Uso de TLS
Recomendamos prohibir las conexiones no seguras al Servidor de administración. Por ejemplo, puede prohibir las conexiones que usan HTTP en la configuración del Servidor de administración.
Tenga en cuenta que, de forma predeterminada, varios puertos HTTP del Servidor de administración están cerrados. El puerto restante se utiliza para el servidor web del Servidor de administración (8060). Este puerto puede estar limitado por la configuración del firewall del dispositivo del Servidor de Administración.
Configuración estricta de TLS
Le recomendamos usar el protocolo TLS de la versión 1.2 y posteriores, y restringir o prohibir los algoritmos de cifrado inseguros.
Puede configurar los protocolos de cifrado (TLS) usados por el Servidor de administración. Tenga en cuenta que, en el momento de lanzar una versión del Servidor de administración, la configuración del protocolo de cifrado está configurada de manera predeterminada para garantizar una transferencia de datos segura.
Restricción del acceso a la base de datos del Servidor de administración
Recomendamos restringir el acceso a la base de datos del Servidor de administración. Por ejemplo, conceda el acceso solo desde el dispositivo del Servidor de administración. Esto reduce la probabilidad de que la base de datos del Servidor de administración se vea comprometida debido a vulnerabilidades conocidas.
Puede configurar los parámetros de acuerdo con las instrucciones de funcionamiento de la base de datos usada, así como proporcionar puertos cerrados en los firewalls.
Interacción de seguridad con un SGBD externo
Si el SGBD se instala en un dispositivo independiente durante la instalación del Servidor de Administración (SGBD externo), recomendamos configurar los parámetros para una interacción y autenticación seguras con este SGBD. Para obtener más información sobre cómo configurar la autenticación SSL, consulte Autenticación del servidor PostgreSQL y Escenario: autenticación del servidor MySQL.
Configuración de una lista de admitidos de direcciones IP para conectarse al Servidor de administración
De manera predeterminada, los usuarios de Kaspersky Security Center Linux pueden iniciar sesión en Kaspersky Security Center Linux desde cualquier dispositivo donde estén instalados Kaspersky Security Center Web Console o aplicaciones de OpenAPI. Puede hacer que el Servidor de administración únicamente acepte conexiones de dispositivos que tengan una dirección IP permitida. Por ejemplo, si un intruso intenta conectarse a Kaspersky Security Center Linux a través del Servidor de Kaspersky Security Center Web Console instalado en un dispositivo que no está incluido en la lista de admitidos, no podrá iniciar sesión en Kaspersky Security Center Linux.
Configurar una lista de direcciones IP permitidas para conectarse con Kaspersky Security Center Web Console
De manera predeterminada, los usuarios de Kaspersky Security Center Linux pueden conectarse a Kaspersky Security Center Web Console desde cualquier dispositivo. En un dispositivo con Kaspersky Security Center Web Console, debe configurar el firewall (integrado en el sistema operativo o en uno de terceros) para que los operadores puedan conectarse a Kaspersky Security Center Web Console solo desde las direcciones IP permitidas.
Seguridad de la conexión al controlador de dominio durante el sondeo
Para sondear el controlador de dominio, el Servidor de administración o un punto de distribución de Linux intenta conectarse a este dominio a través de LDAPS. De forma predeterminada, la verificación del certificado no es obligatoria al conectarse. Para hacer verificar el certificado, establezca el indicador KLNAG_LDAP_TLS_REQCERT en 1. Además, puede especificar una ruta personalizada a la autoridad de certificación (CA) para acceder a la cadena de certificados utilizando el indicador KLNAG_LDAP_SSL_CACERT.