Настройка списка разрешенных IP-адресов для подключения к Kaspersky Security Center
По умолчанию подключения к Kaspersky Security Center разрешены с любого устройства. Например, вы можете установить Сервер Kaspersky Security Center 14 Web Console на любое устройство, которое соответствует требованиям, и Сервер Kaspersky Security Center 14 Web Console будет взаимодействовать с Kaspersky Security Center. Также вы можете настроить Сервер администрирования так, чтобы подключения разрешались только с устройств с указанными вами IP-адресами. В этом случае, если злоумышленники попытаются подключиться к Kaspersky Security Center через Сервер Kaspersky Security Center 14 Web Console, установленный на устройстве, которое не включено в список разрешенных, они не смогут войти в Kaspersky Security Center.
IP-адрес проверяется, когда пользователь входит в Kaspersky Security Center или запускает
, которая взаимодействует с Сервером администрирования через Kaspersky Security Center OpenAPI. В этот момент программа на устройстве пытается установить соединение с Сервером администрирования. Если IP-адрес устройства отсутствует в списке разрешенных, возникает ошибка аутентификации и событие KLAUD_EV_SERVERCONNECT уведомляет о том, что соединение с Сервером администрирования не установлено.
Требования к списку разрешенных IP-адресов
IP-адреса проверяются только при попытке подключения к Серверу администрирования следующих программ:
- Сервер Kaspersky Security Center 14 Web Console
Если вы входите в Kaspersky Security Center через Kaspersky Security Center 14 Web Console, вы можете настроить сетевой экран на устройстве, где установлен Сервер Kaspersky Security Center 14 Web Console, штатными средствами операционной системы. Затем, если кто-то попытается войти в Kaspersky Security Center на одном устройстве, а Сервер Kaspersky Security Center 14 Web Console установлен на другом устройстве, сетевой экран поможет предотвратить вмешательство злоумышленников.
- Программы, взаимодействующие с Сервером администрирования через объекты автоматизации klakaut.
- Программы, взаимодействующие с Сервером администрирования через OpenAPI, такие как Kaspersky Anti Targeted Attack Platform или Kaspersky Security для виртуальных сред.
Поэтому укажите адреса устройств, на которых установлены перечисленные выше программы.
Вы можете установить IPv4-адреса и IPv6-адреса. Указать диапазоны IP-адресов нельзя.
Как создать список разрешенных IP-адресов
Если вы еще не установили список разрешенных, следуйте приведенным ниже инструкциям.
Чтобы создать список разрешенных IP-адресов для входа в Kaspersky Security Center:
- На устройстве Сервера администрирования запустите командную строку под учетной записью с правами администратора.
- Измените текущую папку на папку установки Kaspersky Security Center (обычно это /opt/kaspersky/ksc64/sbin).
- Введите следующую команду под учетной записью root:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<
IP addresses>" -t sУкажите IP-адреса, соответствующие перечисленным выше требованиям. Несколько IP-адресов должны быть разделены точкой с запятой.
Пример того, как разрешить подключение к Серверу администрирования только одному устройству:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
Пример того, как разрешить нескольким устройствам подключаться к Серверу администрирования:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
- Перезапустите службу Сервера администрирования.
Узнать, успешно ли настроен список разрешенных IP-адресов, можно в журнале событий Syslog Event Log на Сервере администрирования.
Как изменить список разрешенных IP-адресов
Вы можете изменить список разрешенных точно так же, как и при его создании. Для этого выполните ту же команду и укажите новый список разрешенных:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP addresses>" -t s
Если вы хотите удалить некоторые IP-адреса из списка разрешенных, перепишите его. Например, ваш список разрешенных включает следующие IP-адреса: 192.0.2.0; 198.51.100.0; 203.0.113.0. Вы хотите удалить IP-адрес 198.51.100.0. Для этого в командной строке введите следующую команду:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
Не забудьте перезапустить службу Сервера администрирования.
Как сбросить настроенный список разрешенных IP-адресов
Чтобы сбросить уже настроенный список разрешенных IP-адресов:
- Введите следующую команду в командную строку под учетной записью root:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
- Перезапустите службу Сервера администрирования.
После этого IP-адреса больше не проверяются.