Настройка точек распространения и шлюзов соединений

Структура групп администрирования в Kaspersky Security Center выполняет следующие функции:

• Задание области действия политик.

  Существует альтернативный способ применения нужных наборов параметров на устройствах с помощью профилей политик. В этом случае область действия политик задается с помощью тегов, местоположения устройств в подразделениях Active Directory, членства в группах безопасности Active Directory и прочего.

• Задание области действия групповых задач.

  Существует подход к заданию области действия групповых задач, не основанный на иерархии групп администрирования: использование задач для выборок устройств и наборов устройств.

• Задание прав доступа к устройствам, виртуальным и подчиненным Серверам администрирования.
• Назначение точек распространения.

При построении структуры групп администрирования следует учитывать топологию сети организации для оптимального назначения точек распространения. Оптимальное распределение точек распространения позволяет уменьшить сетевой трафик внутри сети организации.

В зависимости от организационной структуры организации и топологии сетей можно выделить следующие типовые конфигурации структуры групп администрирования:

• Один офис
• Множество небольших изолированных офисов

Устройства, выполняющие роль точек распространения, должны быть защищены, в том числе физически, от любого типа несанкционированного доступа.

Типовая конфигурация точек распространения: один офис

В типовой конфигурации "один офис" все устройства находятся в сети организации и "видят" друг друга. Сеть организации может состоять из нескольких выделенных частей (сетей или сегментов сети), связанных узкими каналами.

Возможны следующие способы построения структуры групп администрирования:

• Построение структуры групп администрирования с учетом топологии сети. Структура групп администрирования не обязательно должна точно отражать топологию сети. Достаточно того, чтобы выделенным частям сети соответствовали какие-либо группы администрирования. Можно использовать автоматическое назначение точек распространения, либо назначать точки распространения вручную.
• Построение структуры групп администрирования, не отражающей топологию сети. В этом случае следует отключить автоматическое назначение точек распространения и в каждой выделенной части сети назначить одно или несколько устройств точками распространения на корневую группу администрирования, например, на группу Управляемые устройства. Все точки распространения окажутся на одном уровне и будут иметь одинаковую область действия "все устройства сети организации". Каждый Агент администрирования будет подключаться к той точке распространения, маршрут к которой является самым коротким. Маршрут к точке распространения можно определить с помощью утилиты tracert.

Типовая конфигурация точек распространения: множество небольших удаленных офисов

Этой типовой конфигурации соответствует множество небольших удаленных офисов, возможно, связанных с главным офисом через интернет. Каждый из удаленных офисов находится за NAT, то есть подключение из одного удаленного офиса в другой невозможно – офисы изолированы друг от друга.

Конфигурацию следует обязательно отразить в структуре групп администрирования: для каждого из удаленных офисов следует создать отдельную группу администрирования (группы Офис 1, Офис 2 на рисунке ниже).

Удаленные офисы отражены в структуре групп администрирования

На каждую группу администрирования, соответствующую офису, нужно назначить одну или несколько точек распространения. Точками распространения нужно назначать устройства удаленного офиса, имеющие достаточно места на диске. Устройства, размещенные, например, в группе Офис 1, будут обращаться к точкам распространения, назначенным на группу администрирования Офис 1.

Если некоторые пользователи физически перемещаются между офисами с ноутбуками, нужно в каждом удаленном офисе дополнительно к упомянутым выше точкам распространения выбрать два и или более устройств и назначить их точками распространения на группу администрирования верхнего уровня (группа Корневая группа для офисов на рисунке выше).

Ноутбук, находившийся в группе администрирования Офис 1, но физически перемещенный в офис, соответствующий группе Офис 2. После перемещения Агент администрирования на ноутбуке попытается обратиться к точкам распространения, назначенным на группу Офис 1, но эти точки распространения окажутся недоступны. Тогда Агент администрирования начнет обращаться к точкам распространения, назначенным на группу Корневая группа для офисов. Так как удаленные офисы изолированы друг от друга, то из всех точек распространения, назначенных на группу администрирования Корневая группа для офисов, успешными будут лишь обращения к точкам распространения, назначенным на группу Офис 2. То есть ноутбук, оставаясь в группе администрирования, соответствующей своему исходному офису, будет, тем не менее, использовать точку распространения того офиса, в котором в данный момент находится физически.

Назначение управляемого устройства точкой распространения

Вы можете вручную назначить устройство точкой распространения для группы администрирования и настроить ее как шлюз соединений в Консоли администрирования.

Чтобы назначить устройство точкой распространения группы администрирования:

1. В дереве консоли выберите узел Сервер администрирования.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В окне свойств Сервера администрирования выберите раздел Точки распространения.
4. В правой части окна выберите параметр Вручную назначать точки распространения.
5. Нажмите на кнопку Добавить.

   

   Назначение точки распространения вручную

   Откроется окно Добавление точки распространения.

6. В окне Добавление точки распространения выполните следующие действия:
   1. В разделе Устройство выполняет роль точки распространения нажмите на стрелку вниз () рядом с кнопкой Выбрать и выберите вариант Добавить устройство из группы.
   2. В открывшемся окне Выбрать устройства выберите устройство, которое будет выполнять роль точки распространения.
   3. В разделе Область действия точки распространения нажмите на стрелку вниз () рядом с разворачивающейся кнопкой Выбрать.
   4. Укажите набор устройств, на которые точка распространения будет распространять обновления. Вы можете указать группу администрирования или описание сетевого местоположения.
   5. Нажмите на кнопку ОК, чтобы закрыть окно Добавление точки распространения.

   

   Выбор области действия точки распространения

Добавленная точка распространения появится в списке точек распространения в разделе Точки распространения.

Первое устройство с установленным Агентом администрирования, которое подключится к виртуальному Серверу администрирования, будет автоматически назначено точкой распространения и настроено в качестве шлюза соединений.

Подключение устройства под управлением Linux в качестве шлюза в демилитаризованной зоне

Чтобы подключить устройство под управлением Linux в качестве шлюза в демилитаризованной зоне (DMZ):

1. Загрузите и установите Агент администрирования на устройство Linux.
2. Запустите послеустановочный скрипт и следуйте указаниям мастера, чтобы настроить конфигурацию локальной среды. В командной строке выполните следующую команду:

   $ sudo /opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

3. На шаге с запросом режима Агента администрирования выберите параметр Использовать как шлюз соединения.
4. В открывшемся окне свойств Сервера администрирования выберите раздел Точки распространения.
5. В открывшемся окне Точки распространения в правой части окна:
   1. Выберите параметр Вручную назначать точки распространения.
   2. Нажмите на кнопку Добавить.

   Откроется окно Добавление точки распространения.

6. В окне Добавление точки распространения выполните следующие действия:
   1. В разделе Устройство выполняет роль точки распространения нажмите на стрелку вниз () рядом с разворачивающейся кнопкой Выбрать и выберите вариант Добавить шлюз соединений, находящийся в демилитаризованной зоне, по адресу.
   2. В разделе Область действия точки распространения нажмите на стрелку вниз () рядом с разворачивающейся кнопкой Выбрать.
   3. Укажите набор устройств, на которые точка распространения будет распространять обновления. Вы можете указать группу администрирования.
   4. Нажмите на кнопку ОК, чтобы закрыть окно Добавление точки распространения.
7. Добавленная точка распространения появится в списке точек распространения в разделе Точки распространения.
8. Запустите утилиту klnagchk, чтобы проверить, успешно ли настроено соединение с Kaspersky Security Center. В командной строке введите команду:

   $ sudo /opt/kaspersky/klnagent64/bin/klnagchk

9. В главном меню перейдите в Kaspersky Security Center и найдите устройство.
10. В появившемся окне нажмите на <Имя устройства>.
11. В раскрывающемся списке выберите ссылку Переместить в группу.
12. В открывшемся окне Выбрать группу перейдите по ссылке Точки распространения.
13. Нажмите на кнопку ОК.
14. Перезапустите службу Агента администрирования на клиенте Linux, выполнив в командной строке команду:

    $ sudo /opt/kaspersky/klnagent64/bin/klnagchk -restart

Подключение устройства под управлением Linux в качестве шлюза в демилитаризованной зоне завершено.

После этого вы можете подключить устройство под управлением Linux к Серверу администрирования с помощью настроенного шлюза соединения. Выполняйте эти процедуры только после завершения основного сценария установки.

Подключение устройства под управлением Linux к Серверу администрирования с помощью шлюза соединения

Шлюз соединения позволяет подключать клиентские устройства из демилитаризованной зоны (DMZ) к Серверу администрирования. Устройства на базе Windows и на базе Linux могут выступать в качестве шлюза соединения. После того как вы подключили и настроили шлюз соединения, вы можете использовать этот шлюз для подключения устройства под управлением Linux к Серверу администрирования. Выполняйте процедуру, описанную ниже, только после завершения основного сценария установки.

Чтобы подключить устройство под управлением Linux к Серверу администрирования с помощью шлюза соединения, выполните на этом устройстве следующие действия:

1. Загрузите и установите Агент администрирования на устройство Linux.
2. Запустите послеустановочный скрипт Агента администрирования, выполнив в командной строке следующую команду:

   $ sudo /opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

3. На шаге с запросом режима Агента администрирования выберите параметр Подключаться к Серверу через шлюз соединений и введите адрес шлюза соединения.
4. Проверьте соединение с Kaspersky Security Center и шлюзом соединения с помощью следующей команды в командной строке:

   $ sudo /opt/kaspersky/klnagent64/bin/klnagchk

   В выходных данных отображается адрес шлюза соединения.

Подключение устройства под управлением Linux к Серверу администрирования с помощью шлюза соединения завершено. Вы можете использовать это устройство для распространения обновлений, для удаленной установки программ и для получения информации о сетевых устройствах.

Добавление шлюза соединения в демилитаризованной зоне в качестве точки распространения

Шлюз соединения ожидает соединений от Сервера администрирования, а не устанавливает соединения с Сервером администрирования. Это означает, что сразу после установки шлюза соединения на устройстве в демилитаризованной зоне Сервер администрирования не перечисляет устройство среди управляемых устройств. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.

Чтобы добавить устройство со шлюзом соединения в качестве точки распространения:

1. В дереве консоли выберите узел Сервер администрирования.
2. В контекстном меню Сервера администрирования выберите пункт Свойства.
3. В окне свойств Сервера администрирования выберите раздел Точки распространения.
4. В правой части окна выберите параметр Вручную назначать точки распространения.
5. Нажмите на кнопку Добавить.

   Откроется окно Добавление точки распространения.

6. В окне Добавление точки распространения выполните следующие действия:
   1. В разделе Устройство выполняет роль точки распространения нажмите на стрелку вниз () рядом с разворачивающейся кнопкой Выбрать и выберите вариант Добавить шлюз соединения, находящийся в демилитаризованной зоне, по адресу.
   2. В открывшемся окне Ввод адреса шлюза соединений введите IP-адрес шлюза соединения (или введите имя, если шлюз соединения доступен по имени).
   3. В разделе Область действия точки распространения нажмите на стрелку вниз () рядом с разворачивающейся кнопкой Выбрать.
   4. Укажите набор устройств, на которые точка распространения будет распространять обновления. Вы можете указать группу администрирования или описание сетевого местоположения.

      Рекомендуется создать отдельную группу для внешних управляемых устройств.

После того, как вы выполнили это действие, список точек распространения содержит новую запись с именем Временная запись для шлюза соединений.

Сервер администрирования практически сразу пытается подключиться к шлюзу соединения по указанному адресу. В случае успеха имя записи меняется на имя устройства шлюза соединения. Этот процесс занимает до пяти минут.

Пока временная запись для шлюза соединения преобразуется в именованную запись, шлюз соединения также появляется в группе Нераспределенные устройства.

Чтобы добавить шлюз соединения в ранее настроенную сеть, переустановите Агент администрирования на устройствах, которые вы хотите подключить к вновь добавленному шлюзу соединения.

Автоматическое назначение точек распространения

Рекомендуется назначать точки распространения автоматически. Kaspersky Security Center будет сам выбирать, какие устройства назначать точками распространения.

Чтобы назначить точки распространения автоматически:

1. Откройте главное окно программы.
2. В дереве консоли выберите узел с именем Сервера администрирования, для которого требуется автоматически назначать точки распространения.
3. В контекстном меню Сервера администрирования выберите пункт Свойства.
4. В окне свойств Сервера администрирования в панели Разделы выберите раздел Точки распространения.
5. В правой части окна выберите параметр Автоматически назначать точки распространения.

   Если автоматическое назначение устройств точками распространения включено, невозможно вручную настраивать параметры точек распространения, а также изменять список точек распространения.

6. Нажмите на кнопку ОК.

В результате Сервер администрирования будет автоматически назначать точки распространения и настраивать их параметры.

О локальной установке Агента администрирования на устройство, выбранное точкой распространения

Чтобы устройство, выбранное точкой распространения, могло напрямую связаться с виртуальным Сервером администрирования для выполнения роли шлюза соединений, на это устройство требуется локально установить Агент администрирования.

Порядок локальной установки Агента администрирования на устройство, выбранное точкой распространения, совпадает с порядком локальной установки Агента администрирования на любое устройство сети.

Для устройства, выбранного точкой распространения, должны быть выполнены следующие условия:

• В процессе локальной установки Агента администрирования в окне мастера установки Сервер администрирования в поле Адрес Сервера требуется указать адрес виртуального Сервера администрирования, под управлением которого находится устройство. В качестве адреса устройства можно использовать IP-адрес или имя устройства в сети Windows.

  Используется следующая форма записи адреса виртуального Сервера: <Полный адрес физического Сервера администрирования, которому подчинен виртуальный Сервер>/<Имя виртуального Сервера администрирования>.

• Для выполнения роли шлюза соединений на устройстве должны быть открыты все порты, необходимые для связи с Сервером администрирования.

В результате установки на устройство Агента администрирования с указанными параметрами программа Kaspersky Security Center автоматически выполняет следующие действия:

• включает это устройство в группу Управляемые устройства виртуального Сервера администрирования;
• назначает это устройство точкой распространения группы Управляемые устройства виртуального Сервера администрирования.

Необходимо и достаточно выполнить локальную установку Агента администрирования на устройстве, назначенном точкой распространения группы Управляемые устройства в сети организации. На устройства, выполняющие роль точек распространения во вложенных группах администрирования, Агент администрирования можно установить удаленно. Для этого используйте точку распространения группы Управляемые устройства в качестве шлюза соединений.

Об использовании точки распространения в качестве шлюза соединений

Если Сервер администрирования находится вне демилитаризованной зоны (DMZ), Агенты администрирования, находящиеся в демилитаризованной зоне, теряют возможность соединения с ним.

Для соединения Сервера администрирования с Агентами администрирования в качестве шлюза соединений можно использовать точку распространения. Точка распространения предоставляет Серверу администрирования порт для создания соединения. В момент запуска Сервер администрирования подключается к точке распространения и не разрывает соединение с ней в течение всего времени работы.

Получив сигнал от Сервера администрирования, точка распространения посылает Агентам администрирования UDP-сигнал на подключение к Серверу администрирования. При получении сигнала Агенты администрирования подключаются к точке распространения, которая передает информацию между Агентом администрирования и Сервером администрирования. Обмен информацией может происходить по IPv4-сети или IPv6-сети.

Рекомендуется использовать в качестве шлюза соединений выделенное устройство и назначать на один шлюз соединений не более 10 000 клиентских устройств (включая мобильные устройства).

Чтобы добавить шлюз соединения в ранее настроенную сеть:

1. Установите Агент администрирования в режиме шлюза соединения.
2. Переустановите Агент администрирования на устройствах, которые вы хотите подключить к вновь добавленному шлюзу соединения.

Добавление IP-диапазонов в список диапазонов, опрашиваемых точкой распространения

Вы можете добавить IP-диапазон в список диапазонов, опрашиваемых точкой распространения.

Чтобы добавить IP-диапазон в список опрашиваемых диапазонов:

1. В дереве консоли выберите узел Сервер администрирования.
2. В контекстном меню узла Сервера администрирования выберите пункт Свойства.
3. В открывшемся окне свойств Сервера администрирования выберите раздел Точки распространения.
4. В списке выберите требуемую точку распространения и нажмите на кнопку Свойства.
5. В открывшемся окне свойств точки распространения в панели Разделы выберите раздел Обнаружение устройств → IP-диапазоны.
6. Установите флажок Разрешить опрос диапазона.
7. Нажмите на кнопку Добавить.

   Кнопка Добавить активна, если установлен флажок Разрешить опрос диапазона.

   Откроется окно IP-диапазон.

8. В окне IP-диапазон введите имя нового IP-диапазона (по умолчанию указано имя Новый диапазон).
9. Нажмите на кнопку Добавить.
10. Выполните одно из следующих действий:
    • Задайте IP-диапазон начальным и конечным IP-адресом.
    • Задайте IP-диапазон адресом и маской подсети.
    • Нажмите на кнопку Обзор и добавьте подсеть из глобального списка подсетей.
11. Нажмите на кнопку ОК.
12. Нажмите на кнопку ОК, чтобы добавить диапазон с заданным именем.

Новый диапазон отобразится в списке опрашиваемых диапазонов.

Использование точки распространения в качестве извещающего сервера

В Kaspersky Security Center точка распространения может работать как push-сервер для устройств, которые управляются по мобильному протоколу, и для устройств под управлением Агента администрирования. Например, push-сервер должен быть включен, если вы хотите включить принудительную синхронизацию устройств с KasperskyOS с Сервером администрирования. Push-сервер имеет ту же область управляемых устройств, что и точка распространения, на которой включен push-сервер. Если у вас есть несколько точек распространения, назначенных для одной и той же группы администрирования, вы можете включить извещающий сервер на каждой них. В этом случае Сервер администрирования распределяет нагрузку между точками распространения.

Push-сервер поддерживает нагрузку до 50 000 одновременных подключений.

Возможно, вы захотите использовать точки распространения в качестве push-серверов, чтобы обеспечить постоянную связь между управляемым устройством и Сервером администрирования. Постоянное соединение необходимо для некоторых операций, таких как запуск и остановка локальных задач, получение статистики для управляемой программы или создание туннеля. Если вы используете точку распространения в качестве сервера push-сервера, вам не нужно использовать параметр Не разрывать соединение с Сервером администрирования на управляемых устройствах или отправлять пакеты на UDP-порт Агента администрирования.

Чтобы использовать точку распространения в качестве push-сервера:

1. В дереве консоли выберите узел Сервер администрирования.
2. В контекстном меню узла Сервера администрирования выберите пункт Свойства.
3. В открывшемся окне свойств Сервера администрирования выберите раздел Точки распространения.
4. В списке выберите требуемую точку распространения и нажмите на кнопку Свойства.
5. В открывшемся окне свойств точки распространения в разделе Общие в панели Разделы выберите параметр Использовать точку распространения в качестве push-сервера.
6. Укажите номер порта push-сервера, то есть того порта на точке распространения, который клиентские устройства будут использовать для подключения.

   По умолчанию номер порта – 13295.

7. Нажмите на кнопку ОК, чтобы закрыть окно свойств точки распространения.
8. Откройте окно свойств политики Агента администрирования.
9. В разделе Подключения перейдите в подраздел Сети.
10. В подразделе Сеть выберите вариант Использовать точку распространения для принудительного подключения к Серверу администрирования.
11. Нажмите на кнопку ОК, чтобы закрыть окно.

Точка распространения начинает выполнять роль push-сервера. Теперь он может отправлять push-уведомления на клиентские устройства.

Если вы управляете устройствами с установленной операционной системой KasperskyOS или планируете это сделать, вам нужно использовать точку распространения в качестве push-сервера. Вы также можете использовать точку распространения в качестве push-сервера, если хотите отправлять push-уведомления на клиентские устройства.