Особенности подключения узлов Kaspersky Industrial CyberSecurity for Networks в качестве шлюзов соединений в Kaspersky Security Center

Вы можете использовать узлы с установленными компонентами программы (Сервер и сенсоры) в качестве шлюзов соединений в Kaspersky Security Center. Роль шлюзов соединений с Сервером администрирования Kaspersky Security Center выполняют точки распространения. Схема взаимодействий с управляемыми устройствами с использованием точек распространения позволяет оптимизировать в сети передаваемый трафик обновлений баз, программных модулей и программ "Лаборатории Касперского" и настроить ограничения трафика для IP-диапазонов в Kaspersky Security Center. Если узел Сервера или сенсора Kaspersky Industrial CyberSecurity for Networks представляет единственную возможность соединения Сервера администрирования и управляемых устройств, находящихся в изолированной сети, роль шлюза соединения на этом узле позволяет обеспечить сетевую связанность Сервера администрирования с этими устройствами.

В этой статье описан сценарий настройки и проверки узла Kaspersky Industrial CyberSecurity for Networks для работы в качестве шлюза соединения в Kaspersky Security Center. Сценарий состоит из следующих этапов:

1. Установка Агента администрирования на узле

   На узле Сервера Kaspersky Industrial CyberSecurity for Networks Агент администрирования устанавливается автоматически, если при установке Сервера добавлена функциональность взаимодействия программы с Kaspersky Security Center. После добавления функциональности взаимодействия вам нужно включить и настроить эту функциональность в Kaspersky Industrial CyberSecurity for Networks.

   Включение и настройку функциональности взаимодействия в Kaspersky Industrial CyberSecurity for Networks нужно выполнить до настройки конфигурации Агента администрирования на Сервере для работы в качестве шлюза соединения. Если включение функциональности взаимодействия выполнено после настройки конфигурации Агента администрирования на Сервере, это приводит к сбросу заданных параметров конфигурации и к выключению роли шлюза соединения на этом узле. В этом случае для возобновления работы узла в качестве шлюза соединения вам потребуется заново выполнить этапы данного сценария, начиная с этапа настройки конфигурации Агента администрирования.

   На узле сенсора Агент администрирования по умолчанию не устанавливается. Для установки Агента администрирования из комплекта поставки текущей версии программы вам нужно выполнить следующие действия на компьютере с установленным сенсором:

   1. Скопируйте в произвольную директорию файл пакета для установки Агента администрирования из директории с распакованными файлами скриптов и пакетов для установки, входящих в комплект поставки. Файл находится во вложенной директории kics4net-release_<номер версии программы>/linux-centos. Имя файла: klnagent64-<номер версии Агента администрирования>.x86_64.rpm.
   2. В консоли операционной системы перейдите в директорию, в которой находится файл пакета, и введите команду:

      sudo rpm -i klnagent64-<номер версии Агента администрирования>.x86_64.rpm

   Дождитесь завершения установки Агента администрирования.

2. Разрешение использования портов

   На этом этапе вам нужно разрешить использование портов в межсетевом экране на компьютере узла с установленным Агентом администрирования. Для разрешения использования портов вы можете использовать следующие команды:

   sudo firewall-cmd --permanent --add-port=13000/tcp

   sudo firewall-cmd --permanent --add-port=13295/tcp

   sudo systemctl restart firewalld

3. Настройка конфигурации Агента администрирования

   В результате выполнения этого этапа на Агенте администрирования будет активирован режим шлюза соединения. При активации этого режима с последующим добавлением узла в качестве точки распространения в Kaspersky Security Center изменяется идентификационная и аутентификационная информация для использования этого устройства в качестве шлюза соединения.

   Изменение идентификационной и аутентификационной информации приводит к тому, что для использования новой точки распространения в качестве шлюза соединения в ранее настроенной сети вам потребуется переустановить Агент администрирования на всех устройствах, которые вы хотите подключить к вновь добавленному шлюзу соединения. В том числе на тех устройствах, которые ранее использовали этот узел в качестве шлюза соединения. До переустановки Агента администрирования на этих устройствах возможность их подключения к вновь добавленному шлюзу соединения будет недоступна.

   Для активирования режима шлюза соединения на Агенте администрирования вам нужно выполнить следующие действия на компьютере узла:

   1. Запустите послеустановочный скрипт для настройки конфигурации локальной среды Агента администрирования. Для этого введите команду:

      sudo /opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

   2. Внимательно прочитайте Лицензионное соглашение. Для переходов к следующим экранам с текстом Лицензионного соглашения нажимайте на клавишу Пробел.
   3. По окончании просмотра, если вы полностью согласны с условиями Лицензионного соглашения, примите его условия. Для этого введите символ y.
   4. Введите имя или IP-адрес Сервера администрирования.
   5. При необходимости измените заданные по умолчанию порты для незашифрованных и зашифрованных подключений к Серверу администрирования.
   6. Выберите режим для подключений к Серверу администрирования. Для этого введите соответствующий символ:

      y – подключения по защищенному SSL-протоколу;

      n – незашифрованные подключения.

   7. На шаге с запросом режима работы Агента администрирования выберите параметр Использовать как шлюз соединения (Use as connection gateway).
   8. Дождитесь завершения работы скрипта. Через 2–3 минуты после завершения работы скрипта проверьте подключение Агента администрирования к Серверу администрирования. Для этого введите команду:

      sudo /opt/kaspersky/klnagent64/bin/klnagchk

   На экране отобразится информация о подключении к Серверу администрирования. При успешном применении заданной конфигурации на экране отображаются следующие сообщения:

   HostId: <ID в виде буквенно-цифровой последовательности>

   This host was installed as a connection gateway, but not yet registered on server

   Connecting to server...OK

   Connecting to the Administration Agent...OK

4. Добавление узла в качестве точки распространения в Kaspersky Security Center

   Узел Kaspersky Industrial CyberSecurity for Networks начнет выполнять функции шлюза соединения после его добавления в качестве точки распространения в Kaspersky Security Center. Для этого вам нужно выполнить следующие действия:

   1. Подключитесь к Серверу администрирования Kaspersky Security Center.
   2. В дереве консоли откройте контекстное меню узла Сервер администрирования и выберите пункт Свойства.
   3. В окне свойств Сервера администрирования выберите раздел Точки распространения.
   4. В правой части окна выберите параметр Вручную назначать точки распространения и нажмите на кнопку Добавить.

      Откроется окно Добавление точки распространения.

   5. Для указания устройства, которое будет выполнять роль точки распространения, выберите вариант добавления шлюза соединения и введите IP-адрес или имя компьютера узла Kaspersky Industrial CyberSecurity for Networks.
   6. Для указания области действия точки распространения выберите вариант Группа администрирования и укажите группу администрирования, устройства из которой будут использовать шлюз соединений.
   7. После добавления узла в список точек распространения убедитесь, что для этого узла включено постоянное соединение с Сервером администрирования. Для этого откройте окно свойств узла и проверьте наличие флажка Не разрывать соединение с Сервером администрирования в разделе Общие. Флажок должен быть установлен автоматически, его не следует снимать или устанавливать вручную.
5. Проверка успешного соединения Агента администрирования с Kaspersky Security Center

   Вы можете проверить успешность выполненных действий по добавлению шлюза соединения и точки распространения на компьютере узла. Для этого введите команду:

   sudo /opt/kaspersky/klnagent64/bin/klnagchk

   На экране отобразится информация о подключении к Серверу администрирования. При успешном выполнении действий на экране отображаются следующие сообщения:

   Host is a connection gateway

   Host is a distribution point

   Connection with server: active

   CG connection with server: active