Jak bezpiecznie udostępnić serwer komunikacji poza sieć firmową dla konsoli lokalnej
Krzysztof B.
7 lipca 2023
W tym artykule opisujemy w jaki sposób podłączyć punkty końcowe znajdujące się poza siecią firmową do konsoli lokalnej (on-premise). Dowiesz się jak bezpiecznie wystawić serwer komunikacji na zewnętrznym adresem IP, aby można było komunikować się z konsolą lokalną z Internetu.
Jak połączyć się z zewnątrz do konsoli
Posiadając konsolę lokalną, można za pomocą sprzętowego firewalla (UTM) udzielić do niej dostępu z Internetu za pomocą zewnętrznego adresu IP. W ten sposób do konsoli będącej wewnątrz sieci firmowej będą mogły podłączać się i odbierać ustawienia urządzenia znajdujące się poza tą samą siecią np. z domu na pracy zdalnej bez konieczności wykorzystywania VPN. Polega to na udostępnieniu maszyny wirtualnej Bitdefender GravityZone z zainstalowaną rolą Serwera komunikacji. Metody na udzielenie tego rodzaju dostępu są dwie.
Maszyna wirtualna “Wszystko w jednym”
W pierwszym przypadku, posiadając maszynę “wszystko w jednym”, gdzie wszystkie niezbędne role są zainstalowane na jednej maszynie, jest możliwe wystawienie jej na zewnętrznym adresie IP. Ta metoda nie jest przez nas zalecana ze względów bezpieczeństwa.
Zewnętrzny serwer komunikacji
Bezpieczniejszy jest drugi sposób, który polega na wdrożeniu drugiej maszyny wirtualnej Bitdefender GravityZone, podłączeniu jej do maszyny głównej i zainstalowaniu na niej tylko roli Serwera komunikacji. W ten sposób konsola lokalna będzie miała dwa takie serwery: wewnętrzny i zewnętrzny. Drugą maszynę wirtualną można wystawić na zewnątrz dzięki czemu będzie komunikacja, a nasza baza danych wciąż zostanie wewnątrz sieci firmowej.
Wdrożenie drugiego, zewnętrznego serwera komunikacji
Aby wdrożyć drugi serwer komunikacji, połączyć go z bazą danych i wystawić do DMZ, pobierz ten sam obraz maszyny wirtualnej co pobierałeś przy pierwszej maszynie.
Gotowe obrazy maszyn wirtualnych Bitdefender GravityZone znajdują się pod tym linkiem.
Zaimportuj pobrany obraz do swojego środowiska wirtualnego i uruchom maszynę.
Tak jak przy pierwszej maszynie wirtualnej, w trakcie pierwszego uruchomienia musisz skonfigurować hasło do wbudowanego użytkownika bdadmin.
Jak napisano na ekranie wciśnij klawisz c i ustaw hasło.
Zaloguj się na bdadmin wpisując ustawione wyżej hasło.
Po zalogowaniu dla ułatwienia zmienimy język na Polski.
W głównym menu kliknij pozycję Configure Language.
Wybierz z listy pl_PL i potwierdź klawiszem Enter.
Język został zmieniony dlatego zaloguj się ponownie do użytkownika bdadmin swoim hasłem.
Po ponownym logowaniu ustaw poświadczenia sieciowe dla maszyny wirtualnej. W głównym menu wybierz pozycję Skonfiguruj ustawienia sieciowe, wybierz interfejs i kliknij Skonfiguruj ustawienia sieciowe ręcznie.
Uzupełnij poświadczenia sieciowe i potwierdź OK. Dane na poniższym obrazku są przykładowe.
Teraz sprawdź komunikację maszyny wirtualnej z Internetem. Możesz to zrobić przełączając się na tryb tekstowy klikając kombinację klawiszy ALT+F2.
Na czarnym tle wpisz nazwę użytkownika (bdadmin) oraz swoje hasło.
Następnie sprawdź dostęp di Internetu np. pingując naszą stronę bitdefender.pl.
ping bitdefender.pl
Proces zatrzymasz kombinacją klawiszy Ctrl+z.
Po sprawdzeniu połączenia wróć do trybu graficznego kombinacją klawiszy ALT+F1.
Wróć do głównego menu i wybierz pozycję Zaawansowane.
Następnie wybierz pozycję Połącz z istniejącą bazą danych > Konfiguruj adres Serwera bazodanowego.
Opcjonalnie jest możliwe połączenie obu maszyn wirtualnych Bitdefendera GravityZone za pomocą bezpiecznego klastra VPN. W tym celu najpierw musisz włączyć klaster VPN o czym poinformuje Cię komunikat przy konfiguracji połączenia. Bezpieczny klaster VPN włącza się w oknie Zaawansowane na głównej maszynie wirtualnej GravityZone.
W oknie Adres serwera bazy danych wpisz adres IP swojej głównej maszyny wirtualnej Bitdefender GravityZone z portem 27017.
Format adresu wygląda następująco (przykład):
192.168.0.160:27017
Po podaniu adresu wpisz swoje hasło do bazy danych.
Teraz musisz ustawić role balancery. W tym celu musisz przejść do swojej głównej maszyny wirtualnej, do menu Zaawansowane i wybrać pozycję Konfiguruj role balancerów.
Następnie wybierz Użyj zewnętrznych balancerów.
W oknie Zewnętrzne balnacery podaj adres IP drugiej maszyny wirtualnej, która ma posiadać rolę zewnętrznego serwera komunikacji i będzie wystawiona do DMZ.
Port to 8443. Wprowadź adres w następującym formacie (przykład):
https://192.168.0.161:8443
Od tego momentu na nowej maszynie wirtualnej zamiast serwera bazy danych (baza jest na głównej maszynie) będzie możliwe zainstalowanie roli serwera komunikacji.
Wróć do nowej maszyny wirtualnej GravityZone i przejdź do zakładek Zaawansowane > Role Instalowania/Odinstalowania > Dodaj lub usuń role i zaznacz spacją pozycję ecs Serwer komunikacji. Potwierdź klikając Enter, aby zainstalować rolę.
Jeśli w trakcie instalacji wyskoczy błąd, upewnij się, że Twoja konsola jest aktualna. Podczas łączenia wersje na obu maszynach wirtualnych muszą być takie same.
Po pomyślnym zainstalowaniu roli ecs, konsola będzie miała dwa serwery komunikacyjne.
Nową maszynę wirtualną możesz teraz udostępnić na zewnętrznym adresie IP, bez konieczności wystawiania na zewnątrz całej bazy danych.
Pochodzę z Gdyni i jestem certyfikowanym inżynierem produktów z rodziny Bitdefender. Na co dzień zajmuję się pomocą techniczną wersji biznesowej GravityZone.