Kaspersky Security Center Linux le permite asignar manualmente dispositivos para actuar como puntos de distribución.
Recomendamos que asigne puntos de distribución automáticamente. En este caso, Kaspersky Security Center Linux seleccionará por sí mismo qué dispositivos deben tener asignados puntos de distribución. Sin embargo, si tiene que optar por no asignar puntos de distribución automáticamente por cualquier motivo (por ejemplo, si desea utilizar servidores asignados exclusivamente), puede asignar puntos de distribución manualmente después de calcular su número y configuración.
Los dispositivos designados como puntos de distribución deben protegerse contra el acceso no autorizado por medios virtuales y físicos.
Para designar manualmente un dispositivo como punto de distribución:
En el menú principal, haga clic en el ícono de configuración () ubicado junto al nombre del Servidor de administración pertinente.
Se abre la ventana Propiedades del Servidor de administración.
En la pestaña General, elija la sección Puntos de distribución.
Seleccione la opción Asignar manualmente puntos de distribución.
Haga clic en el botón Asignar.
Seleccione el dispositivo que quiera designar como punto de distribución.
A la hora de seleccionar un dispositivo, tenga presentes las características de funcionamiento de los puntos de distribución y los requisitos con los que debe cumplir un dispositivo para actuar como punto de distribución.
Seleccione el grupo de administración que desee incluir en el alcance del punto de distribución seleccionado.
Haga clic en el botón Aceptar.
El punto de distribución agregado aparecerá en la lista de puntos de distribución, en la sección Puntos de distribución.
Haga clic en el punto de distribución recién agregado en la lista para abrir su ventana de propiedades.
En la ventana de propiedades, configure los ajustes del punto de distribución:
La sección General contiene la configuración de interacción entre el punto de distribución y los dispositivos cliente.
Si habilita esta opción, se utilizará la multidifusión IP para distribuir automáticamente los paquetes de instalación a los dispositivos cliente del grupo.
Cuando necesite instalar una aplicación en un grupo de dispositivos cliente utilizando un paquete de instalación, la multidifusión IP ayudará a que el proceso se complete más rápidamente. Sin embargo, cuando se necesita instalar una aplicación en un único dispositivo cliente, la multidifusión hace que el tiempo de instalación aumente.
Número del puerto que se usará para la multidifusión IP.
El puerto por defecto es el 15001. De forma predeterminada, si el dispositivo que tiene instalado el Servidor de administración es, además, el punto de distribución designado, se usará el puerto 13001 para las conexiones SSL.
Las actualizaciones se distribuirán a los dispositivos administrados desde las siguientes fuentes:
si deja esta opción habilitada: el presente punto de distribución;
si deshabilita esta opción: otros puntos de distribución, el Servidor de administración o los servidores de actualizaciones de Kaspersky.
Si utiliza puntos de distribución para distribuir las actualizaciones, reducirá el número de descargas y verá una merma en el volumen de tráfico. Además, al distribuir la carga entre los puntos de distribución, también logrará aminorar la carga del Servidor de administración. Puede calcular cuántos puntos de distribución necesitará en su red para reducir los volúmenes de tráfico y de carga.
Si deshabilita esta opción, el número de descargas de actualizaciones y la carga del Servidor de administración podrían aumentar. Esta opción está activada de forma predeterminada.
Los paquetes de instalación se distribuirán a los dispositivos administrados desde las siguientes fuentes:
si deja esta opción habilitada: el presente punto de distribución;
si deshabilita esta opción: otros puntos de distribución, el Servidor de administración o los servidores de actualizaciones de Kaspersky.
Si utiliza puntos de distribución para desplegar los paquetes de instalación, reducirá el número de descargas y verá una merma en el volumen de tráfico. Además, al distribuir la carga entre los puntos de distribución, también logrará aminorar la carga del Servidor de administración. Puede calcular cuántos puntos de distribución necesitará en su red para reducir los volúmenes de tráfico y de carga.
Si deshabilita esta opción, el número de descargas de paquetes de instalación y la carga del Servidor de administración podrían aumentar. Esta opción está activada de forma predeterminada.
En Kaspersky Security Center Linux, los puntos de distribución pueden funcionar como servidores push para dispositivos que se administran a través del protocolo móvil y para dispositivos que se administran a través del Agente de red. Por ejemplo, se debe habilitar un servidor push si quiere poder forzar la sincronización de los dispositivos KasperskyOS con el Servidor de administración. Un servidor push tiene el mismo alcance de los dispositivos administrados que el punto de distribución en el que se habilitar el servidor push. Si tiene varios puntos de distribución asignados para el mismo grupo de administración, puede habilitar el servidor push en cada uno de los puntos de distribución. En este caso, el Servidor de administración equilibra la carga entre los puntos de distribución.
Seleccione un origen de actualizaciones para el punto de distribución:
Seleccione Recuperar desde el Servidor de administración para que el punto de distribución pueda recibir actualizaciones del Servidor de administración.
Seleccione Usar una tarea de descarga de actualizaciones para que el punto de distribución pueda utilizar una tarea para recibir las actualizaciones. A continuación, indique qué tarea Descargar actualizaciones en los repositorios de los puntos de distribución se usará:
Si la tarea que desea utilizar ya existe en el dispositivo, selecciónela en la lista.
Si la tarea aún no existe en el dispositivo, haga clic en el vínculo Crear tarea para crearla. Se inicia el Asistente para crear nueva tarea. Siga las instrucciones del asistente.
Contraseña de la cuenta con la que se ejecutará la tarea.
En la sección Proxy de KSN, puede configurar la aplicación para que utilice el punto de distribución para reenviar las solicitudes KSN desde los dispositivos administrados.
El servicio de proxy de KSN se ejecuta en el dispositivo que se utiliza como punto de distribución. Utilice esta función para redistribuir y optimizar el tráfico de la red.
El punto de distribución enviará a Kaspersky las estadísticas de KSN que se enumeran en la declaración de Kaspersky Security Network.
Esta opción está deshabilitada de forma predeterminada. Esta opción solo se activa si las opciones Usar Servidor de administración como servidor proxy y Acepto utilizar Kaspersky Security Network están habilitadas en la ventana de propiedades del Servidor de administración.
Puede asignar un nodo de un clúster activo-pasivo a un punto de distribución y habilitar el servidor proxy de KSN en ese nodo.
El punto de distribución envía las solicitudes KSN desde los dispositivos administrados a KSN Cloud o a KPSN. Las solicitudes de KSN generadas en el punto de distribución mismo también se envían directamente a la nube de KSN Cloud o a KPSN.
Habilite esta opción, si tiene las configuraciones del servidor proxy configuradas en las propiedades del punto de distribución o en la directiva del Agente de red, pero su arquitectura de red requiere que use KPSN directamente. De lo contrario, las solicitudes de las aplicaciones administradas no podrán llegar a KPSN.
Esta opción está disponible si selecciona la opción Acceder a KSN Cloud/KPSN directamente a través de Internet.
El número del puerto de TCP que los dispositivos administrados utilizarán para conectarse al Servidor proxy de KSN. El número de puerto predeterminado es 13111.
Si necesita que los dispositivos administrados se conecten al servidor proxy de KSN a través de un puerto UDP, active la opción Usar puerto UDP y especifique un número de puerto UDP. Esta opción está activada de forma predeterminada.
El número del puerto de UDP que los dispositivos administrados utilizarán para conectarse al Servidor proxy de KSN. El puerto UDP predeterminado de conexión al servidor proxy de KSN es 15111.
Si necesita que los dispositivos administrados se conecten al servidor proxy de KSN a través de un puerto HTTPS, habilite la opción Usar HTTPS y especifique un número de HTTPS a través del puerto. El puerto HTTPS predeterminado de conexión al servidor proxy de KSN es 17111.
El número del puerto HTTPS que los dispositivos administrados usarán para conectarse al Servidor proxy de KSN. El puerto HTTPS predeterminado de conexión al servidor proxy de KSN es 17111.
En la sección Puerta de enlace de conexión, puede configurar el punto de distribución para que actúe como puerta de enlace para la conexión entre las instancias del Agente de red y el Servidor de administración:
Si no se puede establecer una conexión directa entre el Servidor de administración y los Agentes de red debido a la organización de su red, puede usar el punto de distribución para que actúe como la puerta de enlace de conexión entre el Servidor de administración y los Agentes de red.
Habilite esta opción si necesita que el punto de distribución actúe como una puerta de enlace de conexión entre los Agentes de red y el Servidor de administración. Esta opción está deshabilitada de forma predeterminada.
Si el Servidor de administración está ubicado fuera de la zona desmilitarizada (DMZ), en la red de área local, los Agentes de red instalados en dispositivos remotos no pueden conectarse al Servidor de administración. Puede usar un punto de distribución como puerta de enlace de conexión con conectividad inversa (el Servidor de administración establece una conexión con el punto de distribución).
Habilite esta opción si necesita conectar el Servidor de administración a la puerta de enlace de conexión en DMZ.
Habilite esta opción si necesita la puerta de enlace de conexión en DMZ a fin de abrir un puerto para Web Console que está en DMZ o en Internet. Especifique el número de puerto que se usará para la conexión de Web Console al punto de distribución. El número de puerto predeterminado es 13299.
Esta opción está disponible si habilita la opción Establecer la conexión a la puerta de enlace de conexión desde el Servidor de administración (si la puerta de enlace está en DMZ).
Al conectar dispositivos móviles al Servidor de administración a través del punto de distribución que funciona como puerta de enlace de conexión, puede habilitar las siguientes opciones:
Habilite esta opción si necesita que la puerta de enlace de conexión abra un puerto para los dispositivos móviles y especifique el número de puerto que usarán los dispositivos móviles a fin de conectarse con el punto de distribución. El número de puerto predeterminado es 13292. El dispositivo móvil verificará el certificado del Servidor de administración. Al establecer la conexión, solo se autentica el Servidor de administración.
Habilite esta opción si necesita una puerta de enlace de conexión a fin de abrir un puerto que se usará para la autenticación bidireccional del Servidor de administración y los dispositivos móviles. El dispositivo móvil verificará el certificado del Servidor de administración y el Servidor de administración verificará el certificado para dispositivos móviles. Especifique los siguientes parámetros:
Número de puerto que usarán los dispositivos móviles para conectarse con el punto de distribución. El número de puerto predeterminado es 13293.
Nombres de dominio DNS de la puerta de enlace de conexión que usarán los dispositivos móviles. Separe los nombres de dominio con comas. Los nombres de dominio especificados se incluirán en el certificado del punto de distribución. Si los nombres de dominio usados por los dispositivos móviles no coinciden con el nombre común en el certificado del punto de distribución, los dispositivos móviles no se conectan al punto de distribución.
El nombre de dominio DNS predeterminado es el nombre FQDN de la puerta de enlace de conexión.
En ambos casos, los certificados se verifican solo en el punto de distribución al establecer la sesión de TLS. Los certificados no se reenvían para que los verifique el Servidor de administración. Al establecer una sesión de TLS con el dispositivo móvil, el punto de distribución utiliza el certificado del Servidor de administración para crear un túnel a fin de sincronizar el dispositivo móvil y el Servidor de administración. Si abre el puerto para la autenticación bidireccional de SSL, la única forma de distribuir el certificado para dispositivos móviles es a través de un paquete de instalación.
Configurar el sondeo de controlador de dominio mediante el punto de distribución.
Puede habilitar el descubrimiento de dispositivos para los controladores de dominio.
Si selecciona la opción Habilitar el sondeo de controladores de dominio, puede seleccionar controladores de dominio para el sondeo y también especificar el programa de sondeo para ellos.
Si utiliza un punto de distribución de Linux, en la sección Sondear dominios específicos, haga clic en Agregar y luego especifique la dirección y las credenciales de usuario del controlador de dominio.
Si utiliza un punto de distribución de Windows, puede seleccionar una de las siguientes opciones:
Sondear dominio actual
Sondear bosque de dominio entero
Sondear dominios específicos
Configure el sondeo de rangos de IP que realizará el punto de distribución.
Puede habilitar el descubrimiento de dispositivos en intervalos IPv4 y en redes IPv6.
Tras habilitar la opción Habilitar sondeo de intervalos, podrá agregar los intervalos que se sondearán y definir una programación para los sondeos. Puede agregar intervalos IP a la lista de los intervalos analizados.
Si habilita la opción Usar Zeroconf para el sondeo de redes IPv6, el punto de distribución sondeará la red IPv6 automáticamente utilizando Zeroconf, una tecnología para crear redes sin configuración. En ese caso, el punto de distribución sondeará la red completa; el sondeo no estará limitado a los intervalos IP que especifique. La opción Usar Zeroconf para el sondeo de redes IPv6 está disponible si el punto de distribución ejecuta Linux. Para usar el sondeo de Zeroconf IPv6, debe instalar la utilidad avahi-browse en el punto de distribución.
En la sección Avanzado, especifique la carpeta que el punto de distribución debe utilizar para almacenar los datos distribuidos.
Si selecciona esta opción, especifique la ruta a la carpeta en el campo que verá debajo. Puede usar una carpeta local del punto de distribución o una carpeta de otro dispositivo conectado a la red corporativa.
La cuenta de usuario que se utilice para ejecutar el Agente de red en el punto de distribución deberá tener acceso de lectura y escritura a la carpeta especificada.
Haga clic en el botón Aceptar.
El dispositivo seleccionado se designa como punto de distribución.