Настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center

Шлюз соединения – это Агент администрирования, работающий в особом режиме. Агент администрирования является компонентом Kaspersky Security Center, который осуществляет взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского". Шлюз соединения принимает соединения от других Агентов администрирования и туннелирует их к Серверу администрирования через собственное соединение с Сервером. В отличие от обычного Агента администрирования, шлюз соединения ожидает соединений от Сервера администрирования, а не устанавливает соединения с ним.

Шлюз соединения позволяет более эффективно применять средства безопасности для защиты сетевой инфраструктуры от потенциальных уязвимостей.

• Использование шлюза соединения упрощает мониторинг подозрительной активности на отдельном сетевом узле за пределами локальной сети (LAN). Это позволяет избежать прямых вредоносных атак по мобильному протоколу за счет реализации отдельного протокола для связи между шлюзом соединения и Kaspersky Security Center.
• Уменьшается поверхность потенциальных сетевых атак, поскольку связь между Kaspersky Security Center и шлюзом соединения устанавливается через один порт (по умолчанию 13000), через который обрабатываются все запросы.
• Использование шлюза соединения позволяет проверять мобильный сертификат за пределами локальной сети и запрещать устройствам отправлять данные в Kaspersky Security Center до их аутентификации, что защищает сетевую инфраструктуру от уязвимостей протоколов более низкого уровня, таких как TLS/SSL.

В этом разделе описывается настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center. Настройка включает в себя следующие шаги:

1. Установка Агента администрирования в качестве шлюза соединения на хосте.
2. Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center.

Эта статья содержит обзор сценария. Дополнительная информация приведена в справке Kaspersky Security Center.

Требования

Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:

• На хосте со шлюзом соединения должен быть открыт один из портов - 13293 или 13292.

  Эти порты предназначены для подключения и синхронизации мобильных устройств.

  • При использовании порта 13293 на шлюзе соединения проверяется TLS-сертификат (без отправки сертификата на Сервер администрирования).
  • При использовании порта 13292 сертификат не проверяется (при этом игнорируется флаг LP_MobileMustUseTwoWayAuthOnPort13292).
• Между шлюзом соединения и Kaspersky Security Center должен быть открыт порт 13000. Его открытие наружу из демилитаризованной зоны не требуется.
• Хост должен иметь статический адрес, доступный из интернета.

Установка Агента администрирования на хост, выполняющий роль шлюза соединения

Сначала необходимо установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения. Вы можете загрузить полный инсталляционный пакет Kaspersky Security Center или установить Kaspersky Security Center локально.

По умолчанию установочный файл расположен по следующему пути: \\<server name>\KLSHARE\PkgInst\NetAgent_<version number>

Чтобы установить Агент администрирования в роли шлюза соединения:

1. Запустите Мастер установки Агента администрирования и следуйте его указаниям, оставляя настройки по умолчанию для всех параметров, пока не откроется окно Выбор Сервера администрирования.
2. В окне Выбор Сервера администрирования настройте следующие параметры:
   • Введите адрес устройства с установленным Сервером администрирования.
   • Оставьте значения по умолчанию в полях Порт, SSL-порт и UDP-порт.
   • Установите флажок Использовать SSL для соединения с Сервером администрирования, чтобы установить соединение с Сервером администрирования через защищенный порт с использованием SSL.

     Рекомендуется не снимать этот флажок, чтобы соединение оставалось защищенным.

   • Установите флажок Разрешить Агенту администрирования открыть UDP-порт, чтобы управлять клиентскими устройствами и получать о них информацию.
3. Нажмите Далее и пройдите все шаги мастера до появления окна Шлюз соединения, оставляя настройки по умолчанию.
4. В окне Шлюз соединения выберите Использовать в качестве шлюза соединения в демилитаризованной зоне.

   Этот режим одновременно активирует Агент администрирования в роли шлюза соединения и переключает его на ожидание подключений от Сервера администрирования, а не на установку подключения к Серверу администрирования.

5. Нажмите Далее и начните установку.

Теперь Агент администрирования установлен и настроен в качестве шлюза соединения.

Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center

После установки Агента администрирования в качестве шлюза соединения необходимо подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования. По этой причине необходимо добавить шлюз соединения как точку распространения, чтобы убедиться, что Сервер администрирования инициирует подключение к шлюзу соединения.

Чтобы настроить шлюз соединения на Сервере администрирования:

1. Добавьте шлюз соединения как точку распространения в Kaspersky Security Center.
   1. В дереве консоли перейдите в папку Сервера администрирования.
   2. В контекстном меню Сервера администрирования выберите пункт Свойства.
   3. В окне свойств Сервера администрирования выберите раздел Точки распространения.
   4. Нажмите на кнопку Добавить.

      Откроется окно Добавление точки распространения.

   5. В окне Добавление точки распространения выполните следующие действия:
      • Укажите IP-адрес устройства с установленным Агентом администрирования в поле Устройство, которое будет выполнять роль точки распространения. Для этого выберите пункт Добавить шлюз соединения, находящийся в демилитаризованной зоне, по адресу в раскрывающемся списке.

        Введите IP-адрес шлюза соединения или имя шлюза соединения, если к нему можно получить доступ по имени.

      • В поле Область действия точки распространения, в раскрывающемся списке выберите группу, на которую будет распространяться шлюз соединения, а затем нажмите ОК.
   6. В разделе Точки распространения нажмите ОК, чтобы сохранить внесенные изменения.

   Шлюз соединения будет сохранен как новая запись под именем Временная запись для шлюза соединения.

   Сервер администрирования практически сразу попытается подключиться к шлюзу соединения по указанному вами адресу. При успешном подключении имя записи изменится на имя устройства шлюза соединения. Этот процесс занимает до 5 минут.

   Пока временная запись для шлюза соединения переводится в именованную запись, шлюз соединения также отображается в группе Нераспределенные устройства.

2. Создайте новую группу в группе Управляемые устройства. В эту группу будут входить внешние управляемые устройства.
3. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.
4. Настройте свойства шлюза соединения, который вы развернули:
   1. В свойствах Сервера администрирования, в разделе Точки распространения выберите шлюз соединения и нажмите Свойства.

      Дополнительная информация о настройке уведомлений приведена в справке Kaspersky Security Center.

   2. В разделе Общие, в свойстве Имена DNS-доменов точки распространения, под которыми она будет доступна мобильным устройствам (включаются в сертификат) укажите DNS-имя шлюза соединения, которое будет использоваться для подключения к мобильному устройству.

      Если в основных ограничениях пользовательского мобильного сертификата Сервера администрирования не установлено свойство "CA: true", на шлюзе соединения будет использоваться тот же сертификат, что и на Сервере администрирования.

   3. В разделе Шлюз соединения установите следующие флажки, оставляя номера портов по умолчанию:
      • Открыть порт для мобильных устройств (аутентификация SSL только для Сервера администрирования).
      • Открыть порт для мобильных устройств (двусторонняя аутентификация SSL).
   4. Нажмите OK, чтобы сохранить внесенные изменения.

Шлюз соединения настроен. Теперь вы можете добавлять новые мобильные устройства, указав адрес шлюза соединения. Новые устройства появятся на Сервере администрирования.

Чтобы изменить адрес подключения мобильных устройств, перевыпустите мобильный сертификат с новым адресом подключения, указанном при настройке шлюза соединения (в окне свойств Сервера администрирования выберите Параметры подключения к Серверу администрирования → Сертификаты). Дополнительная информация о перевыпуске мобильных сертификатов приведена в разделе Перевыпуск мобильного сертификата Сервера администрирования.

Чтобы мобильные устройства синхронизировались с Kaspersky Security Center на шлюзе соединения, в свойствах инсталляционных пакетов Kaspersky Endpoint Security для Android необходимо указать адрес подключения, заданный при настройке шлюза соединения.

В начало