Serwer administracyjny w strefie DMZ, zarządzane urządzenia w internecie
Poniższy rysunek przedstawia ruch sieciowy danych, gdy Serwer administracyjny jest w strefie zdemilitaryzowanej (DMZ), a zarządzane urządzenia, w tym urządzenia mobilne, są w internecie.
Serwer administracyjny w strefie DMZ, zarządzane urządzenia mobilne w internecie
Na tym rysunku brama połączenia nie jest używana: urządzenia mobilne nawiązują połączenie bezpośrednio z Serwerem administracyjnym.
Strzałki wskazują inicjowanie ruchu sieciowego: każda strzałka wskazuje kierunek z urządzenia, które inicjuje połączenie, do urządzenia, które „odpowiada” na połączenie. Dostarczony jest numer portu oraz nazwa protokołu użytego do przesyłania danych. Każda strzałka posiada etykietę liczby, a szczegóły dotyczące odpowiedniego ruchu danych wyglądają następująco:
Serwer administracyjny wysyła dane do bazy danych. Jeśli instalujesz Serwer administracyjny i bazę danych na różnych urządzeniach, musisz udostępnić potrzebne porty na urządzeniu, na którym znajduje się baza danych (na przykład: port 3306 dla MySQL Server i MariaDB Server lub port 1433 dla Microsoft SQL Server). Odpowiednie informacje można znaleźć w dokumentacji do DBMS.
Żądania komunikacji od Serwera administracyjnego są przesyłane do wszystkich niemobilnych zarządzanych urządzeń poprzez port UDP o numerze 15000.
Agenty sieciowe wysyłają żądania do siebie nawzajem w obrębie jednej domeny broadcastowej. Dane są następnie wysyłane do Serwera administracyjnego i są używane do określenia ograniczeń domeny broadcastowej i do automatycznego przydzielenia punktów dystrybucji (jeśli ta opcja jest włączona).
Informacje o zamknięciu zarządzanych urządzeń są przesyłane z Agenta sieciowego do Serwera administracyjnego poprzez port UDP o numerze 13000.
Jeśli używałeś wcześniejszej wersji Kaspersky Security Center, Serwer administracyjny w Twojej sieci może odbierać połączenia od Agentów sieciowych poprzez port bez szyfrowania SSL o numerze 14000. Kaspersky Security Center obsługuje także połączenia Agentów sieciowych poprzez port 14000, chociaż zalecane jest korzystanie z portu SSL o numerze 13000.
We wcześniejszych wersjach Kaspersky Security Center punkt dystrybucji nosił nazwę „Agent aktualizacji”.
4a. Brama połączenia w strefie DMZ odbiera również połączenie z Serwera administracyjnego przez port SSL 13000. Ponieważ brama połączenia w strefie DMZ nie obejmuje portów Serwera administracyjnego, Serwer administracyjny utworzy i zachowa ciągłe połączenie sygnałowe z bramą połączenia. Połączenie sygnałowe nie jest używane do przesyłania danych; jest używane tylko do wysyłania zaproszenia do interakcji z siecią. Jeśli brama połączenia musi nawiązać połączenie z Serwerem, poinformuje Serwer za pośrednictwem połączenia sygnałowego, a następnie Serwer utworzy wymagane połączenie do przesyłania danych.
Urządzenia mobilne nawiązują także połączenie z bramą połączenia za pośrednictwem portu SSL o numerze 13000.
Zarządzane urządzenia (za wyjątkiem urządzeń mobilnych) żądają aktywacji poprzez port TCP o numerze 17000. Nie jest to konieczne, jeśli urządzenie posiada własny dostęp do internetu; w tym przypadku urządzenie wysyła dane do serwerów Kaspersky bezpośrednio przez internet.
Dane z Konsoli administracyjnej opartej na konsoli MMC zostaną przesłane do Serwera administracyjnego poprzez port 13291 (Konsola administracyjna może zostać zainstalowana na tym samym lub na innym urządzeniu).
Lokalny ruch sieciowy aplikacji na pojedynczym urządzeniu (na Serwerze administracyjnym lub na zarządzanym urządzeniu). Żadne porty zewnętrzne nie muszą być otwarte.
Dane z Serwera administracyjnego na serwery Kaspersky (takie jak dane KSN lub informacje o licencjach) oraz dane z serwerów Kaspersky na Serwer administracyjny (takie jak uaktualnienia aplikacji i aktualizacje antywirusowych baz danych) są przesyłane przy użyciu protokołu HTTPS.
Jeśli nie chcesz, żeby Twój Serwer administracyjny miał dostęp do internetu, musisz ręcznie zarządzać tymi danymi.
Kaspersky Security Center 13.1 Web Console Server wysyła dane na Serwer administracyjny, który może być zainstalowany na tym samym lub innym urządzeniu, poprzez port TLS o numerze 13299.
9a. Dane z przeglądarki, która jest zainstalowana na oddzielnym urządzeniu administratora, są przesyłane do Kaspersky Security Center 13.1 Web Console Server poprzez port TLS o numerze 8080. Kaspersky Security Center 13.1 Web Console Server może zostać zainstalowany na Serwerze administracyjnym lub na innym urządzeniu.
Tylko dla urządzeń mobilnych z systemem Android: dane z Serwera administracyjnego są przesyłane na serwery Google. To połączenie jest używane do informowania urządzeń mobilnych Android, że są niezbędne do nawiązania połączenia z Serwerem administracyjnym. Powiadomienia push są wysyłane na urządzenia mobilne.
Tylko dla urządzeń mobilnych z systemem Android: powiadomienia push z serwerów Google są wysyłane na urządzenie mobilne. To połączenie jest używane do informowania urządzeń mobilnych, że są niezbędne do nawiązania połączenia z Serwerem administracyjnym.
Tylko dla urządzeń mobilnych z systemem iOS: dane z serwera iOS MDM są przesyłane do serwerów Apple Push Notification. Powiadomienia push są wysyłane na urządzenia mobilne.
Tylko dla urządzeń mobilnych z systemem iOS: powiadomienia push z serwerów Apple są wysyłane na urządzenie mobilne. To połączenie jest używane do informowania urządzeń mobilnych iOS, że są niezbędne do nawiązania połączenia z Serwerem administracyjnym.
Tylko dla urządzeń mobilnych: dane z zarządzanej aplikacji są przesyłane do Serwera administracyjnego (lub do bramy połączenia) poprzez port TLS o numerze 13292 / 13293— bezpośrednio lub poprzez Microsoft Forefront Threat Management Gateway (TMG).
Tylko dla urządzeń mobilnych: dane z urządzenia mobilnego są przesyłane do infrastruktury Kaspersky.
15a. Jeśli urządzenie mobilne nie ma dostępu do internetu, dane są przesyłane do Serwera administracyjnego poprzez port o numerze 17100, a Serwer administracyjny wysyła je do infrastruktury Kaspersky; jednakże ten scenariusz jest stosowany bardzo rzadko.
Żądania dla pakietów z zarządzanych urządzeń, w tym urządzeń mobilnych, są przesyłane do serwera WWW, który znajduje się na tym samym urządzeniu co Serwer administracyjny.
Tylko dla urządzeń mobilnych z systemem iOS: dane z urządzenia mobilnego są przesyłane za pośrednictwem portu TLS o numerze 443 na serwer iOS MDM, który znajduje się na tym samym urządzeniu co Serwer administracyjny, lub na bramie połączenia.