Acerca de la conexión de dispositivos fuera de la oficina

Algunos de los dispositivos administrados que siempre están fuera de la red principal (por ejemplo, los equipos en las sucursales regionales de una empresa; quioscos, cajeros automáticos y terminales instalados en varios puntos de venta; equipos en las oficinas en casa de los empleados) no se pueden conectar directamente al Servidor de administración. Algunos dispositivos viajan fuera del perímetro de vez en cuando (por ejemplo, ordenadores portátiles de usuarios que visitan sucursales regionales o la oficina de un cliente).

Con todo, es necesario monitorizar y gestionar la protección de los dispositivos fuera de la oficina: recibir información real sobre su estado de protección y mantener actualizadas las aplicaciones de seguridad. Esto es necesario porque, por ejemplo, si un dispositivo de este tipo se ve comprometido mientras está lejos de la red principal, podría convertirse en una plataforma para propagar amenazas tan pronto como se conecte a la red principal. Para conectar dispositivos fuera de la oficina al Servidor de administración, puede utilizar dos métodos:

• Puerta de enlace de conexión en la zona desmilitarizada (DMZ)

  Consulte el esquema de tráfico de datos: Servidor de administración en LAN, dispositivos administrados en Internet, puerta de enlace de conexión en uso

• Servidor de administración en DMZ

  Consulte el esquema de tráfico de datos: Servidor de administración en DMZ, dispositivos administrados en Internet

Una puerta de enlace de conexión en la DMZ

Un método recomendado para conectar dispositivos fuera de la oficina al Servidor de administración es organizar una DMZ en la red de la organización e instalar una puerta de enlace de conexión en la DMZ. Los dispositivos externos se conectarán a la puerta de enlace de conexión y el Servidor de administración dentro de la red iniciará la conexión con los dispositivos a través de la puerta de enlace de conexión.

En comparación con el otro método, este es más seguro:

• No es necesario abrir el acceso al Servidor de administración desde fuera de la red.
• Una puerta de enlace de conexión comprometida no representa un alto riesgo para la seguridad de los dispositivos de red. Una puerta de enlace de conexión en realidad no administra nada por sí misma y no establece ninguna conexión.

Además, una puerta de enlace de conexión no requiere muchos recursos de hardware.

Sin embargo, este método tiene un proceso de configuración más complicado:

• Para hacer que un dispositivo actúe como puerta de enlace de conexión en la DMZ, debe instalar el Agente de red y conectarlo al Servidor de administración de una manera específica.
• No podrá utilizar la misma dirección para conectarse al Servidor de administración en todas las situaciones. Desde fuera del perímetro, no solo deberá utilizar una dirección diferente (dirección de puerta de enlace de conexión), sino también un modo de conexión diferente: a través de una puerta de enlace de conexión.
• También debe definir diferentes configuraciones de conexión para ordenadores portátiles en diferentes ubicaciones.

El escenario de esta sección describe este método.

Servidor de administración en la DMZ

Otro método es instalar un único Servidor de administración en la DMZ.

Esta configuración es menos segura que el otro método. Para administrar ordenadores portátiles externos en este caso, el Servidor de administración debe aceptar conexiones desde cualquier dirección en Internet. Seguirá administrando todos los dispositivos en la red interna, pero desde la DMZ. Por lo tanto, un servidor comprometido podría causar una enorme cantidad de daños, a pesar de la baja probabilidad de que ocurra tal evento.

El riesgo se reduce en gran medida si el Servidor de administración en la DMZ no administra dispositivos en la red interna. Una configuración de este tipo puede utilizarla, por ejemplo, un proveedor de servicios para administrar los dispositivos de los clientes.

Es posible que desee utilizar este método en los siguientes casos:

• Si está familiarizado con la instalación y configuración del Servidor de administración y no desea realizar otro procedimiento para instalar y configurar una puerta de enlace de conexión.
• Si necesita administrar más dispositivos. La capacidad máxima del Servidor de administración es de 100.000 dispositivos, mientras que una puerta de enlace de conexión puede admitir hasta 10.000 dispositivos.

Esta solución también tiene posibles dificultades:

• El Servidor de administración requiere más recursos de hardware y una base de datos más.
• La información sobre los dispositivos se almacenará en dos bases de datos no relacionadas (para el Servidor de administración dentro de la red y otra en la DMZ), lo que complica el la monitorización.
• Para administrar todos los dispositivos, el Servidor de administración debe ser parte de una jerarquía, lo que complica no solo la monitorización, sino también la administración. Una instancia del Servidor de administración secundario impone limitaciones a las posibles estructuras de los grupos de administración. Debe decidir cómo y qué tareas y directivas distribuir a una instancia del Servidor de administración secundario.
• Configurar dispositivos externos para usar el Servidor de administración en la DMZ desde afuera y usar el Servidor de administración principal desde adentro no es más simple que configurarlos para usar una conexión condicional a través de una puerta de enlace.
• Altos riesgos de seguridad. Una instancia del Servidor de administración comprometida hace más fácil comprometer ordenadores portátiles administrados. Si esto sucede, los piratas informáticos solo necesitan esperar a que uno de los ordenadores portátiles regrese a la red corporativa para poder continuar con su ataque contra la red de área local.