Considérons des scénarios où vous devez gérer
- des systèmes qui sont répartis sur différents lieux géographiques ou bureaux et ce, sur Internet (applicable principalement aux prestataires de services)
- des ordinateurs portables qui sont souvent déconnectés du réseau (utilisateurs de téléphones mobiles souvent en déplacement)
- des systèmes situés derrière un pare-feu ou un routeur NAT/PAT (systèmes dans différentes branches d'une entreprise)
Security Manager Plus est alimenté par un agent qui peut être utilisé pour gérer de tels systèmes, où le maintien d'un tunnel réseau dédié n'est pas réalisable; en permettant une communication par Internet. La seule condition nécessaire est que les agents Security Manager Plus doivent être en mesure de communiquer avec le serveur Security Manager Plus sur le web (via HTTP).
Paramétrage
Voici un exemple pour illustrer comment un prestataire de services peut configurer les agents Security Manager Plus Agents en mode HTTPS afin de gérer les systèmes présents dans différentes zones géographiques.
Un prestataire de service, par exemple Serpro Inc., à Washington, a besoin de gérer les systèmes de deux de ses clients - BNF Bank au Texas et Colt Freightliners à New York. Ces 2 réseaux ne sont pas reliés entre eux et ne sont pas accessibles depuis le réseau SerPro.
Le serveur Security Manager Plus sera situé dans le réseau SerPro, à Washington. Les agents de Security Manager Plus (en mode HTTPS) seront déployés dans les systèmes des deux réseaux des clients. Les agents prendront contact avec le serveur Security Manager Plus par Internet qui exécutera les tâches de gestion des correctifs à effectuer. Une fois ces tâches effectuées, les agents feront un rapport des mises à jour au serveur Security Manager Plus. Ainsi, les systèmes de ces réseaux d'entreprise indépendants seront gérés avec une seule console et par Internet.
Configuration du serveur Security Manager Plus sur le réseau du prestataire de services
1. Sur un système qui se trouve dans le DataCenter Internet (Internet Data Center - IDC), avec une adresse IP publique
Le Security Manager Plus Server peut être installé sur un serveur dans l'IDC du prestataire de service. Ce serveur doit avoir une adresse IP publique unique et doit être accessible sur le web. Le port 6767 (port Web par défaut du serveur Security Manager Plus) doit être ouvert pour permettre aux agents de communiquer avec le serveur.
Les administrateurs peuvent se connecter à l'interface web de Security Manager Plus à partir de n'importe où pour effectuer des tâches de gestion des correctifs.
2. Sur un système dans le réseau interne du prestataire de services, avec une connexion Internet via un routeur NAT/PAT
Security Manager Plus peut être installé sur un système avec une adresse IP interne, au sein du réseau SerPro. Le routeur NAT de L'IDC du prestataire de services aura une adresse IP publique pour le trafic Internet avec l'extérieur. Ainsi, tout le trafic sera redirigé vers et depuis les adresses IP internes. Le routeur NAT doit être configuré (mapping dans la table de routage), de telle sorte qu'il achemine tout le trafic HTTP (web) qui traverse le port 6767 (port Web par défaut du serveur Security Manager Plus) à l'adresse IP interne du système sur lequel Security Manager Plus a été installé.
Les agents SMP auront l'IP externe du routeur NAT de SerPro, configuré avec le nom du serveur SMP, et établiront un contact via le web sur le port 6767 (par défaut). Le routeur NAT de SerPro prendra soin de rediriger les requêtes/réponses à l'adresse IP interne de la machine du serveur SMP.
Configuration des agents Security Manager Plus sur les sites des clients
Ce processus est très simple et ne nécessite pas de configurations majeures sur les sites des clients.
- Accédez à l'interface web du serveur SMP de SerPro en utilisant l'adresse IP publique : https://<publicIP>:6767/
- Connectez-vous et téléchargez les Agents SMP (Windows) à partir de l'onglet Admin
- Copiez et installez les agents SMP sur les systèmes qui doivent être gérés
- Indiquez l'adresse IP publique de la machine du serveur SMP comme nom de serveur (Server Name) à l'agent lors de l'installation
- Si l'accès au Web à partir de la machine de l'agent SMP est réalisé via un serveur proxy, cela peut être configuré lors de l'installation ou ultérieurement à partir du Systray de l'agent SMP
- Démarrez l'agent à la fin de l'installation
- Connectez-vous à l'interface Web de SMP, visitez l'onglet Actifs (Assets) et observez la liste de vos agents
Différences entre un agent Security Manager Plus en mode HTTPS et en mode TCP
| No.S | Description | Agent Security Manager Plus en mode HTTPS | Agent Security Manager Plus en mode TCP |
| 1 | Scénario d'utilisation | Pour gérer les systèmes dans des endroits éloignés sans une connexion réseau dédiée (sur internet), les systèmes sur le réseau local, les ordinateurs portables qui sont souvent déconnectés du réseau | Pour gérer les systèmes du réseau local, les systèmes à accès restreint, les systèmes accessibles via un tunnel VPN |
| 2 | Protocole de communication | HTTP (sur le web) | Port à port (TCP) |
| 3 | Sécurité | Données chiffrées. Communication sécurisée utilisant le protocole SSL sur HTTP (HTTPS) | Données chiffrées. Communication sécurisée utilisant le protocole SSL sur TCP. |
| 4 | Port de communication Serveur-Agent (doit être ouvert dans le pare-feu) |
Aucun | 9005 (l'agent écoute sur ce port. Configurable) |
| 5 | Port de communication Agent-Serveur (doit être ouvert dans le pare-feu) |
6262, 6767 (Ports web du serveur - par défaut mais configurable) |
9004 (le serveur écoute sur ce port. Configurable) |
| 6 | Emplacement du serveur SMP | Le serveur SMP peut être installé dans un réseau interne et l'agent dans un réseau externe, à condition que le mappage de port soit fait dans le NAT. L'adresse IP externe peut être utilisée par l'agent | Le serveur SMP doit être placé de telle sorte qu'une connexion TCP puisse être établie par l'agent vers le serveur |
| 7 | Configurations requises sur l'agent | Adresse IP externe du serveur SMP Ports HTTP et HTTPS du serveur SMP Informations sur le proxy (si besoin est) Intervalle de polling de l'agent |
Nom/adresse IP du serveur SMP Port TCP du serveur SMP |
| 8 | Flux de communication entre le serveur et les agents | Un seul sens (l'agent sonde le serveur) | À double sens |
| 9 | Temps de réponse de l'agent | A chaque intervalle de polling de l'agent | Instantané (pas de polling!) |
| 10 | Système d'exploitation pris en charge | Windows uniquement | Windows uniquement |