Regolazione di punti di distribuzione e gateway di connessione

Una struttura di gruppi di amministrazione in Kaspersky Security Center esegue le seguenti funzioni:

• Imposta l'ambito dei criteri

  È disponibile un metodo alternativo per l'applicazione delle impostazioni appropriate nei dispositivi, utilizzando i profili criterio. In questo caso, l'ambito dei criteri viene definito con tag, posizioni dei dispositivi nelle unità organizzative di Active Directory o appartenenza a gruppi di protezione di Active Directory.

• Imposta l'ambito delle attività di gruppo

  Esiste un approccio alla definizione dell'ambito delle attività di gruppo che non è basato su una gerarchia di gruppi di amministrazione: l'utilizzo di attività per selezioni dispositivi e di attività per dispositivi specifici.

• Imposta i diritti di accesso a dispositivi, Administration Server virtuali e Administration Server secondari
• Assegna i punti di distribuzione

Al momento della creazione della struttura dei gruppi di amministrazione, è necessario tenere conto della topologia della rete dell'organizzazione per l'assegnazione ottimale dei punti di distribuzione. La distribuzione ottimale dei punti di distribuzione consente di ridurre il traffico nella rete dell'organizzazione.

A seconda dello schema dell'organizzazione e della topologia di rete, le seguenti configurazioni standard possono essere applicate alla struttura dei gruppi di amministrazione:

• Singola sede
• Più sedi remote di piccole dimensioni

I dispositivi che operano come punti di distribuzione devono essere protetti, anche da un punto di vista fisico, da qualsiasi accesso non autorizzato.

Configurazione standard dei punti di distribuzione: singola sede

In una configurazione standard con una singola sede, tutti i dispositivi si trovano nella rete dell'organizzazione e sono visibili reciprocamente. La rete dell'organizzazione può comprendere diversi componenti (reti o segmenti di rete) connessi tramite canali con larghezza di banda ridotta.

Sono disponibili i seguenti metodi per creare la struttura dei gruppi di amministrazione:

• Creazione della struttura dei gruppi di amministrazione tenendo conto della topologia di rete. La struttura dei gruppi di amministrazione potrebbe non riflettere la topologia di rete alla perfezione. Una corrispondenza tra i diversi componenti della rete e alcuni gruppi di amministrazione può essere sufficiente. È possibile utilizzare l'assegnazione automatica dei punti di distribuzione o assegnarli manualmente.
• Creazione della struttura dei gruppi di amministrazione senza tenere conto della topologia di rete. In questo caso è necessario disabilitare l'assegnazione automatica dei punti di distribuzione e quindi assegnare a uno o più dispositivi il ruolo di punti di distribuzione per un gruppo di amministrazione radice in ciascun componente della rete, ad esempio per il gruppo Dispositivi gestiti. Tutti i punti di distribuzione saranno allo stesso livello e avranno lo stesso ambito che comprende tutti i dispositivi della rete dell'organizzazione. In questo caso, tutti i Network Agent si connetteranno al punto di distribuzione con il percorso più vicino. Il percorso di un punto di distribuzione è monitorabile con l'utilità tracert.

Configurazione standard dei punti di distribuzione: più sedi remote di piccole dimensioni

Questa configurazione standard prevede la presenza di diverse sedi remote, che possono comunicare con la sede centrale via Internet. Ogni sede remota è situata dietro il NAT, ovvero la connessione da una sede remota all'altra non è possibile perché le sedi sono isolate tra loro.

La configurazione deve essere riflessa nella struttura dei gruppi di amministrazione: è necessario creare un gruppo di amministrazione distinto per ogni sede remota (i gruppi Sede 1 e Sede 2 nella figura seguente).

Le sedi remote sono incluse nella struttura dei gruppi di amministrazione

È necessario assegnare uno o più punti di distribuzione a ogni gruppo di amministrazione che corrisponde a una sede. I punti di distribuzione devono essere dispositivi nella sede remota con una quantità sufficiente di spazio libero su disco. I dispositivi distribuiti nel gruppo Sede 1, ad esempio, accederanno ai punti di distribuzione assegnati al gruppo di amministrazione Sede 1.

Se alcuni utenti si spostano fisicamente tra le sedi con i loro computer portatili, è necessario selezionare due o più dispositivi (oltre ai punti di distribuzione esistenti) in ogni sede remota e assegnare loro il ruolo di punti di distribuzione per un gruppo di amministrazione di primo livello (Gruppo radice per le sedi nella figura precedente).

Esempio: un computer portatile è distribuito nel gruppo di amministrazione Sede 1 e quindi viene spostato fisicamente nella sede che corrisponde al gruppo di amministrazione Sede 2. Dopo lo spostamento del portatile, Network Agent tenta di accedere ai punti di distribuzione assegnati al gruppo Sede 1, ma tali punti di distribuzione non sono disponibili. Network Agent inizia quindi a tentare di accedere ai punti di distribuzione che sono stati assegnati al Gruppo radice per le sedi. Poiché le sedi remote sono isolate tra loro, i tentativi di accedere ai punti di distribuzione assegnati al gruppo di amministrazione Gruppo radice per le sedi avranno esito positivo solo quando Network Agent tenta di accedere ai punti di distribuzione nel gruppo Sede 2. In altre parole, il computer portatile rimarrà nel gruppo di amministrazione che corrisponde alla sede iniziale, ma utilizzerà il punto di distribuzione della sede in cui si trova fisicamente al momento.

Assegnazione di un dispositivo gestito a cui assegnare il ruolo di punto di distribuzione

È possibile assegnare manualmente a un dispositivo il ruolo di punto di distribuzione per un gruppo di amministrazione e configurarlo come gateway di connessione in Administration Console.

Per assegnare un dispositivo come punto di distribuzione di un gruppo di amministrazione:

1. Nella struttura della console selezionare il nodo Administration Server.
2. Nel menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server selezionare la sezione Punti di distribuzione.
4. Nella parte destra della finestra selezionare l'opzione Assegna i punti di distribuzione manualmente.
5. Fare clic sul pulsante Aggiungi.

   

   Assegnazione manuale di un punto di distribuzione

   Verrà visualizzata la finestra Aggiungi punto di distribuzione.

6. Nella finestra Aggiungi punto di distribuzione eseguire le seguenti azioni:
   1. In Dispositivo con il ruolo di punto di distribuzione fare clic sulla freccia verso il basso () sul pulsante di divisione Seleziona e selezionare l'opzione Aggiungi dispositivo dal gruppo.
   2. Nella finestra Seleziona dispositivi visualizzata selezionare il dispositivo che fungerà da punto di distribuzione.
   3. In Ambito del punto di distribuzione, fare clic sulla freccia verso il basso sul pulsante di divisione Seleziona.
   4. Indicare i dispositivi specifici a cui il punto di distribuzione distribuirà gli aggiornamenti. È possibile specificare un gruppo di amministrazione o una descrizione del percorso di rete.
   5. Fare clic su OK per chiudere la finestra Aggiungi punto di distribuzione.

   

   Selezione dell'ambito del punto di distribuzione

Il punto di distribuzione aggiunto sarà visualizzato nell'elenco dei punti di distribuzione, nella sezione Punti di distribuzione.

Al primo dispositivo in cui è installato Network Agent che si connette all'Administration Server virtuale verrà assegnato automaticamente il ruolo di punto di distribuzione e questo verrà configurato come gateway di connessione.

Collegamento di un dispositivo Linux come gateway nella rete perimetrale

Per connettere un dispositivo Linux come gateway nella rete perimetrale:

1. Scaricare e installare Network Agent nel dispositivo Linux.
2. Eseguire lo script post-installazione e seguire la procedura guidata per impostare la configurazione dell'ambiente locale. Nel prompt dei comandi eseguire il seguente comando:

   $ sudo /opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

3. Nel passaggio in cui viene richiesta la modalità di Network Agent scegliere l'opzione Usa come gateway di connessione.
4. In Administration Console basata su MMC, nel menu di scelta rapida di Administration Server selezionare Proprietà.
5. Nella finestra delle proprietà di Administration Server che verrà visualizzata selezionare la sezione Punti di distribuzione.
6. Nella parte destra della finestra Punti di distribuzione visualizzata:
   1. Selezionare l'opzione Assegna i punti di distribuzione manualmente.
   2. Fare clic sul pulsante Aggiungi.

   Verrà visualizzata la finestra Aggiungi punto di distribuzione.

7. Nella finestra Aggiungi punto di distribuzione eseguire le seguenti azioni:
   1. In Dispositivo con il ruolo di punto di distribuzione, fare clic sulla freccia verso il basso () sul pulsante di divisione Seleziona, quindi selezionare l'opzione Aggiungi gateway di connessione nella rete perimetrale in base all'indirizzo.
   2. In Ambito del punto di distribuzione, fare clic sulla freccia verso il basso sul pulsante di divisione Seleziona.
   3. Indicare i dispositivi specifici a cui il punto di distribuzione distribuirà gli aggiornamenti. È possibile specificare un gruppo di amministrazione.
   4. Fare clic su OK per chiudere la finestra Aggiungi punto di distribuzione.
8. Il punto di distribuzione aggiunto sarà visualizzato nell'elenco dei punti di distribuzione, nella sezione Punti di distribuzione.
9. Eseguire l'utilità klnagchk per verificare se è stata configurata correttamente una connessione a Kaspersky Security Center. Nel prompt dei comandi eseguire:

   $ sudo /opt/kaspersky/klnagent64/bin/klnagchk

10. Nel menu principale, accedere a Kaspersky Security Center e individuare il dispositivo.
11. Nella finestra visualizzata fare clic sul <Nome dispositivo>.
12. Nell'elenco a discesa selezionare il collegamento Sposta nel gruppo.
13. Nella finestra Seleziona gruppo visualizzata fare clic sul collegamento Punti di distribuzione.
14. Fare clic su OK.
15. Riavviare il servizio Network Agent nel client Linux eseguendo il seguente comando nel prompt dei comandi:

    $ sudo /opt/kaspersky/klnagent64/bin/klnagchk -restart

Il collegamento di un dispositivo Linux come gateway nella rete perimetrale è stato completato.

Successivamente, è possibile connettere un dispositivo Linux ad Administration Server tramite il gateway di connessione configurato. Seguire queste procedure solo dopo aver completato lo scenario di installazione principale.

Collegamento di un dispositivo Linux ad Administration Server tramite un gateway di connessione

Un gateway di connessione consente di connettere i dispositivi client dalla rete perimetrale (DMZ) ad Administration Server. I dispositivi basati su Windows e Linux possono fungere da gateway di connessione. Dopo aver connesso e configurato il gateway di connessione, è possibile utilizzare questo gateway per connettere un dispositivo Linux ad Administration Server. Seguire la procedura riportata di seguito solo dopo aver completato lo scenario di installazione principale.

Per connettere un dispositivo Linux ad Administration Server tramite un gateway di connessione, eseguire le seguenti azioni in questo dispositivo:

1. Scaricare e installare Network Agent nel dispositivo Linux.
2. Eseguire lo script post-installazione di Network Agent eseguendo il seguente comando nel prompt dei comandi:

   $ sudo /opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

3. Nel passaggio in cui viene richiesta la modalità di Network Agent scegliere l'opzione Esegui la connessione al server utilizzando il gateway di connessione e immettere l'indirizzo del gateway di connessione.
4. Verificare la connessione con Kaspersky Security Center e il gateway di connessione utilizzando il seguente comando nel prompt dei comandi:

   $ sudo /opt/kaspersky/klnagent64/bin/klnagchk

   L'indirizzo del gateway di connessione viene visualizzato nell'output.

La connessione di un dispositivo Linux ad Administration Server tramite un gateway di connessione è stata completata. È possibile utilizzare questo dispositivo per aggiornare la distribuzione, per l'installazione remota delle applicazioni e per recuperare informazioni sui dispositivi in rete.

Aggiunta di un gateway di connessione nella rete perimetrale come punto di distribuzione

Un gateway di connessione attende le connessioni da Administration Server anziché stabilire connessioni ad Administration Server. Questo significa che subito dopo l'installazione di un gateway di connessione in un dispositivo nella rete perimetrale, Administration Server non elenca il dispositivo tra i dispositivi gestiti. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.

Per aggiungere un dispositivo con un gateway di connessione come punto di distribuzione:

1. Nella struttura della console selezionare il nodo Administration Server.
2. Nel menu di scelta rapida di Administration Server selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server selezionare la sezione Punti di distribuzione.
4. Nella parte destra della finestra selezionare l'opzione Assegna i punti di distribuzione manualmente.
5. Fare clic sul pulsante Aggiungi.

   Verrà visualizzata la finestra Aggiungi punto di distribuzione.

6. Nella finestra Aggiungi punto di distribuzione eseguire le seguenti azioni:
   1. In Dispositivo con il ruolo di punto di distribuzione fare clic sulla freccia verso il basso sul pulsante di divisione Seleziona, quindi selezionare l'opzione Aggiungi gateway di connessione nella rete perimetrale in base all'indirizzo.
   2. Nella finestra Immettere l'indirizzo del gateway di connessione visualizzata inserire l'indirizzo IP del gateway di connessione (o inserire il nome se il gateway di connessione è accessibile in base al nome).
   3. In Ambito del punto di distribuzione, fare clic sulla freccia verso il basso sul pulsante di divisione Seleziona.
   4. Indicare i dispositivi specifici a cui il punto di distribuzione distribuirà gli aggiornamenti. È possibile specificare un gruppo di amministrazione o una descrizione del percorso di rete.

      È consigliabile disporre di un gruppo separato per i dispositivi gestiti esterni.

Dopo l'esecuzione di queste azioni, l'elenco dei punti di distribuzione contiene una nuova voce denominata Voce temporanea per il gateway di connessione.

Administration Server tenta quasi immediatamente di connettersi al gateway di connessione all'indirizzo specificato. Se l'operazione va a buon fine, il nome della voce diventa il nome del dispositivo gateway di connessione. Questo processo richiede al massimo cinque minuti.

Mentre la voce temporanea per il gateway di connessione viene convertita in una voce denominata, il gateway di connessione viene visualizzato anche nel gruppo Dispositivi non assegnati.

Per aggiungere un gateway di connessione a una rete configurata in precedenza, reinstallare Network Agent nei dispositivi che si desidera connettere al gateway di connessione appena aggiunto.

Assegnazione automatica di punti di distribuzione

È consigliabile assegnare automaticamente i punti di distribuzione. Kaspersky Security Center selezionerà autonomamente a quali dispositivi assegnare i punti di distribuzione.

Per assegnare automaticamente i punti di distribuzione:

1. Aprire la finestra principale dell'applicazione.
2. Nella struttura della console selezionare il nodo con il nome dell'Administration Server per cui si desidera assegnare automaticamente i punti di distribuzione.
3. Dal menu di scelta rapida di Administration Server fare clic su Proprietà.
4. Nella finestra delle proprietà di Administration Server, nel riquadro Sezioni selezionare Punti di distribuzione.
5. Nella parte destra della finestra selezionare l'opzione Assegna i punti di distribuzione automaticamente.

   Se è abilitata l'assegnazione automatica dei dispositivi come punti di distribuzione, non è possibile configurare i punti di distribuzione manualmente, né modificare l'elenco dei punti di distribuzione.

6. Fare clic su OK.

Administration Server assegna e configura i punti di distribuzione automaticamente.

Informazioni sull'installazione locale di Network Agent in un dispositivo selezionato come punto di distribuzione

Per consentire al dispositivo selezionato come punto di distribuzione di comunicare direttamente con l'Administration Server virtuale per operare come gateway di connessione, Network Agent deve essere installato in locale nel dispositivo.

La procedura per l'installazione locale di Network Agent in un dispositivo definito come punto di distribuzione è identica a quella per l'installazione locale di Network Agent in qualsiasi dispositivo della rete.

Un dispositivo selezionato come punto di distribuzione deve soddisfare le seguenti condizioni:

• Durante l'installazione locale di Network Agent, specificare l'indirizzo di un Administration Server virtuale che gestisce il dispositivo nel campo Indirizzo server nella finestra dell'Installazione guidata di Administration Server. È possibile utilizzare sia l'indirizzo IP che il nome del dispositivo nella rete Windows.

  Per l'indirizzo dell'Administration Server virtuale viene utilizzato il seguente formato: <Indirizzo completo dell'Administration Server fisico che controlla il server virtuale>/<Nome dell'Administration Server virtuale>.

• In modo che possa operare come gateway di connessione, aprire tutte le porte del dispositivo necessarie per la comunicazione con l'Administration Server.

Dopo l'installazione nel dispositivo di Network Agent con le impostazioni specificate, Kaspersky Security Center esegue automaticamente le seguenti operazioni:

• Include il dispositivo nel gruppo Dispositivi gestiti dell'Administration Server virtuale.
• Assegna a questo dispositivo il ruolo di punto di distribuzione del gruppo Dispositivi gestiti dell'Administration Server virtuale.

È necessario (e sufficiente) eseguire l'installazione locale di Network Agent nel dispositivo a cui è assegnato il ruolo di punto di distribuzione per il gruppo Dispositivi gestiti nella rete dell'organizzazione. È possibile installare in remoto Network Agent nei dispositivi che operano come punti di distribuzione nei gruppi di amministrazione nidificati. A tale scopo, utilizzare il punto di distribuzione del gruppo Dispositivi gestiti come gateway di connessione.

Informazioni sull'utilizzo di un punto di distribuzione come gateway di connessione

Se l'Administration Server è esterno alla rete perimetrale (DMZ), i Network Agent appartenenti alla rete non potranno connettersi all'Administration Server.

Durante la connessione dell'Administration Server ai Network Agent, è possibile utilizzare un punto di distribuzione come gateway di connessione. Il punto di distribuzione apre una porta per stabilire la connessione ad Administration Server. Dopo l'avvio, l'Administration Server si connette a tale punto di distribuzione e mantiene la connessione per tutta la durata della sessione.

Alla ricezione di un segnale dall'Administration Server, il punto di distribuzione invia un segnale UDP ai Network Agent per consentire la connessione all'Administration Server. Quando i Network Agent ricevono il segnale, si connettono al punto di distribuzione, che provvede al trasferimento delle informazioni fra i Network Agent e Administration Server. Lo scambio di informazioni può avvenire su una rete IPv4 o IPv6.

È consigliabile utilizzare un dispositivo appositamente assegnato come gateway di connessione e coprire un massimo di 10.000 dispositivi client (compresi i dispositivi mobili) con il gateway di connessione.

Per aggiungere un gateway di connessione a una rete configurata in precedenza:

1. Installare Network Agent in modalità gateway di connessione.
2. Reinstallare Network Agent nei dispositivi che si desidera connettere al gateway di connessione appena aggiunto.

Aggiunta di intervalli IP all'elenco di intervalli sottoposti a polling da un punto di distribuzione

È possibile aggiungere un intervallo IP all'elenco degli intervalli sottoposti a polling da un punto di distribuzione.

Per aggiungere un intervallo IP all'elenco degli intervalli sottoposti a polling:

1. Nella struttura della console selezionare il nodo Administration Server.
2. Nel menu di scelta rapida del nodo selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server che verrà visualizzata selezionare la sezione Punti di distribuzione.
4. Nell'elenco selezionare il punto di distribuzione desiderato e fare clic su Proprietà.
5. Nella finestra delle proprietà del punto di distribuizione visualizzata, nel riquadro sinistro Sezioni, selezionare Device discovery → Intervalli IP.
6. Selezionare la casella di controllo Abilita polling intervalli.
7. Fare clic sul pulsante Aggiungi.

   Il pulsante Aggiungi è attivo solo se si seleziona la casella di controllo Abilita polling intervalli.

   Verrà visualizzata la finestra Intervallo IP.

8. Nella finestra Intervallo IP immettere il nome del nuovo intervallo IP (il nome predefinito è Nuovo intervallo).
9. Fare clic sul pulsante Aggiungi.
10. Eseguire una delle seguenti operazioni:
    • Specificare l'intervallo IP utilizzando gli indirizzi iniziale e finale.
    • Specificare l'intervallo IP utilizzando l'indirizzo e la subnet mask.
    • Fare clic su Sfoglia e aggiungere una subnet dall'elenco globale delle subnet.
11. Fare clic su OK.
12. Fare clic su OK per aggiungere il nuovo intervallo con il nome specificato.

Il nuovo intervallo verrà visualizzato nell'elenco degli intervalli sottoposti a polling.

Utilizzo di un punto di distribuzione come server push

In Kaspersky Security Center un punto di distribuzione può fungere da server push per i dispositivi gestiti tramite il protocollo mobile e per i dispositivi gestiti da Network Agent. È ad esempio necessario abilitare un server push se si desidera forzare la sincronizzazione dei dispositivi KasperskyOS con Administration Server. Un server push ha lo stesso ambito dei dispositivi gestiti del punto di distribuzione in cui è abilitato il server push. Se sono stati assegnati più punti di distribuzione per lo stesso gruppo di amministrazione, è possibile abilitare il server push in ciascuno dei punti di distribuzione. In questo caso, Administration Server bilancia il carico tra i punti di distribuzione.

Un server push supporta il carico massimo di 50.000 connessioni simultanee.

È consigliabile utilizzare i punti di distribuzione come server push per garantire la continuità della connessione tra un dispositivo gestito e Administration Server. La continuità della connessione è necessaria per alcune operazioni, come l'esecuzione e l'arresto di attività locali, la ricezione di statistiche per un'applicazione gestita o la creazione di un tunnel. Se si utilizza un punto di distribuzione come server push, non è necessario utilizzare l'opzione Non eseguire la disconnessione da Administration Server nei dispositivi gestiti o inviare pacchetti alla porta UDP di Network Agent.

Per utilizzare un punto di distribuzione come server push:

1. Nella struttura della console selezionare il nodo Administration Server.
2. Nel menu di scelta rapida del nodo selezionare Proprietà.
3. Nella finestra delle proprietà di Administration Server che verrà visualizzata selezionare la sezione Punti di distribuzione.
4. Nell'elenco selezionare il punto di distribuzione desiderato e fare clic su Proprietà.
5. Nella finestra delle proprietà del punto di distribuzione visualizzata, nella sezione Generale del riquadro Sezioni a sinistra, selezionare l'opzione Usa questo punto di distribuzione come server push.
6. Specificare il numero di porta del server push, cioè la porta nel punto di distribuzione che i dispositivi client utilizzeranno per la connessione.

   Per impostazione predefinita, viene utilizzata la porta 13295.

7. Fare clic sul pulsante OK per chiudere la finestra delle proprietà del punto di distribuzione.
8. Aprire la finestra delle impostazioni del criterio di Network Agent.
9. Nella sezione Connettività passare alla sottosezione Rete.
10. Nella sottosezione Rete selezionare l'opzione Usa punto di distribuzione per forzare la connessione ad Administration Server.
11. Fare clic sul pulsante OK per chiudere la finestra.

Il punto di distribuzione inizia a operare come server push. Adesso può inviare notifiche push ai dispositivi client.

Se si gestiscono dispositivi in cui è installato KasperskyOS o si prevede di farlo, è necessario utilizzare un punto di distribuzione come server push. È inoltre possibile utilizzare un punto di distribuzione come server push se si desidera inviare notifiche push ai dispositivi client.