Сценарий: Настройка шлюза соединения для подключения мобильных устройств к Kaspersky Security Center Web Console
Шлюз соединения – это Агент администрирования, работающий в особом режиме. Агент администрирования является компонентом Kaspersky Security Center, который осуществляет взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского". Шлюз соединения принимает соединения от других Агентов администрирования и туннелирует их к Серверу администрирования через собственное соединение с Сервером.
В отличие от обычного Агента администрирования, шлюз соединения ожидает соединений от Сервера администрирования, а не устанавливает соединения с ним. Шлюз соединения принимает подключение от Сервера администрирования в демилитаризированной зоне по TLS-порту 13000. Так как шлюз соединения в демилитаризованной зоне не может получить доступ к портам Сервера администрирования, Сервер администрирования создает и поддерживает постоянное сигнальное соединение с шлюзом соединения. Сигнальное соединение не используется для передачи данных - оно используется только для отправки приглашения к сетевому взаимодействию. Когда шлюзу соединения необходимо подключиться к Серверу администрирования, он уведомляет Сервер через сигнальное соединение, а затем Сервер устанавливает необходимое соединение для передачи данных.
Шлюз соединения позволяет более эффективно применять средства безопасности для защиты сетевой инфраструктуры от потенциальных уязвимостей.
- Использование шлюза соединения упрощает мониторинг подозрительной активности на отдельном сетевом узле за пределами локальной сети (LAN). Это позволяет избежать прямых вредоносных атак по мобильному протоколу за счет реализации отдельного протокола для связи между шлюзом соединения и Kaspersky Security Center.
- Уменьшается поверхность потенциальных сетевых атак, поскольку шлюз соединения принимает подключение от Сервера администрирования по одному порту (по умолчанию 13000), через который обрабатываются все запросы.
- Использование шлюза соединения позволяет проверять мобильный сертификат за пределами локальной сети и запрещать устройствам отправлять данные в Kaspersky Security Center до их аутентификации, что защищает сетевую инфраструктуру от уязвимостей протоколов более низкого уровня, таких как TLS/SSL.
Требования
Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:
- На хосте со шлюзом соединения должен быть открыт один из портов - 13293 или 13292.
Эти порты предназначены для подключения и синхронизации мобильных устройств.
- При использовании порта 13293 на шлюзе соединения проверяется TLS-сертификат (без отправки сертификата на Сервер администрирования).
- При использовании порта 13292 сертификат не проверяется (при этом игнорируется флаг LP_MobileMustUseTwoWayAuthOnPort13292).
- Между шлюзом соединения и Kaspersky Security Center должен быть открыт порт 13000, по которому шлюз соединения принимает подключение от Сервера администрирования. Его открытие наружу из демилитаризованной зоны не требуется.
- Хост должен иметь статический адрес, доступный из интернета.
Этапы
Настройка включает в себя следующие шаги:
- Установка Агента администрирования на хост, выполняющий роль шлюза соединения
Сначала нужно установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения.
Информация о создании инсталляционного пакета Агента администрирования приведена в справке Kaspersky Security Center.
Вы можете установить Агент администрирования в интерактивном режиме, указав параметры установки шаг за шагом. Вы также можете использовать файл ответов – текстовый файл, который содержит пользовательский набор параметров установки: переменные и их соответствующие значения. Использование файла ответов позволяет запустить установку в тихом режиме, то есть без участия пользователя. Информация об установке Агента администрирования в тихом режиме приведена в справке Kaspersky Security Center.
- Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center
После установки Агента администрирования в качестве шлюза соединения нужно подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования.
Нужно создать новую группу в группе Управляемые устройства и добавить устройство, выступающее в качестве шлюза соединения, в созданную группу. Информация о том, как вручную добавлять устройства в группы в Kaspersky Security Center Web Console, приведена в справке Kaspersky Security Center.
После этого назначьте устройство точкой распространения и настройте точку распространения для работы в качестве шлюза соединения в разделе Шлюз соединения свойств точки распространения. Затем включите параметры Открыть порт для мобильных устройств (SSL-аутентификация только Сервера администрирования) и Открыть порт для мобильных устройств (двусторонняя SSL-аутентификация) и укажите порты и имена DNS-доменов точки распространения для подключения мобильных устройств.
Если в основных ограничениях пользовательского мобильного сертификата Сервера администрирования не установлено свойство "CA: true", на шлюзе соединения будет использоваться тот же сертификат, что и на Сервере администрирования.
Результаты
Будет настроен шлюз соединения. Теперь вы сможете добавлять новые мобильные устройства, указав адрес шлюза соединения.
Чтобы изменить адрес подключения мобильных устройств, перевыпустите мобильный сертификат с новым адресом подключения, указанном при настройке шлюза соединения (в окне свойств Сервера администрирования выберите Общие → Сертификаты). Дополнительная информация о перевыпуске мобильных сертификатов приведена в разделе Перевыпуск мобильного сертификата Сервера администрирования.
Чтобы мобильные устройства синхронизировались с Kaspersky Security Center на шлюзе соединения, в свойствах инсталляционных пакетов Kaspersky Endpoint Security для Android необходимо указать адрес подключения, заданный при настройке шлюза соединения (Операции → Хранилища → Инсталляционные пакеты).