Scénario : connexion d'appareils itinérants via une passerelle de connexion

Ce scénario décrit comment connecter au Serveur d'administration des appareils administrés situés en dehors du réseau principal.

Prérequis

Le scénario prévoit les conditions préalables suivantes :

• Une zone démilitarisée (DMZ) est organisée dans le réseau de votre organisation.
• Le Serveur d'administration de Kaspersky Security Center Administration est déployé sur le réseau de l'organisation.

Étapes

Ce scénario se déroule par étapes :

1. Sélection d'un appareil client dans la DMZ

   Cet appareil sera utilisé comme passerelle de connexion L'appareil que vous sélectionnez doit répondre aux exigences en matière de passerelles de connexion.

2. Installation de l'Agent d'administration dans le rôle de passerelle de connexion

   Nous vous recommandons d'utiliser une installation locale pour installer l'Agent d'administration sur l'appareil sélectionné.

   Par défaut, le fichier d'installation se trouve à l'adresse suivante : \\<nom du serveur>\KLSHARE\PkgInst\NetAgent_<numéro de la version>

   Dans la fenêtre Passerelle de connexion de l'Assistant d'installation de l'Agent d'administration, sélectionnez l'option Utiliser l'Agent d'administration en tant que passerelle de connexion en DMZ. Ce mode active simultanément le rôle de passerelle de connexion et indique à l'Agent d'administration d'attendre les connexions du Serveur d'administration plutôt que d'établir des connexions avec le Serveur d'administration.

   Vous pouvez également installer l'Agent d'administration sur un appareil Linux et le configurer pour qu'il fonctionne en tant que passerelle de connexion, mais faites attention à la liste des limitations de l'Agent d'administration s'exécutant sur les appareils Linux.

3. Autorisation de connexions dans les pare-feux sur la passerelle de connexion

   Pour vous assurer que le Serveur d'administration peut réellement se connecter à la passerelle de connexion dans la DMZ, autorisez les connexions au port TCP 13000 dans tous les pare-feux entre le Serveur d'administration et la passerelle de connexion.

   Si la passerelle de connexion ne dispose d'aucune adresse IP réelle sur Internet, mais se trouve plutôt derrière une Traduction d'adresses réseau (NAT), configurez une règle pour transférer les connexions via la NAT.

4. Création d'un groupe d'administration pour les appareils externes

   Créez un nouveau groupe sous le groupe Appareils administrés. Ce nouveau groupe contiendra des appareils externes administrés.

5. Connexion de la passerelle de connexion au Serveur d'administration

   La passerelle de connexion que vous avez configurée attend une connexion à partir du Serveur d'administration. Cependant, le Serveur d'administration n'énumère pas l'appareil avec la passerelle de connexion parmi les appareils administrés. Cela est dû au fait que la passerelle de connexion n'a pas tenté d'établir une connexion avec le Serveur d'administration. Par conséquent, vous avez besoin d'une procédure spéciale pour vous assurer que le Serveur d'administration amorce une connexion à la passerelle de connexion.

   Procédez comme suit :

   1. Ajoutez la passerelle de connexion en tant que point de distribution.
   2. Déplacez la passerelle de connexion du groupe Appareils non définis vers le groupe que vous avez créé pour les appareils externes.

   La passerelle de connexion est connectée et configurée.

6. Connexion d'ordinateurs de bureau externes au Serveur d'administration

   En règle générale, les ordinateurs de bureau externes ne sont pas déplacés à l'intérieur du périmètre. Par conséquent, vous devez les configurer pour vous connecter au Serveur d'administration via la passerelle lors de l'installation de l'Agent d'administration.

7. Configuration des mises à jour pour les ordinateurs de bureau externes

   Si les mises à jour des applications de sécurité sont configurées de manière à être téléchargées à partir du Serveur d'administration, les ordinateurs externes téléchargent les mises à jour via la passerelle de connexion. Ceci présente deux inconvénients :

   • Il s'agit d'un trafic inutile, qui occupe la bande passante du canal de communication via Internet de l'entreprise.
   • Il ne s'agit pas nécessairement du moyen le plus rapide d'obtenir des mises à jour. Il est très probable qu'il serait moins coûteux et plus rapide pour les ordinateurs externes de recevoir les mises à jour à partir des serveurs de mise à jour de Kaspersky.

   Procédez comme suit :

   1. Déplacez tous les ordinateurs externes vers le groupe d'administration distinct que vous avez créé précédemment.
   2. Excluez le groupe contenant les appareils externes de la tâche de mise à jour.
   3. Créez une tâche de mise à jour distincte pour le groupe contenant les appareils externes.
8. Connexion d'ordinateurs portables itinérants au Serveur d'administration

   Les ordinateurs portables itinérants se trouvent parfois au sein du réseau, et parfois en dehors de celui-ci. Pour assurer une gestion efficace, vous avez besoin qu'ils se connectent au Serveur d'administration différemment en fonction de leur position. Pour utiliser le trafic de manière efficace, ils doivent également recevoir des mises à jour de différentes sources en fonction de leur position.

   Vous devez configurer des règles pour les utilisateurs itinérants : profils de connexion et descriptions d'emplacement réseau. Chaque règle définit l'instance de Serveur d'administration à laquelle les ordinateurs portables itinérants doivent se connecter en fonction de leur position et l'instance de Serveur d'administration à partir de laquelle ils doivent recevoir les mises à jour.