Servidor do Secure Gateway

Como proteger a comunicação de usuários móveis/de roaming usando o Servidor do Secure Gateway?

Este documento explica as etapas envolvidas na proteção da comunicação de usuários em roaming usando o Servidor do Secure Gateway. O Servidor do Secure Gateway pode ser usado quando agentes em roaming (em dispositivos móveis e desktops) acessam o servidor pela Internet. Ele evita a exposição do servidor diretamente à Internet, servindo como um intermediário entre o servidor do produto e os agentes de roaming. Isso garante que o servidor do produto esteja protegido contra riscos e ameaças de ataques vulneráveis.

Nota: O Servidor do Secure Gateway deve ser instalado em uma máquina diferente daquela em que o Servidor do Endpoint Central, de distribuição ou de Failover estão instalados. No entanto, ele pode ser instalado na mesma máquina do agente.

Índice

 

Como o Secure Gateway funciona?

O Servidor do Secure Gateway é um componente que será exposto à Internet. O Servidor do Secure Gateway atua como um servidor intermediário entre os agentes de roaming gerenciados e o servidor central. Todas as comunicações dos agentes de roaming serão navegadas pelo Secure Gateway. Quando o agente tenta entrar em contato com o servidor central, o servidor do Secure Gateway recebe todas as comunicações e as redireciona para o servidor central.

 Endpoint Central Secure Gateway Server Architecture

 

Nota: Mapeie o endereço de IP público do Secure Gateway e o endereço IP privado do servidor do produto para um FQDN comum em seu respectivo DNS. Por exemplo, se seu FQDN for "product.server.com", mapeie-o tanto para o Secure Gateway quanto para o endereço IP do servidor central. Com esse mapeamento, os agentes de WAN dos usuários em roaming acessarão o servidor central via Secure Gateway (usando a Internet) e os agentes dentro da rede LAN alcançarão diretamente o servidor central, levando a uma resolução mais rápida.

Requisitos de software para o Servidor do Secure Gateway

Você pode instalar o Secure Gateway Server em qualquer uma dessas versões do sistema operacional Windows:

  • Windows 10
  • Windows 11
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

 

Requisitos de hardware para o Servidor do Secure Gateway

Os requisitos de hardware para o Secure Gateway Server incluem :

 
 
1 a 5000 computadores
 
 
5001 a 9000 computadores
 
 
9001 a 15000 computadores
 
 
15001 a 18000 computadores
 
 
18001 a 25000 computadores
 
 
Acima de 25000 computadores

Para introduzir a comunicação baseada no Secure Gateway com o Endpoint Central, siga as etapas abaixo:

  • Etapas para modificar as configurações do Endpoint Central
  • Etapas para instalar e configurar o Secure Gateway
  • Recomendações de infraestrutura

 

Etapas para modificar as configurações do Endpoint Central

  1. Insira o endereço IP do Secure Gateway em vez do endereço IP do servidor central em detalhes do servidor Endpoint Central ao adicionar o escritório remoto. Isso é para garantir que os agentes da WAN e o servidor de distribuição se comuniquem por meio do Secure Gateway.
  2. Ative a comunicação segura (HTTPS) do agente DS/WAN com a comunicação do servidor central.
  3. Defina as configurações de NAT usando o endereço FQDN/IP público do Secure Gateway.  
      • No console do produto, clique na guia Admin > Configurações do servidor >Configurações de NAT
      • Escolha Gerenciar dispositivos pela Internet
      • Adicione o FQDN do Servidor do Secure Gateway ao FQDN público nas configurações de NAT, conforme mostrado abaixo

Endpoint Central Secure Gateway Server NAT Settings

Etapas para instalar e configurar o Secure Gateway

  1. Baixe e instale o Secure Gateway em uma máquina na zona desmilitarizada.
  2. Insira os detalhes a seguir em Configurando a janela do Secure Gateway, que será aberta após o processo de instalação.

    • Nome do servidor do Endpoint Central: especifique o endereço FQDN/DNS/IP do servidor do Endpoint Central. Ou especifique o endereço IP virtual se o servidor de failover for usado.
    • Porta HTTPS do Endpoint Central: especifique o número da porta que os dispositivos móveis usam para entrar em contato com o servidor do Endpoint Central (por exemplo: 8383). É recomendável usar a mesma porta 8383 (HTTPS) para o Servidor Central no modo seguro.
    • Porta do servidor de notificação do Endpoint Central: 8027 (para realizar operações sob demanda), isso será pré-preenchido automaticamente.
    • Porta Web Socket: 8443 (HTTPS), isso será pré-preenchido automaticamente.
    • Nome de usuário e senha: insira as credenciais do usuário do Endpoint Central com privilégios administrativos.

 

Recomendações de infraestrutura

Certifique-se de seguir as etapas abaixo:

  1. O endereço IP público do Secure Gateway com a porta 8383 (HTTPS) deve ser fornecido ao servidor central para verificação de acessibilidade.
  2. É recomendável usar um endereço IP público para configurar máquinas que não sejam do AD.
  3. Configure o Secure Gateway de forma que ele possa ser acessado por meio do endereço IP/FQDN público definido nas configurações de NAT. Você também pode configurar o Dispositivo/Roteador Edge de forma que todas as solicitações enviadas ao endereço IP/FQDN público sejam redirecionadas para o Secure Gateway do Endpoint Central.
  4. É obrigatório usar a comunicação HTTPS

Porta

PortaPropósitoTipoConexão
8383Para comunicação entre o agente WAN/Servidor de distribuição e o servidor central usando o Secure Gateway.HTTPSEntrada para o servidor
8027Para realizar operações sob demandaTCPEntrada para o servidor
8443Porta Web Socket usada para controle remoto, chat, gerenciador de sistema etc.HTTPSEntrada para o servidor
8040Usada para comunicação entre agente e servidorHTTPEntrada para o servidor
8041Usada para comunicação entre agente e servidor centralHTTPSEntrada para o servidor
8058Para acessar o database PGSQL em caso de acesso remoto ao databaseTCPEntrada para o servidor
8057Usada para realizar tarefas sob demanda, como escaneamento de inventário, escaneamento de patches, controle remoto, desligamento remoto e transferência de agentes de um escritório remoto para outroTCPEntrada para o servidor
8047Para compartilhamento remoto de desktop e ferramentas associadasTCP SSLEntrada para o servidor
8047Para chamadas de voz e vídeoUDPEntrada para o servidor
8048Usada para compartilhamento remoto de desktop e ferramentas associadasTCPEntrada para o servidor
135Usada para administração remota e compartilhamento de arquivos e impressorasTCPSaída
8044Usada para comunicação entre agente e servidor de distribuiçãoHTTPEntrada para o servidor de distribuição
8045Usada para comunicação entre agente e servidor de distribuiçãoHTTPSEntrada para o servidor de distribuição

Observação

  • As portas mencionadas acima são portas padrão usadas pela aplicação MSP do Endpoint Central. No entanto, você pode optar por ter números de porta de sua escolha.
  • Se houver um firewall entre o servidor do Endpoint Central MSP e o servidor de distribuição, todas as portas listadas acima deverão ser abertas no firewall. Se não estiver usando um servidor de distribuição, você pode simplesmente abrir as portas usadas pelo servidor Endpoint Central MSP.