Подробный гайд: Настройка шлюза соединений в Kaspersky Security Center (KSC)
Представляю вам структурированное руководство по развертыванию и настройке шлюза соединений. Этот компонент критически важен для безопасного управления устройствами в сложных сетевых топологиях.
1. Что такое шлюз соединений и зачем он нужен
Шлюз соединений — это Агент администрирования (Network Agent), работающий в особом режиме. Он выступает в роли защищенного посредника: принимает зашифрованные соединения от других Агентов администрирования и перенаправляет их на основной Сервер администрирования.
Основные сценарии использования:
- Управление устройствами за пределами корпоративного периметра (удаленные сотрудники, домашние компьютеры).
- Наличие демилитаризованной зоны (DMZ), когда прямое соединение между внутренней сетью (где находится Сервер администрирования) и внешними клиентами невозможно
- Оптимизация трафика и распределение нагрузки в крупных распределенных филиальных сетях.
2. Сетевые и системные требования
Операционная система:
Подходят те же ОС, что и для обычного Агента администрирования (Windows, Linux, macOS).
Сетевые порты:
- Порт 13000 (TCP, TLS) должен быть открыт для приема подключений от клиентских Агентов администрирования к шлюзу.
- Порт 13000 (TCP, TLS) также должен быть открыт в направлении от шлюза соединений к Серверу администрирования KSC.
Важно:
Открывать порт 13000 наружу из DMZ в интернет не требуется, так как инициирование сеанса связи происходит изнутри или по уже установленному каналу.
3. Пошаговая установка и настройка
Шаг 1: Установка Агента администрирования в режиме шлюза
- На устройстве, которое будет выполнять роль шлюза (рекомендуется размещать его в DMZ или пограничном сегменте сети), запустите установочный файл актуального дистрибутива Агента администрирования.
По умолчанию пакет находится в общей папке KSC:
\\<Адрес_Сервера_администрирования>\KLSHARE\Packages\NetAgent_<версия>
- Пройдите начальные шаги мастера установки, приняв условия лицензионного соглашения.
- На этапе указания адреса Сервера администрирования введите его IP-адрес или DNS-имя, а также номер порта (по умолчанию 13000).
- В настройках подключения обязательно выберите опцию «Использовать в качестве шлюза соединения в демилитаризованной зоне».
- Задайте способ получения сертификата Сервера администрирования (рекомендуется использовать запрос на одобрение или импорт заранее созданного корневого сертификата).
- Завершите установку, убедившись, что установлена галочка «Запустить приложение в процессе установки».
Шаг 2: Настройка Сервера администрирования
- Откройте консоль Kaspersky Security Center.
- Перейдите в свойства узла Сервер администрирования → вкладка Точки распространения.
- Выберите «Вручную назначать точки распространения» и нажмите кнопку Добавить.
- В раскрывающемся списке «Устройство, которое будет выполнять роль точки распространения» выберите «Добавить шлюз соединения, находящийся в демилитаризованной зоне, по адресу».
- Введите IP-адрес или сетевое имя настроенного шлюза соединения и нажмите ОК.
- В блоке «Область действия точки распространения» укажите группы или конкретные устройства, которые будут использовать этот шлюз для связи с сервером.
- Рекомендация: Включите параметр «Использовать эту точку распространения в качестве push-сервера» для оперативной доставки команд и политик.
Примечание:
В списке точек распространения сначала появится «Временная запись для шлюза соединения». После успешного подключения она автоматически преобразуется в именованную запись с реальным именем устройства (это может занять до 5 минут).
Шаг 3: Настройка клиентских устройств для подключения через шлюз
Чтобы клиентские Агенты администрирования начали использовать шлюз, их необходимо переконфигурировать.
Это можно сделать тремя способами:
1. Через групповую политику:
В настройках политики Агента администрирования (раздел Настройка Агента администрирования → Настройка сервера) укажите адрес шлюза соединений и установите флажок «Подключаться к Серверу администрирования через шлюз соединений».
2. Правила переключения по сетевому местоположению:
Настройте правило, которое автоматически меняет адрес сервера на адрес шлюза при определении, что устройство находится вне корпоративной сети.
3. Переустановка Агента:
Запустите установку Агента администрирования поверх существующего (или после полного удаления) и на этапе настройки укажите адрес шлюза соединений вместо прямого адреса Сервера администрирования.
4. Проверка работоспособности
Для быстрой диагностики используйте PowerShell:
На стороне шлюза соединений: Убедитесь, что процесс Агента администрирования прослушивает порт 13000:
Get-NetTCPConnection -State Listen -LocalPort 13000 | ForEach-Object { (Get-Process -Id $_.OwningProcess).ProcessName }
Результат должен быть строго klnagent.
На стороне Сервера администрирования: Проверьте сетевую доступность порта шлюза:
Test-NetConnection <IP_адрес_шлюза> -Port 13000
Результат TcpTestSucceeded : True подтверждает корректную сетевую связность.
5. Рекомендации и устранение неполадок
- Сертификаты:
Убедитесь, что сертификат шлюза одобрен на Сервере администрирования (раздел Дополнительно → Неодобренные устройства), иначе безопасная связь не установится.
- Брандмауэр:
Проверьте, что локальные межсетевые экраны (Windows Defender Firewall, iptables, аппаратные файрволы) не блокируют входящие/исходящие подключения по порту 13000.
- Отказоустойчивость:
Если устройство шлюза выходит из строя, вы можете развернуть новый шлюз на том же IP-адресе. Клиентские устройства автоматически восстановят связь с Сервером администрирования без необходимости их повторной ручной настройки.
- Безопасность архитектуры:
Не рекомендуется устанавливать сам Сервер администрирования в DMZ. В демилитаризованной зоне должен находиться только шлюз соединений, что минимизирует риски компрометации основной ИТ-инфраструктуры .
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.