Allow-Liste mit IP-Adressen für die Anmeldung bei Kaspersky Security Center Linux konfigurieren

Standardmäßig können sich Benutzer auf jedem Gerät, auf dem sie die Kaspersky Security Center 14 Web Console öffnen können, bei Kaspersky Security Center Linux anmelden. Sie können den Administrationsserver jedoch auch so konfigurieren, dass Benutzer nur von Geräten mit zugelassenen IP-Adressen eine Verbindung zu ihm herstellen dürfen. Selbst wenn ein Eindringling an die Anmeldedaten eines Benutzerkontos von Kaspersky Security Center Linux gelangt, kann er sich in diesem Fall nicht bei Kaspersky Security Center Linux anmelden, da die IP-Adresse des Geräts des Eindringlings nicht auf der Allow-Liste steht.

Die IP-Adresse wird überprüft, wenn sich ein Benutzer an Kaspersky Security Center Linux anmeldet oder eine Anwendung ausführt, die mit dem Administrationsserver über Kaspersky Security Center Linux-OpenAPI interagiert. In so einem Moment versucht das Gerät des Benutzers, eine Verbindung mit dem Administrationsserver herzustellen. Befindet sich die IP-Adresse des Geräts nicht auf der Allow-Liste, tritt ein Authentifizierungsfehler auf und das Ereignis KLAUD_EV_SERVERCONNECT benachrichtigt Sie darüber, dass eine Verbindung mit dem Administrationsserver abgelehnt wurde.

Zu solchen Anwendungen gehören beispielsweise Kaspersky Anti Targeted Attack Platform, Verbindungs-Gateway und Kaspersky Security for Virtualization. Es kann auch ein von Ihnen entwickelter Client auf Basis von OpenAPI sein.

Anforderungen an eine Allow-Liste mit IP-Adressen

IP-Adressen werden nur überprüft, wenn die folgenden Programme versuchen, sich mit dem Administrationsserver zu verbinden:

• Server der Kaspersky Security Center Web Console

  Wenn Sie sich über die Kaspersky Security Center Web Console bei Kaspersky Security Center Linux anmelden, können Sie mit den Standardwerkzeugen des Betriebssystems eine Firewall auf dem Gerät konfigurieren, auf dem der Server der Kaspersky Security Center Web Console installiert ist. Wenn anschließend jemand versucht, sich von einem Gerät aus an Kaspersky Security Center Linux anzumelden, wobei der Server der Kaspersky Security Center Web Console auf einem anderen Gerät installiert ist, hilft eine Firewall, die Eindringlinge abzuweisen.

• Programme, die mittels klakaut-Automatisierungsobjekten mit dem Administrationsserver interagieren
• Programme, die mittels OpenAPI mit dem Administrationsserver interagieren, z. B. Kaspersky Anti Targeted Attack Platform oder Kaspersky Security for Virtualization

Geben Sie daher Adressen der Geräte an, auf denen die oben aufgeführten Programme installiert sind.

Sie können sowohl IPv4- als auch IPv6-Adressen angeben. Sie können keine IP-Adressbereiche angeben.

So erstellen Sie eine Allow-Liste mit IP-Adressen

Wenn Sie zuvor noch keine Allow-Liste erstellt haben, folgen Sie den nachstehenden Anweisungen.

So erstellen Sie die Allow-Liste mit IP-Adressen zur Anmeldung an Kaspersky Security Center Linux:

1. Führen Sie auf dem Gerät des Administrationsservers die Eingabeaufforderung unter einem Konto mit Administratorrechten aus.
2. Ändern Sie das aktuelle Verzeichnis des Installationsordners von Kaspersky Security Center Linux (üblicherweise /opt/kaspersky/ksc64/sbin).
3. Geben Sie unter dem Benutzerkonto mit Root-Rechten den folgenden Befehl ein:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP-Adressen>" -t s

   Geben Sie IP-Adressen an, die den oben aufgeführten Anforderungen entsprechen. Mehrere IP-Adressen müssen durch ein Semikolon getrennt werden.

   Beispiel, um nur einem Gerät die Verbindung mit dem Administrationsserver zu erlauben:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s

   Beispiel, um mehreren Geräten die Verbindung mit dem Administrationsserver zu erlauben:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s

4. Starten Sie den Dienst des Administrationsservers neu.

Dem Syslog-Ereignisprotokoll auf dem Administrationsserver können Sie entnehmen, ob Sie die Allow-Liste mit IP-Adressen erfolgreich konfiguriert haben.

So ändern Sie eine Allow-Liste mit IP-Adressen

Sie können eine Allow-Liste auf gleiche Weise ändern, wie Sie es bei der erstmaligen Erstellung getan haben. Führen Sie daher denselben Befehl aus und geben Sie eine neue Allow-Liste an:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP-Adressen>" -t s

Wenn Sie einige IP-Adressen aus der Zulassungsliste löschen möchten, erstellen Sie diese neu. Ihre Allow-Liste enthält beispielsweise die folgenden IP-Adressen: 192.0.2.0; 198.51.100.0 und 203.0.113.0. Sie möchten die IP-Adresse 198.51.100.0 aus der Liste löschen. Geben Sie dafür den folgenden Befehl in die Eingabeaufforderung ein:

klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s

Stellen Sie sicher, den Dienst des Administrationsservers neu zu starten.

Zurücksetzen einer konfigurierten Allow-Liste mit IP-Adressen

So setzen Sie eine bereits konfigurierte Allow-Liste mit IP-Adressen zurück:

1. Geben Sie in der Eingabeaufforderung den folgenden Befehl unter einem Benutzerkonto mit Root-Rechten ein:

   klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s

2. Starten Sie den Dienst des Administrationsservers neu.

Anschließend werden IP-Adressen nicht mehr überprüft.