Über das Verbinden mobiler Geräte

Einige verwaltete Geräte befinden sich dauerhaft außerhalb des Hauptnetzwerks (z. B. Computer in regionalen Unternehmensniederlassungen, Kiosks, Geldautomaten, an verschiedenen Point-of-Sales installierte Terminals, Computer im Home-Office von Angestellten). Einige Geräte bewegen sich von Zeit zu Zeit außerhalb des Perimeters (z. B. Laptops von Benutzern, die regionale Niederlassungen oder das Büro eines Kunden besuchen).

Auch von solchen mobilen Geräten muss der Schutz überwacht und verwaltet werden, d. h. es muss möglich sein, aktuelle Informationen über den Schutzstatus der Geräte abzurufen und die auf ihnen installierten Sicherheitsanwendungen aktuell zu halten. Dies ist beispielsweise wichtig für den Fall, in dem ein solches Gerät kompromittiert wird, während es sich außerhalb des Hauptnetzwerks befindet. In der Folge kann das Gerät beim erneuten Verbinden mit dem Hauptnetzwerk zu einer Plattform sich ausbreitender Bedrohungen werden. Sie können zwei Methoden verwenden, um mobile Geräte mit dem Administrationsserver zu verbinden:

• Verbindungs-Gateway in der demilitarisierten Zone (DMZ)

  Schema des Datenverkehrs: Administrationsserver im LAN, verwaltete Geräte im Internet, Verbindungs-Gateway wird verwendet.

• Administrationsserver in der DMZ

  Schema des Datenverkehrs: Administrationsserver in DMZ, verwaltete Geräte im Internet

Ein Verbindungs-Gateway in der DMZ

Eine empfohlene Methode zum Verbinden von mobilen Geräten mit dem Administrationsserver besteht darin, eine DMZ im Netzwerk des Unternehmens zu organisieren und ein Verbindung-Gateway in der DMZ zu installieren. Externe Geräte verbinden sich mit dem Verbindungs-Gateway und der Administrationsserver innerhalb des Netzwerks initiiert die Verbindung zu den Geräten über das Verbindungs-Gateway.

Im Vergleich zu der anderen Methode ist diese sicherer:

• Sie müssen den Zugriff auf den Administrationsserver nicht von außerhalb des Netzwerks öffnen.
• Ein kompromittiertes Verbindungs-Gateway stellt kein hohes Risiko für die Sicherheit der Netzwerkgeräte dar. Ein Verbindungs-Gateway verwaltet im Grunde nichts selbst und stellt keine Verbindungen her.

Außerdem erfordert ein Verbindungs-Gateway nicht viele Hardware-Ressourcen.

Der Konfigurationsprozess dieser Methode ist jedoch komplexer:

• Damit ein Gerät als Verbindungs-Gateway in der DMZ fungiert, müssen Sie den Administrationsagenten installieren und auf eine bestimmte Weise mit dem Administrationsserver verbinden.
• Sie können nicht in allen Situationen dieselbe Adresse für die Verbindung zum Administrationsserver verwenden. Von außerhalb des Perimeters müssen Sie nicht nur eine andere Adresse verwenden (Adresse des Verbindungs-Gateways), sondern auch einen anderen Verbindungsmodus (über ein Verbindungs-Gateway).
• Sie müssen auch unterschiedliche Verbindungseinstellungen für Laptops an verschiedenen Standorten festlegen.

Im Szenario in diesem Abschnitt wird diese Methode beschrieben.

So fügen Sie einem zuvor konfigurierten Netzwerk ein Verbindungs-Gateway hinzu:

1. Installieren Sie Administrationsagenten Verbindungs-Gateway-Modus.
2. Installieren Sie den Administrationsagenten auf den Geräten erneut, die Sie mit dem neu hinzugefügten Verbindungs-Gateway verbinden möchten.

Administrationsserver in der DMZ

Eine andere Methode ist die Installation eines einzelnen Administrationsservers in der DMZ.

Diese Konfiguration ist weniger sicher als die andere Methode. Um in diesem Fall externe Laptops zu verwalten, muss der Administrationsserver Verbindungen von jeder Adresse im Internet akzeptieren. Es werden weiterhin alle Geräte im internen Netzwerk verwaltet, jedoch erfolgt dies aus der DMZ. Daher kann ein kompromittierter Server trotz der geringen Wahrscheinlichkeit eines solchen Ereignisses einen enormen Schaden verursachen.

Das Risiko wird erheblich geringer, wenn der Administrationsserver in der DMZ keine Geräte im internen Netzwerk verwaltet. Eine solche Konfiguration kann beispielsweise von einem Dienstanbieter verwendet werden, um die Geräte von Kunden zu verwalten.

Möglicherweise möchten Sie diese Methode in den folgenden Fällen verwenden:

• Wenn Sie mit der Installation und Konfiguration des Administrationsservers vertraut sind und kein anderes Verfahren zum Installieren und Konfigurieren eines Verbindungsgateways ausführen möchten.
• Wenn Sie mehr Geräte verwalten müssen. Die maximale Kapazität der Administrationsserver beträgt 100.000 Geräte, während ein Verbindungs-Gateway bis zu 10.000 Geräte unterstützen kann.

Auch diese Lösung birgt mögliche Schwierigkeiten:

• Der Administrationsserver benötigt mehr Hardware-Ressourcen und eine zusätzliche Datenbank.
• Informationen zu Geräten werden in zwei unabhängigen Datenbanken gespeichert (für Administrationsserver im Netzwerk und eine weitere in der DMZ), was die Überwachung erschwert.
• Um alle Geräte zu verwalten, muss der Administrationsserver zu einer Hierarchie zusammengefügt werden, was nicht nur die Überwachung, sondern auch die Verwaltung erschwert. Eine Instanz eines sekundären Administrationsservers schränkt die möglichen Strukturen von Administrationsgruppen ein. Sie müssen entscheiden, wie und welche Aufgaben und Richtlinien an eine Instanz eines sekundären Administrationsservers verteilt werden sollen.
• Das Konfigurieren externer Geräte zur Verwendung des Administrationsservers in der DMZ von außen und zur Verwendung des primären Administrationsservers von innen ist komplexer, als sie nur für die Verwendung einer bedingten Verbindung über ein Gateway zu konfigurieren.
• Hohe Sicherheitsrisiken. Eine kompromittierte Instanz eines Administrationsservers erleichtert die Kompromittierung der von ihr verwalteten Laptops. In diesem Fall müssen die Hacker nur warten, bis einer der Laptops zum Unternehmensnetzwerk zurückkehrt, damit sie ihren Angriff auf das lokale Netzwerk fortsetzen können.

Siehe auch: Administrationsserver und zwei Geräte in der DMZ: ein Verbindungs-Gateway und ein Client-Gerät Zugriff aus dem Internet: Administrationsagent als Verbindungs-Gateway in der demilitarisierten Zone Administrationsserver in der DMZ, verwaltete Geräte im Internet Zugriff aus dem Internet: Administrationsserver in der demilitarisierten Zone Verbindungs-Gateway

Nach oben