Algunos dispositivos administrados siempre se encuentran fuera de la red principal (por ejemplo, las terminales de autoservicio, los cajeros automáticos y las computadoras ubicadas en los hogares de los empleados, en los puntos de venta o en las sucursales de la empresa). Algunos dispositivos se mueven hacia fuera del perímetro de vez en cuando (por ejemplo, las computadoras portátiles de usuarios que visitan sucursales regionales o la oficina de un cliente).
Aún necesita monitorear y administrar la protección de los dispositivos fuera de la oficina, recibir información real sobre su estado de protección y mantener las aplicaciones de seguridad en ellos en el estado actualizado. Esto es necesario porque, por ejemplo, si un dispositivo de este tipo se ve comprometido mientras está lejos de la red principal, podría convertirse en una plataforma para propagar amenazas tan pronto como se conecte a la red principal. Para conectar dispositivos fuera de la oficina al Servidor de administración, puede utilizar los dos métodos siguientes:
Consulte el esquema de tráfico de datos: Servidor de administración en una LAN, dispositivos administrados en Internet, puerta de enlace de conexión en uso
Consulte el esquema de tráfico de datos: Servidor de administración en una DMZ, dispositivos administrados en Internet
Una puerta de enlace de conexión en la DMZ
Un método recomendado para conectar al Servidor de administración dispositivos que están fuera de la oficina consiste en preparar una DMZ en la red de la organización e instalar una puerta de enlace de conexión en la DMZ. Los dispositivos externos se conectarán a la puerta de enlace de conexión, y el Servidor de administración dentro de la red iniciará la conexión con los dispositivos a través de la puerta de enlace de conexión.
En comparación con el otro método, este es más seguro por los siguientes motivos:
Además, una puerta de enlace de conexión no necesita muchos recursos de hardware.
Sin embargo, este método implica un proceso de configuración más complejo:
El escenario de esta sección describe este método.
Para agregar una puerta de enlace de conexión a una red ya configurada:
Un Servidor de administración en la DMZ
Otro método consiste en instalar un único Servidor de administración en la DMZ.
Esta configuración es menos segura que el método anterior. En este caso, para administrar computadoras portátiles externas, el Servidor de administración debe aceptar conexiones desde cualquier dirección de Internet. Continuará administrando todos los dispositivos de la red interna, pero desde la DMZ. Por lo tanto, un Servidor comprometido podría hacer mucho daño, a pesar de la baja probabilidad de que tal evento ocurra.
El riesgo se reduce significativamente si el Servidor de administración en la DMZ no administra dispositivos en la red interna. Por ejemplo, un proveedor de servicios puede utilizar una configuración de este tipo para administrar los dispositivos de los clientes.
Es posible que desee utilizar este método en los siguientes casos:
Esta solución también acarrea algunas posibles dificultades: