Verwendung von ePO in einer DMZ oder NAT-Umgebung
Zuletzt geändert am: 2022-03-02 01:52:29 Etc/GMT
Haftungsausschluss
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar:
Erfahren Sie, wie ein anpassungsfähiges XDR-Ökosystem Ihr Unternehmen beleben kann.
Bryan Palma, CEO von Trellix, erklärt den dringenden Bedarf nach ständig lernender Sicherheit.
Laden Sie den Magic Quadrant-Bericht herunter, der 19 Anbieter basierend auf ihrer Durchführungskompetenz und der Vollständigkeit ihres Lösungsansatzes beurteilt.
Laut Gartner ist „XDR eine neue Technologie, die bessere Funktionen für Bedrohungsschutz, Erkennung und Reaktion bietet“.
Auf welche Cyber-Sicherheitsbedrohungen sollten Unternehmen im Jahr 2022 achten?
Beim Thema Cyber-Sicherheit wird es niemals langweilig. Sehen wir dies als Vorteil und als Chance, das Unternehmen zu stärken.
Zwei führende vertrauenswürdige Anbieter für Cyber-Sicherheit haben ihre Kräfte vereint, um eine robuste digitale Welt zu schaffen.
Bryan Palma, CEO von Trellix, erklärt den dringenden Bedarf nach ständig lernender Sicherheit.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Verwendung von ePO in einer DMZ oder NAT-Umgebung
Technische Artikel ID:
KB59218
Zuletzt geändert am: 2022-03-02 01:52:29 Etc/GMT UmgebungMcAfee ePolicy Orchestrator 4.x
{GENWIN.DE_DE} Zusammenfassung
Dieser Artikel beschreibt die Verwendung von ePolicy Orchestrator (ePO) in einer DMZ (demilitarisierten Zone) bzw. bei Verwendung von NAT (Network Address Translation, Netzwerkadressübersetzung) in der Unternehmensumgebung.
Problem
Der ePO Agent kann in einer DMZ bzw. NAT-Umgebung nicht mit dem ePO-Server kommunizieren. Zwar ist die Kommunikation zwischen ePO-Server und DMZ-Server in beiden Richtungen erlaubt, der Agent gibt jedoch trotzdem keine Rückmeldung an den ePO-Server.
Lösung 1Die Agent-Server-Kommunikation wird von NAT unterstützt, Anfragen zur Agenten-Reaktivierung können jedoch nicht über NAT durchgeführt werden. Außerdem funktioniert die Kommunikation per Datenkanal (von Produkten wie Endpoint Encryption for PC 6 genutzt) über NAT nur dann ordnungsgemäß, wenn ePO 4.5 Patch 4 und McAfee Agent 4.5 Patch 2 (oder höher) installiert sind. Empfohlen Installieren Sie jeweils einen ePO-Server bzw. eine Agentensteuerung zur Verwaltung externer Clients in der DMZ und einen bzw. eine im internen Netzwerk, um ausschließlich die internen Netzwerk-Clients zu verwalten. Achten Sie darauf, dass folgende Ports der Firewall geöffnet sind, um internen und externen Clients die Agent-Kommunikation mit dem ePO-Server in der DMZ zu ermöglichen: 80 (nur zu den externen Clients bidirektional) – Agent-Server-Port (als ServerHttpPort im EPOServerInfo in ePO 4.x aufgeführt) WICHTIG: Das Öffnen von Port 80 der Firewall für die bidirektionale Kommunikation mit dem externen Netzwerk erlaubt es ausschließlich den externen Clients, mit dem ePO-Server in der DMZ zu kommunizieren. Dies ist kein schwerwiegender Eingriff in die Netzwerksicherheit, da das interne Netzwerk auf diesem Port auch weiterhin keine Kommunikation von externen Clients empfangen kann. 8443 (bei RSD-Verwendung vom internen Netzwerk aus zur DMZ geöffnet) – Port für Konsole-zu-Anwendungs-Server-Kommunikation (als RmdSecureHttpPort in der Tabelle EPOServerInfo für ePO 4.x aufgelistet)
8444 (bei RSD-Verwendung vom internen Netzwerk aus zur DMZ geöffnet) – Port für Sensor-zu-Server-Kommunikation (als SensorSecureHttpPort in der Tabelle EPOServerInfo für ePO 4.x aufgelistet) 8801 (bei Verwendung der Bedrohungs-Download-Funktion von McAfee Labs vom internen Netzwerk aus zur DMZ geöffnet) – HTTP-Port für Sicherheitsbedrohungen (als AVERTAlertsPort in der Tabelle EPOAvertSettings für ePO 4.x aufgelistet) Lösung 2
Annahme Die Host-Datei auf dem DMZ-Server wurde bereits so bearbeitet, dass ein Pfad zur IP-Adresse auf dem ePO-Server vorhanden ist. Dies ist dann eine Alternative, wenn Lösung 1 nicht akzeptabel ist und der ePO-Server sich nur im internen Netzwerk befindet. Bearbeiten Sie die Datei server.ini wie folgt:
HaftungsausschlussDer Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene ProdukteSprachen:Dieser Artikel ist in folgenden Sprachen verfügbar: |
|