Verbindungsgateway

[RR-Stefan]

Guten Morgen,

gibt es das Verbindungsgateway zum KSC ggf. auch als fertiges ISO / fertige VM (ggf. auf Linuxbasis) zum einbinden in die DMZ?

Das würde den Aufwand in einer virtuallisierten Umgebnug für diesen speziellen Einsatzzweck deutlich vereinfachen.

Vielen Dank!

[alexcad]

Kopie aus dem anderen Topic - bitte nur eine Diskussion weiter führen:

Ein Verbindungsgateway ist ein ganz normaler Netzwerkagent, der nur spezielle Funktionen übernimmt.

Da macht die Bereitstellung einer ISO oder VM keinen Sinn.

Einfach ein System mit dem Netzweragenten betanken und per Konfiguration über das KSC zum Verteilungspunkt und Verbindungs-Gateway machen.

Was möglich ist, ich aber in der Praxis noch nie benötigt habe:
Du kannst im KSC ein zusätzliches Installationspaket erstellen und hier schon die Konfiguration für des Gateway vornehmen.  Ein damit betanktes System wäre dann von Beginn an GW - allerdings wird diese Einstellung bei der ersten Kommunikation mit de kSC durch dessen Einstellungen überschrieben.

Grüße
Alex

[RR-Stefan]

Für mich macht es schon Sinn. Normalerweise (allgemein) wird ein solches Gateway in der DMZ ja genutzt um den Angriffsvektor auf den eigentlichen Server zu verringern. Sonst könnte man direkt die Ports des Servers freigeben. Von daher würd eine kleine spezialisierte gehärtete VM in der DMZ schon Sinn ergeben.

Dazu kommen dann noch Verwaltungs- und ggf. Lizenzauwände. Eine Windows Server Instanz dürfte in den meisten virtualisierten Umgebungen zwar grundsätzlich kein Pronlem sein, aber der Verwaltungsaufwand ist dennoch höher.

[alexcad]

... Normalerweise (allgemein) wird ein solches Gateway in der DMZ ja genutzt um den Angriffsvektor auf den eigentlichen Server zu verringern. Sonst könnte man direkt die Ports des Servers freigeben...

Da hast du absolut recht.

Allerdings ergeben sich die Anforderungen an das System aus der jeweiligen Kundenumgebung und nicht aus der Kaspersky-Funktionalität - anders als z. B bei KSMG.

Über den Company-Account kannst du das gerne als Request einstellen. Nach meiner Denke ist es aber wenig erfolgsversprechend.

Grüße
Alex

 

[RR-Stefan]

Gibt es ein Best Practice oder ähnlches das die Optionen der Installation des Gateways ausführlich beschreibt?

Aktuell nehme ich an, dass es eine Windows Maschiene sein muss mit GUI, also kein Core Server. Und diesen müsste man dann mit allen Vor- und Nachteilen verwalten.

Oder gibt es weitere Optionen.

Schon jetzt vielen Dank für die Rückmeldungen.

[alexcad]

Wie gesagt: das ist ein ganz normaler Netzwerkagent, dem per Richtlinie zusätzliche Funktionen zugewiesen werden.

Funktioniert also auch mit Core-Servern. 

Theoretisch muss noch nicht mal ein Schutzprodukt installiert sein, wovon ich natürlich abraten würde.
Meines Wissens können auch die Netzwerkagenten auf Linux und MacOS als Verbindungsgateway agieren. Habe es aber nie ausprobiert und kann nicht sagen, ob es da Einschränkungen gibt - bin zu sehr mit Windows verheiratet.

Sonstige Anforderungen ergeben sich aus der Funktion in der DMZ:

• System sollte nicht im AD sein.
• Keine offenen Ports Richtung interne Netzwerksegmente.

Eine Härtung nehme ich in der Regel über Kaspersky Security für Windows Server vor - also über das Schutzprodukt:

• Patchmanagement.
• Application Launch-Control.
• die üblichen Schutzmodule …

Grüße
Alex

[RR-Stefan]

Vielen Dank!

 

Wenn ich es richtig gesehen habe wird Core / Nano nicht untestützt.

 

Am schönsten wäre es ja, wenn Kaspersky sein KaspyskyOS nutzen würde um einen solchen Gateway zur Verfügung zu stellen. Denn genau für spezialisierte gehärtete Anwendungsfälle ist es laut eigener Aussage gedacht.

[alexcad]

 

Wenn ich es richtig gesehen habe wird Core / Nano nicht unterstützt.

 

Woher kommt die Info?

Der Agent lässt sich auch auf Core-Server installieren https://support.kaspersky.com/ksc/12/de-DE/96255.htm

Nano-Server ist nicht gelistet, sollte aber auch gehen. Zur Not beim Support anfragen.

Grüße
Alex