Kaspersky Security Center 14

Über das Verbinden mobiler Geräte

27. Februar 2024

ID 204435_1

Einige verwaltete Geräte befinden sich dauerhaft außerhalb des Hauptnetzwerks (z. B. Computer in regionalen Unternehmensniederlassungen, Kiosks, Geldautomaten, an verschiedenen Point-of-Sales installierte Terminals, Computer im Home-Office von Angestellten). Einige Geräte bewegen sich von Zeit zu Zeit außerhalb des Perimeters (z. B. Laptops von Benutzern, die regionale Niederlassungen oder das Büro eines Kunden besuchen).

Auch von solchen mobilen Geräten muss der Schutz überwacht und verwaltet werden, d. h. es muss möglich sein, aktuelle Informationen über den Schutzstatus der Geräte abzurufen und die auf ihnen installierten Sicherheitsanwendungen aktuell zu halten. Dies ist beispielsweise wichtig für den Fall, in dem ein solches Gerät kompromittiert wird, während es sich außerhalb des Hauptnetzwerks befindet. In der Folge kann das Gerät beim erneuten Verbinden mit dem Hauptnetzwerk zu einer Plattform sich ausbreitender Bedrohungen werden. Sie können zwei Methoden verwenden, um mobile Geräte mit dem Administrationsserver zu verbinden:

Ein Verbindungs-Gateway in der DMZ

Eine empfohlene Methode zum Verbinden von mobilen Geräten mit dem Administrationsserver besteht darin, eine DMZ im Netzwerk des Unternehmens zu organisieren und ein Verbindung-Gateway in der DMZ zu installieren. Externe Geräte verbinden sich mit dem Verbindungs-Gateway und der Administrationsserver innerhalb des Netzwerks initiiert die Verbindung zu den Geräten über das Verbindungs-Gateway.

Im Vergleich zu der anderen Methode ist diese sicherer:

  • Sie müssen den Zugriff auf den Administrationsserver nicht von außerhalb des Netzwerks öffnen.
  • Ein kompromittiertes Verbindungs-Gateway stellt kein hohes Risiko für die Sicherheit der Netzwerkgeräte dar. Ein Verbindungs-Gateway verwaltet im Grunde nichts selbst und stellt keine Verbindungen her.

Außerdem erfordert ein Verbindungs-Gateway nicht viele Hardware-Ressourcen.

Der Konfigurationsprozess dieser Methode ist jedoch komplexer:

  • Damit ein Gerät als Verbindungs-Gateway in der DMZ fungiert, müssen Sie den Administrationsagenten installieren und auf eine bestimmte Weise mit dem Administrationsserver verbinden.
  • Sie können nicht in allen Situationen dieselbe Adresse für die Verbindung zum Administrationsserver verwenden. Von außerhalb des Perimeters müssen Sie nicht nur eine andere Adresse verwenden (Adresse des Verbindungs-Gateways), sondern auch einen anderen Verbindungsmodus (über ein Verbindungs-Gateway).
  • Sie müssen auch unterschiedliche Verbindungseinstellungen für Laptops an verschiedenen Standorten festlegen.

So fügen Sie einem zuvor konfigurierten Netzwerk ein Verbindungs-Gateway hinzu:

  1. Installieren Sie Administrationsagenten Verbindungs-Gateway-Modus.
  2. Installieren Sie den Administrationsagenten auf den Geräten erneut, die Sie mit dem neu hinzugefügten Verbindungs-Gateway verbinden möchten.

Administrationsserver in der DMZ

Eine andere Methode ist die Installation eines einzelnen Administrationsservers in der DMZ.

Diese Konfiguration ist weniger sicher als die andere Methode. Um in diesem Fall externe Laptops zu verwalten, muss der Administrationsserver Verbindungen von jeder Adresse im Internet akzeptieren. Es werden weiterhin alle Geräte im internen Netzwerk verwaltet, jedoch erfolgt dies aus der DMZ. Daher kann ein kompromittierter Server trotz der geringen Wahrscheinlichkeit eines solchen Ereignisses einen enormen Schaden verursachen.

Das Risiko wird erheblich geringer, wenn der Administrationsserver in der DMZ keine Geräte im internen Netzwerk verwaltet. Eine solche Konfiguration kann beispielsweise von einem Dienstanbieter verwendet werden, um die Geräte von Kunden zu verwalten.

Möglicherweise möchten Sie diese Methode in den folgenden Fällen verwenden:

  • Wenn Sie mit der Installation und Konfiguration des Administrationsservers vertraut sind und kein anderes Verfahren zum Installieren und Konfigurieren eines Verbindungsgateways ausführen möchten.
  • Wenn Sie mehr Geräte verwalten müssen. Die maximale Kapazität der Administrationsserver beträgt 100.000 Geräte, während ein Verbindungs-Gateway bis zu 10.000 Geräte unterstützen kann.

Auch diese Lösung birgt mögliche Schwierigkeiten:

  • Der Administrationsserver benötigt mehr Hardware-Ressourcen und eine zusätzliche Datenbank.
  • Informationen zu Geräten werden in zwei unabhängigen Datenbanken gespeichert (für Administrationsserver im Netzwerk und eine weitere in der DMZ), was die Überwachung erschwert.
  • Um alle Geräte zu verwalten, muss der Administrationsserver zu einer Hierarchie zusammengefügt werden, was nicht nur die Überwachung, sondern auch die Verwaltung erschwert. Eine Instanz eines sekundären Administrationsservers schränkt die möglichen Strukturen von Administrationsgruppen ein. Sie müssen entscheiden, wie und welche Aufgaben und Richtlinien an eine Instanz eines sekundären Administrationsservers verteilt werden sollen.
  • Das Konfigurieren externer Geräte zur Verwendung des Administrationsservers in der DMZ von außen und zur Verwendung des primären Administrationsservers von innen ist komplexer, als sie nur für die Verwendung einer bedingten Verbindung über ein Gateway zu konfigurieren.
  • Hohe Sicherheitsrisiken. Eine kompromittierte Instanz eines Administrationsservers erleichtert die Kompromittierung der von ihr verwalteten Laptops. In diesem Fall müssen die Hacker nur warten, bis einer der Laptops zum Unternehmensnetzwerk zurückkehrt, damit sie ihren Angriff auf das lokale Netzwerk fortsetzen können.

Siehe auch:

Administrationsserver und zwei Geräte in der DMZ: ein Verbindungs-Gateway und ein Client-Gerät

Zugriff aus dem Internet: Administrationsagent als Verbindungs-Gateway in der demilitarisierten Zone

Administrationsserver in der DMZ, verwaltete Geräte im Internet

Zugriff aus dem Internet: Administrationsserver in der demilitarisierten Zone

Verbindungs-Gateway

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.