Algunos de los dispositivos administrados que siempre están fuera de la red principal (por ejemplo, los equipos en las sucursales regionales de una empresa; quioscos, cajeros automáticos y terminales instalados en varios puntos de venta; equipos en las oficinas en casa de los empleados) no se pueden conectar directamente al Servidor de administración. Algunos dispositivos viajan fuera del perímetro de vez en cuando (por ejemplo, ordenadores portátiles de usuarios que visitan sucursales regionales o la oficina de un cliente).
Con todo, es necesario monitorizar y gestionar la protección de los dispositivos fuera de la oficina: recibir información real sobre su estado de protección y mantener actualizadas las aplicaciones de seguridad. Esto es necesario porque, por ejemplo, si un dispositivo de este tipo se ve comprometido mientras está lejos de la red principal, podría convertirse en una plataforma para propagar amenazas tan pronto como se conecte a la red principal. Para conectar dispositivos fuera de la oficina al Servidor de administración, puede utilizar dos métodos:
Consulte el esquema de tráfico de datos: Servidor de administración en LAN, dispositivos administrados en Internet, puerta de enlace de conexión en uso
Consulte el esquema de tráfico de datos: Servidor de administración en DMZ, dispositivos administrados en Internet
Una puerta de enlace de conexión en la DMZ
Un método recomendado para conectar dispositivos fuera de la oficina al Servidor de administración es organizar una DMZ en la red de la organización e instalar una puerta de enlace de conexión en la DMZ. Los dispositivos externos se conectarán a la puerta de enlace de conexión y el Servidor de administración dentro de la red iniciará la conexión con los dispositivos a través de la puerta de enlace de conexión.
En comparación con el otro método, este es más seguro:
Además, una puerta de enlace de conexión no requiere muchos recursos de hardware.
Sin embargo, este método tiene un proceso de configuración más complicado:
El escenario de esta sección describe este método.
Servidor de administración en la DMZ
Otro método es instalar un único Servidor de administración en la DMZ.
Esta configuración es menos segura que el otro método. Para administrar ordenadores portátiles externos en este caso, el Servidor de administración debe aceptar conexiones desde cualquier dirección en Internet. Seguirá administrando todos los dispositivos en la red interna, pero desde la DMZ. Por lo tanto, un servidor comprometido podría causar una enorme cantidad de daños, a pesar de la baja probabilidad de que ocurra tal evento.
El riesgo se reduce en gran medida si el Servidor de administración en la DMZ no administra dispositivos en la red interna. Una configuración de este tipo puede utilizarla, por ejemplo, un proveedor de servicios para administrar los dispositivos de los clientes.
Es posible que desee utilizar este método en los siguientes casos:
Esta solución también tiene posibles dificultades: