管理サーバーが LAN 内にありインターネット経由で管理対象デバイスに接続している構成(TMG を使用)

次の図は、管理サーバーがローカルエリアネットワーク(LAN)内にありモバイルデバイスを含む管理対象デバイスにインターネット経由で接続している場合のデータトラフィックの流れを示しています。この図では、Microsoft Forefront TMG(Threat Management Gateway)が使用されています。ただし、組織のネットワークでファイアウォールを使用する場合、TMG 以外の製品を利用することもできます。詳しくは、導入予定の製品の仕様書などのドキュメントを参照してください。

接続ゲートウェイと TMG

管理サーバーが LAN 内にあり、Microsoft Forefront TMG を経由して管理対象デバイスに接続している構成

モバイルデバイスが管理サーバーに直接接続しないように構成し、なおかつ DMZ 内に接続ゲートウェイを割り当てない場合は、この構成での導入が推奨されます。

矢印の向きはトラフィックの流れを示しており、接続を開始するデバイスから接続要求に応答するデバイスに向けて矢印が引かれています。矢印の線に添えて、データの転送に使用されたポートの番号とプロトコルが示されています。また、矢印には黄色の丸数字が添えられています。それぞれのデータトラフィックの内容について詳しくは、各数字に対応する次の説明を参照してください:

  1. 管理サーバーがデータベースにデータを送信します。管理サーバーとデータベースを異なるデバイス上にインストールする場合、データベースを配置したデバイス上で必要なポートを利用可能な状態に設定する必要があります(例:MySQL Server または MariaDB Server 用のポート 3306、または Microsoft SQL Server 用のポート 1433 など)。関連する情報については、DBMS のドキュメントを参照してください。
  2. 管理サーバーからの通信リクエストは、モバイルデバイス以外のすべての管理対象デバイスに対して UDP ポート 15000 で送信されます。

    2a.ネットワークエージェントは、1 つのブロードキャストドメイン内で相互にリクエストを送信します。その後、データは管理サーバーに送信され、ブロードキャストドメインの制限の定義およびディストリビューションポイントの自動割り当てに使用されます(このオプションが有効な場合)。

  3. 管理対象デバイスのシャットダウンに関する情報は UDP ポート 13000 でネットワークエージェントから管理サーバーに転送されます。
  4. ネットワークエージェントスレーブ管理サーバーから管理サーバーへの接続は SSL ポート 13000 で受信します。

    Kaspersky Security Center の以前のバージョンを使用している場合、ネットワーク上の管理サーバーがネットワークエージェントからの接続を非 SSL のポート 14000 で受信する場合があります。Kaspersky Security Center もポート 14000 を使用したネットワークエージェントとの接続をサポートしていますが、SSL ポート 13000 の使用が推奨されます。

    ディストリビューションポイントは、以前のバージョンの Kaspersky Security Center では「アップデートエージェント」と呼ばれていました。

  5. (モバイルデバイス以外の)管理対象デバイスは TCP ポート 17000 でアクティベーションを要求します。管理対象デバイスがインターネットに接続できる環境にある場合、デバイスはインターネット経由でカスペルスキーのサーバーに直接データを送信するので、このポートでの通信は必要ありません。
  6. MMC ベースの管理コンソールは ポート 13291 で管理サーバーへのデータを送信します。管理コンソールは管理サーバーと同じデバイス上と異なるデバイス上のどちらにもインストールできます。
  7. 1 台のデバイス内でのアプリケーション間でのデータ交換(管理サーバー内、または管理対象デバイス内)。このデータの流れに対して外部ポートを開く必要はありません。
  8. KSN データやライセンスに関する情報などの管理サーバーからカスペルスキーのサーバーへのデータの送信、および製品アップデートや定義データベースアップデートなどのカスペルスキーのサーバーから管理サーバーへのデータの送信には、HTTPS プロトコルが使用されます。

    管理サーバーをインターネットに接続しない場合、これらのデータを手動でやり取りする必要があります。

  9. Kaspersky Security Center 12 Web コンソールと管理サーバーは同じデバイスまたは別々のデバイスにインストールすることができますが、異なるデバイスにインストールした場合、Web コンソールは管理サーバーに TLS ポート 13299 でデータを送信します。

    9a.(Web コンソールがインストールされているのとは異なる)管理者用のデバイスにインストールされている Web ブラウザーからのデータは、Kaspersky Security Center 12 Web コンソールサーバーに TLS 8080 ポートで送信されます。Kaspersky Security Center 12 Web コンソールサーバーは管理サーバーと同じデバイスにインストールすることも、別のデバイスにインストールすることもできます。

  10. Android モバイルデバイスのみ:管理サーバーから Google のサーバーへのトラフィック。この接続は、Android モバイルデバイスに、管理サーバーと接続する必要があることを通知するために使用されます。これにより、モバイルデバイスへのプッシュ通知が送信されます。
  11. Android モバイルデバイスのみ:Google のサーバーからモバイルデバイスへのプッシュ通知の送信。この接続は、モバイルデバイスに、管理サーバーと接続する必要があることを通知するために使用されます。
  12. iOS モバイルデバイスのみ:iOS MDM サーバーから Apple のプッシュ通知サーバーへのデータ送信。これにより、モバイルデバイスへのプッシュ通知が送信されます。
  13. iOS モバイルデバイスのみ:Apple のサーバーからモバイルデバイスへのプッシュ通知。この接続は、iOS モバイルデバイスに、管理サーバーと接続する必要があることを通知するために使用されます。
  14. モバイルデバイスのみ:管理対象製品は、管理サーバー(または接続ゲートウェイ)に TLS ポート 13292/13293 でデータを送信します(直接または Microsoft Forefront TMG 経由)。
  15. モバイルデバイスのみ:モバイルデバイスからカスペルスキーのサーバーへのデータ送信。

    15a.モバイルデバイスがインターネットに接続されていない場合、データはポート 17100 で管理サーバーに送信され、それから管理サーバーがカスペルスキーのサーバーにデータを送信します。ただし、こうした状況が実際に発生する頻度はそれほど高くありません。

  16. モバイルデバイスを含む管理対象デバイスから、管理サーバーと同じデバイス上の Web サーバーへのパッケージ要求の送信。
  17. iOS モバイルデバイスのみ:モバイルデバイスは、管理サーバーまたは接続ゲートウェイと同じデバイス上の iOS MDM サーバーに TLS ポート 443 でデータを送信します。

関連項目:

Kaspersky Security Center で使用するポート

ページのトップに戻る