Настройка узлов в качестве Точек распространения (DP) с ролью Шлюза соединений (CGW) для управляемых устройств KSC [KICS for Networks]

[Antipova Anna]

Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Description and cautions

Статья описывает настройку узлов с ролями Сервер или Сенсор комплекса KICS for Networks в качестве Точек распространения (DP) с ролью Шлюза соединений (CGW) для управляемых устройств Kaspersky Security Center (KSC).

На практике схема с DP может применяться в классическом виде для оптимизации передаваемого трафика обновлений между объектами в паре с правилами ограничений трафика для IP-диапазонов в KSC.
Роль CGW может обеспечить сетевую связанность посредством узлов KICS, когда они являются единственным звеном выхода из изолированной сети объекта для подключения конечных устройств к общему KSC.

Схема подключения проста, поскольку в состав Серверов KICS входит Агент администрирования KSC при наличии установленной функциональности взаимодействия программы KICS for Network с решением KSC. На Сенсоры KICS Агент администрирования KSC может быть доставлен из пакета отдельно. 
При использовании Серверов KICS есть определённые моменты, которые требуется учесть при организации подключения, именно о них будет пояснено в инструкции.

Details

Предварительные требования:

Если CGW организуется на Сервере KICS, то настройку необходимо выполнять только после активации интеграции с KSC в разделе WebUI Сервера "Взаимодействие с Kaspersky Security Center". Активация взаимодействия с KSC сбрасывает параметры работы Агента администрирования KSC на Сервере KICS, роль CGW исчезнет. Для DP это не критично, но в инструкции основная тема узел KICS как CGW.

Если CGW организуется на Сенсоре KICS, то следует установить пакет Агента администрирования KSC for Linux, поскольку в состав Сенсора Агент KSC не входит. Дистрибутив находится в пакете KICS, например: kics4net-4.0.0.388.pf3.zip\linux-centos\klnagent64-14.0.0-4490.x86_64.rpm

Когда условия на узлах выполнены, следует разрешить входящие и исходящие подключения на Firewall узлов и перечитать параметры сервиса:

firewalld на CentOS 

$ sudo firewall-cmd --permanent --add-port=13000/tcp $ sudo firewall-cmd --permanent --add-port=13295/tcp  $ sudo firewall-cmd --reload

UFW на Astra Linux:

$ sudo ufw allow 13000/tcp $ sudo ufw allow 13295/tcp $ sudo systemctl restart ufw

Приступить к конфигурированию Агента администрирования KSC на узле KICS:

Если ранее узел уже был CGW, то повторное конфигурирование обновит ранее выданный от KSC сертификат для CGW и все подключенные через него устройства отключатся без возможности восстановления. Возобновить подключение удастся только через переустановку Агента администрирования KSC на конечных устройствах с повторной настройкой использования CGW на каждом потерянном в управлении устройстве.

Выполнить конфигурирование Агента KSC на узле KICS командой:

/opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl

На последнем шаге мастера указать пункт "4) Use as connection gateway", поскольку узел требуется сделать CGW.
Первые пару минут после конфигурирования Агент администрирования KSC перезапускается и применяет новые параметры. Поэтому после небольшой паузы следует выполнить команду диагностики Агента администрирования KSC и убедиться в корректности заданных параметров:

/opt/kaspersky/klnagent64/bin/klnagchk

Следующая строка подтверждает, что данный Агент администрирования KSC на узле является CGW и DP, параметры на последнем шаге мастера были заданы корректно:

"This host was installed as a connection gateway, but not yet registered on server"

Наличие буквенно-циферного значения ID в строке указывает, что Агент KSC успешно зарегистрирован на Сервере KSC:

HostId: 6da79ad4-6ba4-45af-a853-8309d9f7d898   Connecting to server...OK Connecting to the Administration Agent...OK

До момента добавления информации о новом CGW на стороне KSC, CGW не будет выполнять функцию шлюза соединений. В Свойствах Сервера KSC требуется добавить новые Точки распространения с ролью Шлюза соединений в DMZ с указанием Группы администрирования на какие устройства будет применяться CGW.

Когда Точка распространения с ролью Шлюза соединений успешно зарегистрирована на Сервере KSC, в Свойствах объекта узла KICS появится установленная галка "Не разрывать соединение с сервером администрирования", её не следует снимать и устанавливать вручную для настройки CGW.

После успешной регистрации DP/CGW на KSC на узле KICS утилита klnagchk будет выводить подтверждение успешной работы ролей Агента администрирования KSC:

Host is a connection gateway   Host is a distribution point   <...>   Connection with server: active   CG connection with server: active

 

Важно не удалять Агент администрирования KSC с узлов комплекса KICS for Networks, которые являются Точками распространения с ролью Шлюза соединений, поскольку будет утерян ранее выданный KSC сертификат для Агента администрирования KSC, который используют конечные устройства, подключенные к CGW. 
При повторной установке будет выдан уже новый сертификат для CGW и конечные управляемые устройства потребуется подключать повторно. То есть удалять на них Агент администрирования KSC и устанавливать снова с режимом работы через Шлюз соединений. Переключение через команду klmover не применимо к сценариям со Шлюзом соединений, помогает только переустановка Агентов администрирования KSC.

Related Information

Использованные при реализации задачи статьи справки KSC:

• "Подключение устройства под управлением Linux в качестве шлюза в демилитаризованной зоне": https://support.kaspersky.com/KSC/14.2/ru-RU/203996.htm
• "Добавление шлюза соединения в демилитаризованной зоне в качестве точки распространения": https://support.kaspersky.com/KSC/14.2/ru-RU/204253.htm
• "Назначение устройства точкой распространения вручную": https://support.kaspersky.com/help/KSC/14.2/ru-RU/3420.htm
• "Об обновлении баз, программных модулей и программ "Лаборатории Касперского"" (блок "Использование задачи Загрузка обновлений в хранилище Сервера администрирования"): https://support.kaspersky.com/KSC/14.2/ru-RU/46875.htm
• "Типовая конфигурация точек распространения: множество небольших удаленных офисов": https://support.kaspersky.com/KSC/14.2/ru-RU/92431.htm
• "Об использовании точки распространения в качестве шлюза соединений": https://support.kaspersky.com/KSC/14.2/ru-RU/45902.htm
• "Сценарий: Подключение автономных устройств через шлюз соединения": https://support.kaspersky.com/KSC/14.2/ru-RU/204219.htm
• "Сервер администрирования и два устройства в демилитаризованной зоне: шлюз соединений и клиентское устройство": https://support.kaspersky.com/KSC/14.2/ru-RU/158534.htm
• "Сервер администрирования внутри локальной сети (LAN), управляемые устройства в интернете; использование шлюза соединения https://support.kaspersky.com/KSC/14.2/ru-RU/183058.htm