linux-Gerät installieren und so konfigurieren, dass er als Verbindungs-Gateway fungiert, sollten dabei aber die Liste der Einschränkungen von Administrationsagenten auf Linux-Geräten beachten.

3. Erlauben von Verbindungen in den Firewalls auf dem Verbindungs-Gateway

   Um sicherzustellen, dass sich der Administrationsserver tatsächlich mit dem Verbindungs-Gateway in der DMZ verbinden kann, erlauben Sie Verbindungen zu TCP-Port 13000 in allen Firewalls zwischen dem Administrationsserver und dem Verbindungsgateway.

   Wenn das Verbindungs-Gateway keine echte IP-Adresse im Internet besitzt, sich aber stattdessen hinter einer Network Address Translation (NAT) befindet, konfigurieren Sie eine Regel für das Forwarding von Verbindungen über NAT.

4. Erstellen einer Administrationsgruppe für externe Geräte

   Erstellen Sie eine neue Gruppe unter der Gruppe Verwaltete Geräte. Diese neue Gruppe wird die externen verwalteten Geräte enthalten.

5. Verbinden des Verbindungs-Gateways mit dem Administrationsserver

   Das von Ihnen konfigurierte Verbindungs-Gateway wartet auf eine Verbindung vom Administrationsserver. Der Administrationsserver zeigt das Gerät mit dem Verbindungs-Gateway jedoch nicht unter den verwalteten Geräten an. Das liegt daran, dass das Verbindungs-Gateway noch nicht versucht hat, eine Verbindung mit dem Administrationsserver herzustellen. Es ist daher eine spezielle Vorgehensweise notwendig, um sicherzustellen, dass der Administrationsserver eine Verbindung zum Verbindungs-Gateway initiiert.

   Führen Sie folgende Schritte aus:

   1. Fügen Sie das Verbindungs-Gateway als Verteilungspunkt hinzu.
   2. Verschieben Sie das Verbindungs-Gateway von der Gruppe Nicht zugeordnete Geräte in die Gruppe, die Sie für externe Geräte angelegt haben.

   Das Verbindungs-Gateway ist verbunden und konfiguriert.

6. Verbinden von externen Desktop-Computern mit dem Administrationsserver

   In der Regel werden externe Desktop-Computer nicht in den Perimeter hinein bewegt. Daher müssen Sie die Geräte während der Installation des Administrationsagenten so konfigurieren, dass sie sich über das Verbindungs-Gateway mit dem Administrationsserver verbinden.

7. Konfigurieren von Updates für externe Desktop-Computer

   Wenn die Updates der Sicherheitsanwendungen so konfiguriert sind, dass sie vom Administrationsserver heruntergeladen werden, laden sich externe Computer die Updates über den Verbindungs-Gateway herunter. Das hat zwei Nachteile:

   • Es entsteht unnötiger Traffic, welcher Bandbreite vom Internet-Kommunikationskanal des Unternehmens in Beschlag nimmt.
   • Es ist nicht zwangsläufig die schnellste Art, Updates zu beziehen. Es ist anzunehmen, dass es für externe Computer günstiger und schneller wäre, ihre Updates von Kaspersky-Update-Servern zu beziehen.

   Führen Sie folgende Schritte aus:

   1. Verschieben Sie alle externen Computer in die separate Administrationsgruppe, die Sie zu einem früheren Zeitpunkt angelegt haben.
   2. Schließen Sie die Gruppe mit den externen Geräten von der Update-Aufgabe aus.
   3. Erstellen Sie eine separate Update-Aufgabe für die Gruppe mit den externen Geräten.
8. Verbinden von Laptops, die Reisetätigkeiten unterliegen, mit dem Administrationsserver

   Reiselaptops befinden sich manchmal innerhalb und manchmal außerhalb des Netzwerks. Um deren Verwaltung effizient zu gestalten, müssen sich diese Geräte, abhängig von deren Standort, auf unterschiedliche Weise mit dem Administrationsserver verbinden. Für effizienten Traffic müssen die Geräte ebenfalls in Abhängigkeit von ihrem Standort Updates aus verschiedenen Quellen beziehen.

   Sie müssen Regeln für mobile Benutzer konfigurieren: Verbindungsprofile und Beschreibungen der Standorte im Netzwerk. Jede Regel gibt an, mit welcher Instanz eines Administrationsservers sich die Reiselaptops in Abhängigkeit ihres Standortes verbinden müssen und von welcher Instanz eines Administrationsservers sie ihre Updates beziehen müssen.

Siehe auch: Zugriff aus dem Internet: Administrationsagent als Verbindungs-Gateway in der demilitarisierten Zone

Nach oben