Szenario: Verbinden von mobilen Geräten mittels Verbindungs-Gateway
17. April 2023
ID 204219
Dieses Szenario beschreibt, wie Sie verwaltete Geräte, die sich außerhalb des Hauptnetzwerks befinden, mit dem Administrationsserver verbinden.
Erforderliche Komponenten
Für dieses Szenario müssen die folgenden Voraussetzungen erfüllt sein:
- Eine demilitarisierte Zone (DMZ) ist im Netzwerk Ihrer Organisation eingerichtet.
- Ein Kaspersky Security Center Administrationsserver ist im Unternehmensnetzwerk bereitgestellt.
Schritte
Das Szenario verläuft in Stufen:
- Auswählen eines Client-Gerätes innerhalb der DMZ
Das Gerät wird als Verbindungs-Gateway verwendet. Das von Ihnen ausgewählte Gerät muss den Anforderungen an ein Verbindungs-Gateway entsprechen.
- Installation des Administrationsagenten für seine Rolle als Verbindungs-Gateway
Für die Installation des Administrationsagenten auf dem ausgewählten Gerät wird eine lokale Installation empfohlen.
Standardmäßig befindet sich die Installationsdatei unter: \\<Servername>\KLSHARE\PkgInst\NetAgent_<Versionsnummer>
Wählen Sie im Installationsassistenten des Administrationsagenten im Fenster Verbindungs-Gateway die Option Administrationsagent als Verbindungs-Gateway in der DMZ verwenden. Dieser Modus aktiviert die Rolle als Verbindungs-Gateway und unterweist gleichzeitig den Administrationsagenten, auf Verbindungen vom Administrationsserver zu warten, anstelle Verbindungen zum Administrationsserver herzustellen.
Alternativ können Sie den Administrationsagent auf einem Linux-Gerät installieren und so konfigurieren, dass er als Verbindungs-Gateway fungiert, sollten dabei aber die Liste der Einschränkungen von Administrationsagenten auf Linux-Geräten beachten.
- Erlauben von Verbindungen in den Firewalls auf dem Verbindungs-Gateway
Um sicherzustellen, dass sich der Administrationsserver tatsächlich mit dem Verbindungs-Gateway in der DMZ verbinden kann, erlauben Sie Verbindungen zu TCP-Port 13000 in allen Firewalls zwischen dem Administrationsserver und dem Verbindungsgateway.
Wenn das Verbindungs-Gateway keine echte IP-Adresse im Internet besitzt, sich aber stattdessen hinter einer Network Address Translation (NAT) befindet, konfigurieren Sie eine Regel für das Forwarding von Verbindungen über NAT.
- Erstellen einer Administrationsgruppe für externe Geräte
Erstellen Sie eine neue Gruppe unter der Gruppe Verwaltete Geräte. Diese neue Gruppe wird die externen verwalteten Geräte enthalten.
- Verbinden des Verbindungs-Gateways mit dem Administrationsserver
Das von Ihnen konfigurierte Verbindungs-Gateway wartet auf eine Verbindung vom Administrationsserver. Der Administrationsserver zeigt das Gerät mit dem Verbindungs-Gateway jedoch nicht unter den verwalteten Geräten an. Das liegt daran, dass das Verbindungs-Gateway noch nicht versucht hat, eine Verbindung mit dem Administrationsserver herzustellen. Es ist daher eine spezielle Vorgehensweise notwendig, um sicherzustellen, dass der Administrationsserver eine Verbindung zum Verbindungs-Gateway initiiert.
Führen Sie folgende Schritte aus:
- Fügen Sie das Verbindungs-Gateway als Verteilungspunkt hinzu.
- Verschieben Sie das Verbindungs-Gateway von der Gruppe Nicht zugeordnete Geräte in die Gruppe, die Sie für externe Geräte angelegt haben.
Das Verbindungs-Gateway ist verbunden und konfiguriert.
- Verbinden von externen Desktop-Computern mit dem Administrationsserver
In der Regel werden externe Desktop-Computer nicht in den Perimeter hinein bewegt. Daher müssen Sie die Geräte während der Installation des Administrationsagenten so konfigurieren, dass sie sich über das Verbindungs-Gateway mit dem Administrationsserver verbinden.
- Konfigurieren von Updates für externe Desktop-Computer
Wenn die Updates der Sicherheitsanwendungen so konfiguriert sind, dass sie vom Administrationsserver heruntergeladen werden, laden sich externe Computer die Updates über den Verbindungs-Gateway herunter. Das hat zwei Nachteile:
- Es entsteht unnötiger Traffic, welcher Bandbreite vom Internet-Kommunikationskanal des Unternehmens in Beschlag nimmt.
- Es ist nicht zwangsläufig die schnellste Art, Updates zu beziehen. Es ist anzunehmen, dass es für externe Computer günstiger und schneller wäre, ihre Updates von Kaspersky-Update-Servern zu beziehen.
Führen Sie folgende Schritte aus:
- Verbinden von Laptops, die Reisetätigkeiten unterliegen, mit dem Administrationsserver
Reiselaptops befinden sich manchmal innerhalb und manchmal außerhalb des Netzwerks. Um deren Verwaltung effizient zu gestalten, müssen sich diese Geräte, abhängig von deren Standort, auf unterschiedliche Weise mit dem Administrationsserver verbinden. Für effizienten Traffic müssen die Geräte ebenfalls in Abhängigkeit von ihrem Standort Updates aus verschiedenen Quellen beziehen.
Sie müssen Regeln für mobile Benutzer konfigurieren: Verbindungsprofile und Beschreibungen der Standorte im Netzwerk. Jede Regel gibt an, mit welcher Instanz eines Administrationsservers sich die Reiselaptops in Abhängigkeit ihres Standortes verbinden müssen und von welcher Instanz eines Administrationsservers sie ihre Updates beziehen müssen.