Escenario: conexión de dispositivos fuera de la oficina mediante una puerta de enlace de conexión

21 de marzo de 2024

ID 204219

Este escenario describe cómo conectar dispositivos administrados que se encuentran fuera de la red principal al Servidor de administración.

Requisitos previos

El escenario tiene los siguientes requisitos previos:

  • Existe una zona desmilitarizada (DMZ) en la red de su organización.
  • El Servidor de administración de Kaspersky Security Center se despliega en la red corporativa.

Etapas

Este escenario se divide en etapas:

  1. Seleccionar un dispositivo cliente en la DMZ

    El dispositivo actuará como puerta de enlace de conexión. El dispositivo debe reunir los requisitos para puertas de enlace de conexión.

  2. Instalar el Agente de red en el rol de puerta de enlace de conexión

    Recomendamos instalar el Agente de red en forma local en el dispositivo elegido.

    De forma predeterminada, el archivo de instalación se encuentra en \\<nombre del servidor>\KLSHARE\PkgInst\NetAgent_<número de versión>.

    En la ventana Puerta de enlace de conexión del Asistente de instalación del Agente de red, seleccione Usar el Agente de red como puerta de enlace de conexión en DMZ. Este modo activa simultáneamente la función de puerta de enlace de conexión y le indica al Agente de red que espere las conexiones del Servidor de administración en lugar de establecer conexiones con el Servidor de administración.

    De forma alternativa, puede instalar el Agente de red en un dispositivo Linux y configurar el Agente de red para que funcione como puerta de enlace de conexión, pero ponga atención a la lista de limitaciones del Agente de red que se ejecuta en los dispositivos Linux.

  3. Permitir las conexiones a la puerta de enlace en los distintos firewalls

    Para asegurarse de que el Servidor de administración pueda realmente conectarse a la puerta de enlace de conexión en la DMZ, permita conexiones al puerto TCP 13000 en todos los firewalls entre el Servidor de administración y la puerta de enlace de conexión.

    Si la puerta de enlace de conexión no tiene una dirección IP real en Internet, sino que se encuentra detrás de la traducción de direcciones de red (NAT), configure una regla para reenviar las conexiones a través de la NAT.

  4. Crear un grupo de administración para dispositivos externos

    Cree un nuevo grupo dentro del grupo Dispositivos administrados. El nuevo grupo albergará los dispositivos externos administrados.

  5. Conectar la puerta de enlace de conexión al Servidor de administración

    La puerta de enlace de conexión que configuró está esperando una conexión del Servidor de administración. El Servidor de administración, sin embargo, no incluye el dispositivo con la puerta de enlace de conexión entre los dispositivos administrados. Esto se debe a que la puerta de enlace no ha intentado conectarse con el Servidor de administración. El problema puede resolverse con un procedimiento especial, que obliga al Servidor de administración a conectarse con la puerta de enlace de conexión.

    Haga lo siguiente:

    1. Agregue la puerta de enlace de conexión como punto de distribución.
    2. Mueva la puerta de enlace de conexión del grupo de Dispositivos no asignados al grupo que creó para dispositivos externos.

    La puerta de enlace de conexión está conectada y configurada.

  6. Conectar computadoras de escritorio externas al Servidor de administración

    Por lo general, las computadoras de escritorio externas no se mueven dentro del perímetro. Por lo tanto, debe configurarlas para que se conecten al Servidor de administración a través de la puerta de enlace durante la instalación del Agente de red.

  7. Configurar el mecanismo de actualización para las computadoras de escritorio externas

    Si las actualizaciones de las aplicaciones de seguridad están configuradas para descargarse del Servidor de administración, las computadoras externas descargan las actualizaciones a través de la puerta de enlace de conexión. Esto conlleva dos desventajas:

    • El tráfico de Internet generado ocupa ancho de banda innecesariamente.
    • Esta no es necesariamente la forma más rápida de obtener actualizaciones. Muy probablemente, lo más rápido y económico sea que las computadoras externas obtengan las actualizaciones de los servidores de actualizaciones de Kaspersky.

    Haga lo siguiente:

    1. Mueva todas las computadoras externas al grupo de administración independiente que creó anteriormente.
    2. Asegúrese de que el grupo de dispositivos externos quede excluido de la tarea de actualización.
    3. Cree una tarea de actualización separada para el grupo con dispositivos externos.
  8. Conectar las computadoras portátiles de quienes viajan al Servidor de administración

    Las computadoras portátiles de quienes viajan a veces están dentro de la red y, en otras ocasiones, afuera. Para una administración eficaz, debe conectarlas al Servidor de administración de forma diferente según su ubicación. Para un uso eficiente del tráfico, también necesitan recibir actualizaciones de diferentes fuentes según su ubicación.

    Necesita configurar reglas para usuarios fuera de la oficina: perfiles de conexión y descripciones de ubicación de red. Cada regla define la instancia del Servidor de administración al que deben conectarse las computadoras portátiles que viajan, según su ubicación y la instancia del Servidor de administración desde el cual deben recibir actualizaciones.

Consulte también:

Acceso a Internet: Agente de red en modo de puerta de enlace de conexión en DMZ

¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.