Жергілікті желі (LAN) ішіндегі Басқару сервері, интернеттегі басқарылатын құрылғылар; қосылым шлюзін қолдану

Төмендегі суретте, Басқару сервері жергілікті желі (LAN) ішінде, ал басқарылатын құрылғылар, сонымен қатар ұялы құрылғылар интернетте болатын деректер трафигі көрсетілген. Қосылым шлюзі қолданылуда.

Бұл орналастыру схемасы, ұялы құрылғылардың тікелей Басқару серверіне қосылғанын қаламасаңыз және Microsoft Forefront Threat Management Gateway (TMG) немесе корпоративтік брандмауэрді қолданғыңыз келмесе, ұсынылады.

Басқару серверіне қосылым шлюзі арқылы қосылған басқарылатын ұялы құрылғылар

Бұл суретте басқарылатын құрылғылар демилитаризацияланған аймақта (DMZ) орналасқан қосылым шлюзі арқылы Басқару серверіне қосылған. TMG немесе корпоративтік брандмауэр қолданылмайды.

Нұсқарлар трафиктің бағытын көрсетеді: әрбір нұсқар қоңырауға "жауап беретін" құрылғыға қосылымды бастайтын құрылғыдан өткізілген. Деректерді беру үшін қолданылатын протоколдың атауы мен порт нөмірі көрсетілген. Әрбір нұсқар нөмірленген және тиісті деректер трафигі туралы келесі ақпаратты қамтиды:

1. Басқару сервері деректерді дерекқорға жібереді. Басқару сервері мен дерекқорды әртүрлі құрылғыларға орнатқан болсаңыз, дерекқор орналасқан құрылғыдағы қажетті порттарды (мысалы, MySQL Server үшін 3306-порт немесе Microsoft SQL Server үшін 1433-порт) қолжетімді етуіңіз керек. Толығырақ ақпарат ДҚБЖ құжаттамасында көрсетілген.
2. Басқару серверімен байланысуға арналған сұраулар 15000 UDP порты арқылы барлық ұялы емес басқарылатын құрылғыларға жіберіледі.

   Желілік агенттер сұрауларды бір-біріне бір кеңінен тарататын домен шегінде жібереді. Содан соң, деректер Басқару серверіне жіберіледі және кеңінен тарататын доменнің шектерін анықтау үшін және тарату нүктелерін автоматты түрде тағайындау үшін қолданылады (бұл параметр қосулы болса).

   Басқару серверінің басқарылатын құрылғыларға тікелей қатынасы болмаса, Басқару серверінен осы құрылғыларға байланыс сұраулары тікелей жіберілмейді.

3. Басқарылатын құрылғыларды өшіру туралы ақпарат Желілік агенттен Басқару серверіне 13000 UDP порты арқылы беріледі.
4. Басқару сервері қосылымдарды Желілік агенттерден және қосалқы Басқару серверлерінен 13000 SSL порты арқылы қабылдайды.

   Егер сіз Kaspersky Security Center бағдарламасының алдыңғы нұсқаларының бірін қолдансаңыз, онда сіздің желіңізде Басқару сервері 14000 қорғалмаған порты арқылы Желілік агенттерден қосылымдарды қабылдай алады. Kaspersky Security Center нұсқасы да 14000-порт бойынша Желілік агенттерді қосуды қолдайды, бірақ 13000 қорғалған портын пайдалану ұсынылады.

   Kaspersky Security Center бағдарламасының ерте нұсқаларында тарату нүктесі жаңарту агенті деп аталған.

5. Басқарылатын құрылғылар (ұялы құрылғылардан басқа) 17000 TCP порты арқылы белсендіруді сұрайды. Құрылғының интернетке өзіндік қатынасы болса, мұның қажеті жоқ; бұл жағдайда, құрылғы деректерді "Лаборатория Касперского" серверлеріне тікелей интернет арқылы жібереді.
6. Деректер Басқару консолінен Microsoft Management Console консолі негізінде Басқару серверіне 13291-порт арқылы беріледі. Басқару консолі бірдей құрылғыға немесе басқасына орнатылуы мүмкін.
7. Бір құрылғыдағы бағдарламалар жергілікті трафикпен алмасады (не Басқару серверінде, не басқарылатын құрылғыда). Сыртқы порттарды ашу қажет емес.
8. Басқару серверінен "Лаборатория Касперского" серверлеріне жіберілетін деректер (мысалы, KSN деректері, лицензиялар туралы ақпарат) және "Лаборатория Касперского" серверлерінен Басқару серверіне жіберілетін деректер (мысалы, бағдарламаларды жаңарту және антивирустық дерекқорларды жаңарту) HTTPS протоколы бойынша жіберіледі.

   Басқару серверіңізде интернетке қатысыңыздың болуын қаламасаңыз, осы деректерді қолмен басқаруыңыз керек.

9. Kaspersky Security Center Web Console Server сервері деректерді бірдей құрылғыда немесе басқасында орнатылуы мүмкін Басқару серверіне 13299 TLS-порты арқылы жібереді.

   9a. Жеке әкімші құрылғысында орнатылған браузерден алынған деректер TLS 8080 порты арқылы Kaspersky Security Center Web Console Server серверіне жіберіледі. Kaspersky Security Center Web Console Server серверін Басқару сервері орнатылған құрылғыға немесе басқа құрылғыға орнатуға болады.

10. Тек Android ұялы құрылғылары үшін: Басқару серверінен алынған деректер Google қызметтеріне беріледі. Бұл қосылым Android ұялы құрылғыларына, Басқару серверіне қосылуы қажет екендігі туралы хабарлау үшін қолданылады. Содан соң, push хабарландырулары ұялы құрылғыларға жіберіледі.
11. Тек Android ұялы құрылғылары үшін: Google серверлерінен келетін push хабарландырулары ұялы құрылғыға жіберіледі. Бұл қосылым ұялы құрылғыларға, Басқару серверіне қосылуы қажет екендігі туралы хабарлау үшін қолданылады.
12. Тек iOS ұялы құрылғылары үшін: iOS MDM серверінен алынған деректер Apple Push Notification серверлеріне жіберіледі. Содан соң, push хабарландырулары ұялы құрылғыларға жіберіледі.
13. Тек iOS ұялы құрылғылары үшін: Apple серверлерінен келетін push хабарландырулары ұялы құрылғыға жіберіледі. Бұл қосылым iOS ұялы құрылғыларына, Басқару серверіне қосылуы қажет екендігі туралы хабарлау үшін қолданылады.
14. Тек мобильдік құрылғылар үшін: басқарылатын бағдарлама деректерді басқару серверіне 13292/13293 TLS порты арқылы тікелей немесе корпоративтік желілік экран көмегімен жібереді.
15. Тек ұялы құрылғылар үшін: ұялы құрылғыдан алынған деректер "Лаборатория Касперского" инфрақұрылымына беріледі.

    15a. Егер ұялы құрылғы интернетке қатынаса алмаса, деректер 17100-порт арқылы Басқару серверіне беріледі, ал Басқару сервері оларды "Лаборатория Касперского" инфрақұрылымына береді. Алайда, бұл сценарий өте сирек қолданылады.

16. Басқарылатын құрылғылардан, соның ішінде ұялы құрылғылардан пакеттерге арналған сұраулар Басқару сервері орнатылған құрылғыда орналасқан Веб-серверге жіберіледі.
17. Тек iOS ұялы құрылғылары үшін: ұялы құрылғылардан алынған деректер 443 TLS порты арқылы Басқару сервері немесе қосылым шлюзі орнатылған құрылғыда орналасқан iOS MDM серверіне жіберіледі.

Сондай-ақ, қараңыз: Kaspersky Security Center қолданатын порттар Тарату нүктесін қосылым шлюзі ретінде қолдану туралы

Басына оралу