Escenario: conexión de dispositivos fuera de la oficina a través de una puerta de enlace de conexión

Este escenario describe cómo conectar dispositivos administrados que se encuentran fuera de la red principal al Servidor de administración.

Requisitos previos

El escenario tiene los siguientes requisitos previos:

• Una zona desmilitarizada (DMZ) está organizada en la red de su organización.
• El Servidor de administración de Kaspersky Security Center está desplegado en la red corporativa.

Etapas

Este escenario avanza en etapas:

1. Seleccionar un dispositivo cliente en la DMZ

   Este dispositivo se utilizará como puerta de enlace de conexión. El dispositivo que seleccione debe cumplir los requisitos de las puertas de enlace de conexión.

2. Instalación de Agente de red con la función de puerta de enlace de conexión

   Le recomendamos que utilice una instalación local para instalar el Agente de red en el dispositivo seleccionado.

   De forma predeterminada, el archivo de instalación se encuentra en: \\<server name>\KLSHARE\PkgInst\NetAgent_<version number>

   En la ventana Puerta de enlace de conexión del Asistente de instalación del Agente de red, seleccione Usar el Agente de red como puerta de enlace de conexión en DMZ. Este modo activa simultáneamente la función de puerta de enlace de conexión e indica al Agente de red que espere las conexiones del Servidor de administración en lugar de establecer conexiones con el Servidor de administración.

   También puede instalar el Agente de red en un dispositivo Linux y configurar el Agente de red para que funcione como puerta de enlace de conexión, pero preste atención a la lista de limitaciones del Agente de red que se ejecuta en dispositivos Linux.

3. Permitir conexiones en firewalls en la puerta de enlace de conexión

   Para asegurarse de que el Servidor de administración pueda realmente conectarse a la puerta de enlace de conexión en la DMZ, permita conexiones al puerto TCP 13000 en todos los firewalls entre el Servidor de administración y la puerta de enlace de conexión.

   Si la puerta de enlace de conexión no tiene una dirección IP real en Internet, sino que se encuentra detrás de Network Address Translation (NAT), configure una regla para reenviar las conexiones a través de NAT.

4. Creación de un grupo de administración para dispositivos externos

   Cree un nuevo grupo en el grupo de Dispositivos administrados. Este grupo nuevo contendrá dispositivos administrados externos.

5. Conexión de la puerta de enlace de conexión a un Servidor de administración.

   La puerta de enlace de conexión que ha configurado queda a la espera de que el Servidor de administración se conecte. Sin embargo, el Servidor de administración no enumera el dispositivo con la puerta de enlace de conexión entre los dispositivos administrados. Esto se debe a que la puerta de enlace de conexión no ha intentado establecer una conexión con el Servidor de administración. Por lo tanto, necesita un procedimiento especial para asegurarse de que el Servidor de administración inicie una conexión con la puerta de enlace de conexión.

   Haga lo siguiente:

   1. Añada la puerta de enlace de conexión como punto de distribución.
   2. Mueva la puerta de enlace de conexión del grupo Dispositivos no asignados al grupo que ha creado para dispositivos externos.

   La puerta de enlace de conexión queda conectada y configurada.

6. Conexión de equipos de escritorio externos al Servidor de administración:

   Por lo general, los equipos de escritorio externos no se mueven dentro del perímetro. Por lo tanto, debe configurarlos para que se conecten al Servidor de administración a través de la puerta de enlace al instalar el Agente de red.

7. Configuración de actualizaciones para equipos de escritorio externos

   Si las actualizaciones de las aplicaciones de seguridad están configuradas para descargarse del Servidor de administración, los equipos externos descargan las actualizaciones a través de la puerta de enlace de conexión. Esto tiene dos desventajas:

   • Se trata de tráfico innecesario, que ocupa el ancho de banda del canal de comunicación de Internet de la empresa.
   • Esta no es necesariamente la forma más rápida de obtener actualizaciones. Es muy probable que sea más barato y rápido que los equipos externos reciban actualizaciones de los servidores de actualización de Kaspersky.

   Haga lo siguiente:

   1. Mueva todos los equipos externos al grupo de administración independiente que ha creado.
   2. Excluya al grupo con dispositivos externos de la tarea de actualización.
   3. Cree una tarea de actualización aparte para el grupo con dispositivos externos.
8. Conexión de equipos portátiles que viajan al Servidor de administración

   Los equipos portátiles que viajan a veces están dentro de la red, y otras fuera. Para una gestión eficaz, necesita que se conecten al Servidor de administración de forma diferente según su ubicación. Para un uso eficiente del tráfico, también necesitan recibir actualizaciones de diferentes fuentes según su ubicación.

   Necesita configurar reglas para usuarios fuera de la oficina: perfiles de conexión y descripciones de ubicación de red. Cada regla define la instancia del Servidor de administración al que deben conectarse los equipos portátiles que viajan, según su ubicación y según el Servidor de administración desde el cual deben recibir actualizaciones.

Consulte también: Acceso a Internet: Agente de red como puerta de enlace de conexión en DMZ

Subir