Comment sécuriser la communication des utilisateurs mobiles / nomades grâce à 'Secure Gateway Server' ?

Description

Ce document vous explique les étapes à suivre pour sécuriser la communication des utilisateurs nomades à l'aide de 'Secure Gateway Server'. 'Secure Gateway Server' peut être utilisé quand les agents nomades (sur les appareils mobiles et les ordinateurs de bureau) accèdent au serveur via Internet. Il empêche l'exposition du serveur directement à Internet en servant d'intermédiaire entre le serveur du produit et les agents nomades. Cela garantit que le serveur d'Endpoint Central est protégé contre les risques et les menaces des attaques vulnérables.

Pour obtenir une vidéo démontrant étape par étape comment configurer le 'Secure Gateway Server', cliquez ici.

Comment fonctionne 'Secure Gateway' ?

'Secure Gateway Server' est un serveur qui sera exposé à Internet. Celui-ci agit comme un intermédiaire entre les agents nomades gérés et le serveur de ManageEngine. Toutes les communications des agents nomades passent par le 'Secure Gateway Server'. Lorsque l'agent tente de contacter le serveur ManageEngine, le 'Secure Gateway Server' reçoit toutes les demandes et les redirige vers ce dernier.

Endpoint Central Secure Gateway Server Architecture

Note : Associez l'adresse IP publique de votre 'Secure Gateway' et l'adresse IP privée du serveur d'Endpoint Central à un FQDN commun dans vos DNS correspondants. Par exemple, si votre FQDN est "product.server.com", associez-le à l'adresse IP de votre 'Secure Gateway' et celle du serveur d'Endpoint Central. Grâce à ce mappage, les agents WAN des utilisateurs nomades accéderont au serveur de ManageEngine par 'Secure Gateway' (en utilisant Internet) et les agents du réseau LAN auront directement accès au serveur de ManageEngine, ce qui entraînera une résolution plus rapide.

Logiciels pris en charge par 'Secure Gateway Server'

Vous pouvez installer 'Secure Gateway Server' sur l'une de ces versions du système d'exploitation Windows :

  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Matériel informatique requis pour le 'Secure Gateway Server'

Le matériel informatique requis pour 'Secure Gateway Server' est le suivant :

 
 
1 à 5000 ordinateurs
 
 
5001 à 9000 ordinateurs
 
 
9001 à 15000 ordinateurs
 
 
15001 à 18000 ordinateurs
 
 
18001 à 25000 ordinateurs
 
 
Plus de 25000 ordinateurs

Étapes 

Pour introduire la communication basée sur 'Secure Gateway' à Endpoint Central, suivez les étapes indiquées ci-dessous :

  • Modifiez les paramètres d'Endpoint Central
  • Installez et configurez 'Secure Gateway'
  • Recommandations pour l'infrastructure

Modifiez les paramètres d'Endpoint Central

  1. Saisissez l'adresse IP de 'Secure Gateway' au lieu de l'adresse IP du serveur d'Endpoint Central dans les détails relatifs à ce dernier lors de l'ajout d'un bureau à distance. Cela permet d'assurer la communication entre les agents WAN et DS avec 'Secure Gateway'.
  2. Activez la communication sécurisée (HTTPS) sous la communication entre l'agent DS/WAN et le serveur d'Endpoint Central.
  3. Configurez les paramètres NAT à l'aide de l'adresse FQDN/IP publique de 'Secure Gateway'.
    • Dans la console du produit, cliquez sur l'onglet Admin -> Server Settings (Paramètres du serveur) -> NAT Settings (Paramètres NAT).
    • Ajoutez le FQDN du 'Secure Gateway Server' au FQDN public sous le dispositif NAT comme indiqué ci-dessous

Endpoint Central Secure Gateway Server NAT Settings

Installez et configurez 'Secure Gateway'

  1. Téléchargez et installez 'Secure Gateway' sur un appareil dans la zone démilitarisée.
  2. Saisissez les informations suivantes dans la fenêtre de Configuration du 'Secure Gateway', qui s'ouvrira après le processus d'installation.
    • Nom du serveur DC : Spécifiez le FQDN/DNS/adresse IP du serveur DC. Ou spécifiez l'adresse IP virtuelle si le serveur Failover est utilisé.
    • DC Https Port : Spécifiez le numéro de port que les dispositifs mobiles utilisent pour contacter le serveur DC (ex : 8383). Il est recommandé d'utiliser le même port 8383(HTTPS) pour le serveur d'Endpoint Central en mode sécurisé.
    • Port du serveur de notification DC : 8027 (pour effectuer des opérations à la demande), il sera pré-rempli automatiquement.
    • Web Socket Port : 8443(HTTPS), il sera pré-rempli automatiquement.
    • Port de transfert de fichiers : 8031(HTTPS), il sera pré-rempli automatiquement, mais il peut être modifié si nécessaire.
    • Nom d'utilisateur et mot de passe : Entrez les informations d'identification de l'utilisateur d'Endpoint Central avec un privilège administratif.

Recommandations pour l'infrastructure

Veillez à suivre les étapes indiquées ci-dessous

  1. L'adresse IP publique de 'Secure Gateway' avec le port 8383(https) doit être fournie au serveur d'Endpoint Central pour la vérification de l'accessibilité.
  2. Configurez 'Secure Gateway' de sorte qu'elle soit accessible via l'adresse IP/FQDN publique configurée dans les paramètres NAT. Vous pouvez également configurer le périphérique/routeur de façon à ce que toutes les requêtes envoyées à l'adresse IP/FQDN publique soient redirigées vers le 'Secure Gateway' d'Endpoint Central.
  3. Il est obligatoire d'utiliser la communication HTTPS
  4. Vous devrez vous assurer que le port suivant est ouvert sur le pare-feu pour que les agents WAN puissent communiquer avec le 'Secure Gateway' d'Endpoint Central.
PortTypeObjectifConnexion
8383HTTPSPour la communication entre l'agent WAN/serveur de distribution et le serveur d'Endpoint Central en utilisant 'Secure Gateway'.Entrant vers le serveur
8027TCPPour effectuer des opérations à la demandeEntrant vers le serveur
8443HTTPSPort de socket Web utilisé pour le contrôle à distance, le chat, le gestionnaire de système, etc.Entrant vers le serveur
8031HTTPSPour le transfert de fichiersEntrant vers le serveur

Vous avez maintenant sécurisé la communication entre le serveur d'Endpoint Central, les agents WAN et les utilisateurs nomades.

Consultez cette vidéo pour une démonstration étape par étape de la configuration du 'Secure Gateway Server'.