Jump to content

Recommended Posts

Antipova Anna
Posted

Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Description and cautions

Статья описывает настройку узлов с ролями Сервер или Сенсор комплекса KICS for Networks в качестве Точек распространения (DP) с ролью Шлюза соединений (CGW) для управляемых устройств Kaspersky Security Center (KSC).

На практике схема с DP может применяться в классическом виде для оптимизации передаваемого трафика обновлений между объектами в паре с правилами ограничений трафика для IP-диапазонов в KSC.
Роль CGW может обеспечить сетевую связанность посредством узлов KICS, когда они являются единственным звеном выхода из изолированной сети объекта для подключения конечных устройств к общему KSC.

Схема подключения проста, поскольку в состав Серверов KICS входит Агент администрирования KSC при наличии установленной функциональности взаимодействия программы KICS for Network с решением KSC. На Сенсоры KICS Агент администрирования KSC может быть доставлен из пакета отдельно. 
При использовании Серверов KICS есть определённые моменты, которые требуется учесть при организации подключения, именно о них будет пояснено в инструкции.

Details

Предварительные требования:

Если CGW организуется на Сервере KICS, то настройку необходимо выполнять только после активации интеграции с KSC в разделе WebUI Сервера "Взаимодействие с Kaspersky Security Center". Активация взаимодействия с KSC сбрасывает параметры работы Агента администрирования KSC на Сервере KICS, роль CGW исчезнет. Для DP это не критично, но в инструкции основная тема узел KICS как CGW.

Если CGW организуется на Сенсоре KICS, то следует установить пакет Агента администрирования KSC for Linux, поскольку в состав Сенсора Агент KSC не входит. Дистрибутив находится в пакете KICS, например: kics4net-4.0.0.388.pf3.zip\linux-centos\klnagent64-14.0.0-4490.x86_64.rpm

Когда условия на узлах выполнены, следует разрешить входящие и исходящие подключения на Firewall узлов и перечитать параметры сервиса:

firewalld на CentOS 

$ sudo firewall-cmd --permanent --add-port=13000/tcp
$ sudo firewall-cmd --permanent --add-port=13295/tcp 
$ sudo firewall-cmd --reload

UFW на Astra Linux:

$ sudo ufw allow 13000/tcp
$ sudo ufw allow 13295/tcp
$ sudo systemctl restart ufw

Приступить к конфигурированию Агента администрирования KSC на узле KICS:

Если ранее узел уже был CGW, то повторное конфигурирование обновит ранее выданный от KSC сертификат для CGW и все подключенные через него устройства отключатся без возможности восстановления. Возобновить подключение удастся только через переустановку Агента администрирования KSC на конечных устройствах с повторной настройкой использования CGW на каждом потерянном в управлении устройстве.


Выполнить конфигурирование Агента KSC на узле KICS командой:

/opt/kaspersky/klnagent64/lib/bin/setup/postinstall.pl


На последнем шаге мастера указать пункт "4) Use as connection gateway", поскольку узел требуется сделать CGW.
Первые пару минут после конфигурирования Агент администрирования KSC перезапускается и применяет новые параметры. Поэтому после небольшой паузы следует выполнить команду диагностики Агента администрирования KSC и убедиться в корректности заданных параметров:

/opt/kaspersky/klnagent64/bin/klnagchk

Следующая строка подтверждает, что данный Агент администрирования KSC на узле является CGW и DP, параметры на последнем шаге мастера были заданы корректно:

"This host was installed as a connection gateway, but not yet registered on server"


Наличие буквенно-циферного значения ID в строке указывает, что Агент KSC успешно зарегистрирован на Сервере KSC:

HostId: 6da79ad4-6ba4-45af-a853-8309d9f7d898
 
Connecting to server...OK
Connecting to the Administration Agent...OK

До момента добавления информации о новом CGW на стороне KSC, CGW не будет выполнять функцию шлюза соединений. В Свойствах Сервера KSC требуется добавить новые Точки распространения с ролью Шлюза соединений в DMZ с указанием Группы администрирования на какие устройства будет применяться CGW.

Когда Точка распространения с ролью Шлюза соединений успешно зарегистрирована на Сервере KSC, в Свойствах объекта узла KICS появится установленная галка "Не разрывать соединение с сервером администрирования", её не следует снимать и устанавливать вручную для настройки CGW.

После успешной регистрации DP/CGW на KSC на узле KICS утилита klnagchk будет выводить подтверждение успешной работы ролей Агента администрирования KSC:

  Host is a connection gateway
  Host is a distribution point
  <...>
  Connection with server: active
  CG connection with server: active

 

Важно не удалять Агент администрирования KSC с узлов комплекса KICS for Networks, которые являются Точками распространения с ролью Шлюза соединений, поскольку будет утерян ранее выданный KSC сертификат для Агента администрирования KSC, который используют конечные устройства, подключенные к CGW. 
При повторной установке будет выдан уже новый сертификат для CGW и конечные управляемые устройства потребуется подключать повторно. То есть удалять на них Агент администрирования KSC и устанавливать снова с режимом работы через Шлюз соединений. Переключение через команду klmover не применимо к сценариям со Шлюзом соединений, помогает только переустановка Агентов администрирования KSC.

Related Information

Использованные при реализации задачи статьи справки KSC:

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...