Antivirus and Security Software from Sophos

Soporte en línea

Mantenimiento de productos

Soporte técnico

Servicios de soporte

Uso de repetidores de mensajes en WAN públicas

En este artículo se ofrecen ejemplos y pautas para situaciones en las que existen varias estaciones que no acceden nunca a la red empresarial, físicamente o mediante VPN, pero necesitan administrarse con Sophos Enterprise Console.

Información general
Los repetidores de mensajes de Sophos se utilizan para consolidar el flujo de datos de informes y políticas entre Enterprise Console y las estaciones. También se utilizan para facilitar las reglas del cortafuegos, la gestión del tráfico y el ancho de banda. En este artículo, se presupone que conoce los repetidores de mensajes de Sophos y su función en la estructura de administración de Enterprise Console.
Para más información o para configurar un repetidor de mensajes, consulte el artículo de la base de conocimiento Enterprise Console: configurar equipos de transmisión de mensajes

Los repetidores de mensajes de Sophos suelen utilizarse para administrar estaciones internas. Dichas estaciones suelen estar en la red empresarial o en una VPN, y acceden a los repetidores de mensajes internos de la red de forma frecuente, o a Enterprise Console directamente. Si no están disponibles en algún momento, los mensajes entrantes y salientes de la estación se almacenan en el repetidor y en la estación respectivamente hasta que se restablece la comunicación.

Introducción

En las secciones siguientes, se ofrecen pautas para situaciones en las que varias estaciones, por diferentes motivos, no acceden nunca a la red empresarial, físicamente o mediante VPN, pero necesitan administrarse con Enterprise Console.

En estos casos, los equipos pueden configurarse para que se comuniquen con la consola de gestión de Sophos a través de un repetidor de mensajes ubicado en una red perimetral (DMZ), en lugar de directamente con la consola o un repetidor de mensajes interno. De esta forma, se mejora el acceso y la gestión de los portátiles externos, al ofrecer una ubicación a la que siempre tengan acceso, tanto cuando están en la red como cuando no.

Los casos siguientes ofrecen ejemplos del alojamiento de servicios que suelen ser roles internos de la red en Internet. Aunque se intenta impedir que los sistemas no autorizados se comuniquen con un repetidor de mensajes, este artículo no ofrece recomendaciones para el alojamiento de servicios de Internet y la protección de servidores de Microsoft Windows en una red perimetral.

Asegúrese de que sólo se permite el tráfico legítimo entre las estaciones, el repetidor de mensajes y Enterprise Console, que puede estar en la red empresarial interna.

La comunicación entre las estaciones, el repetidor de mensajes y Enterprise Console se produce a través de Sophos RMS en los puertos TCP 8192, 8193 y 8194.
Para más información, consulte el artículo de la base de conocimiento Sophos Anti-Virus para Windows: acceso a ordenadores con cortafuegos.

Las estaciones deberían configurarse para que se comuniquen con un repetidor de mensajes específico durante la instalación. Para ello, modifique el archivo mrinit.conf según se describe en el artículo de la base de conocimiento Enterprise Console: configurar equipos de transmisión de mensajes y, más concretamente, en los casos siguientes.
Recuerde que estos escenarios darán lugar a una comunicación en un solo sentido de RMS y, aunque no provocarán fallos en la funcionalidad, pueden retrasar la entrega de políticas y demás instrucciones a las estaciones.

Situación 1: Repetidor de mensajes en una red perimetral (DMZ) que utiliza una dirección pública IP enrutable

En este caso, las estaciones de la red privada remota no tienen acceso VPN a la misma y no se pueden comunicar directamente con el servidor de administración.

Puede configurar todas las estaciones (o sólo las remotas) para que utilicen un repetidor de mensajes ubicado en la red perimetral para facilitar la comunicación con una consola ubicada en la red local de la empresa.
Puesto que RMS utiliza los puertos TCP 8192, 8193 y 8194 para comunicarse, debería permitirse el tráfico bidireccional en estos puertos entre el repetidor de mensajes y el servidor de administración (incluido el reenvío específico de puertos, en el caso de NAT), además del tráfico entrante de Internet al repetidor de mensajes.
El servidor DNS debería ser capaz de resolver las direcciones del servidor de administración de Enterprise Console y del repetidor de mensajes.
En el caso anterior, todas las estaciones que utilicen el repetidor de mensajes deberán instalarse con un archivo mrinit.conf que incluya:

"MRParentAddress"="192.168.0.3 ,[CONSOLE-FQDN],[CONSOLE-HOSTNAME]"
"ParentRouterAddress"="2.2.2.3,[RM-FQDN],[RM-HOSTNAME]"

El cliente utilizará el router 2.2.2.3 como repetidor de mensajes.

Situación 2: Repetidor de mensajes en una red perimetral (DMZ) que utiliza una dirección privada IP no enrutable

Si la red perimetral utiliza direcciones IP RFC 1928 (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8), es necesario modificar el mensaje IOR del repetidor de mensajes.
También es necesaria una zona del DNS dividida, que resuelva nombres internos y externos de forma diferente.


Normalmente, cuando una estación se conecta con un repetidor de mensajes o la consola en el puerto 8192, recibe una cadena IOR, que contiene la dirección IP configurada de forma local del repetidor de mensajes. (En este caso, 172.16.2.3)
Puesto que la dirección IP del repetidor en este caso no es enrutable, es necesario un cambio para que la dirección IP proporcionada sea enrutable o FQDN.

En el caso anterior, el repetidor de mensajes se llama RM.dominio.com. Sustitúyalo por el FQDN del repetidor de mensajes que vaya a utilizar.

En nuestro ejemplo, en la empresa, RM.dominio.com se resuelve en la dirección 172.16.2.3, una dirección enrutable entre la red privada y la red perimetral.
En el exterior, RM.dominio.com se resuelve como 1.1.1.1, una dirección enrutable en Internet, cuyos puertos TCP 8192, 8193 y 8194 deben reenviarse a 172.16.2.3.

Para cambiar el repetidor de mensajes y que devuelva un FQDN en la cadena IOR:
Este procedimiento debe llevarse a cabo en el repetidor de mensajes

ADVERTENCIA: Realice una copia de seguridad del registro (o de las claves necesarias) antes de cambiar los valores de los datos.

Sustituya todos los ejemplos con valores que reflejen la empresa.

  • Para modificar el servicio de forma inmediata:
    1. Cambie la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Message Router\ImagePath
      por (en una sola línea):

      "C:\Archivos de programa\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBDottedDecimalAddresses 0 -ORBListenEndpoints iiop://:8193/ssl_port=8194&hostname_in_ior=RM.domain.com
    2. Reinicie el servicio del router de mensajes en el repetidor.
  • Para que el cambio sea permanente cuando se realice una actualización o reinstalación de RMS:

Cambie la clave HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\ServiceArgs
por (en una sola línea):

-ORBDottedDecimalAddresses 0 -ORBListenEndpoints iiop://:8193/ssl_port=8194&hostname_in_ior=RM.domain.com

Información y configuración adicionales para este caso

  • Todas las estaciones que utilicen el repetidor de mensajes necesitan instalarse con un archivo mrinit.conf que incluya:

"MRParentAddress"="192.168.0.3 ,[Console-FQDN],[Console-HOSTNAME]"
"ParentRouterAddress"="RM.dominio.com”

Esto indica a los clientes que utilicen RM.dominio.com como repetidor.

  • Los puertos TCP 8192, 8193 y 8194 deberían reenviarse desde la IP externa: 1.1.1.1 a la IP del repetidor de mensajes: 172.16.2.3

La comunicación interna en estos puertos entre las redes 192.168.0.x y 172.16.2.x también debe permitirse a través del cortafuegos y ser enrutable.

  • El servidor DNS debería resolver las direcciones IP del servidor de administración de Enterprise Console y del repetidor de mensajes, no las direcciones IP externas.
  • En este ejemplo, el repetidor de mensajes debe resolver CONSOLE-FQDN.dominio.com como 192.168.0.3, y tanto el servidor de administración de Enterprise Console como el repetidor de mensajes deben resolver RM.dominio.com como 172.16.2.3.

Descripción paso a paso del flujo de la red

Suponiendo que todas las estaciones (internas y externas) se hayan configurado para utilizar un repetidor de mensajes:

Descripción paso a paso - Estaciones internas:

  1. Después de la instalación, una estación interna (192.168.0.x) leerá mrinit.conf, reconocerá que el repetidor de mensajes es RM.dominio.com y lo resolverá (desde el servidor DNS interno) como 172.16.2.3
  2. Conectará con el repetidor de mensajes 172.16.2.3:8192 y recibirá un mensaje IOR.
    El mensaje IOR contendrá el puerto y la dirección IP siguiente con la que comunicarse y, puesto que las claves del registro se modificaron para obtener un FQDN en lugar de una dirección IP, el mensaje IOR contendrá RM.dominio.com y el puerto 8194.
  3. La estación conectará con RM.dominio.com (172.16.2.3) en el puerto 8194 y los mensajes de RMS pasarán por el repetidor de mensajes para llegar y salir de la consola.

Descripción paso a paso - Estaciones externas

  1. Después de la instalación, una estación externa (192.168.1.x) leerá mrinit.conf, reconocerá que el repetidor de mensajes es RM.dominio.com y lo resolverá (desde el servidor DNS externo) como 1.1.1.1.
  2. A continuación, conectará con el repetidor de mensajes en 1.1.1.1:8192, se reenviará a 172.16.2.3:8192 y recibirá un mensaje IOR. El mensaje IOR contendrá el puerto y la dirección IP siguiente con la que comunicarse y, puesto que las claves del registro se modificaron para obtener un FQDN en lugar de una dirección IP, el mensaje IOR contendrá RM.dominio.com y el puerto 8194.
  3. La estación conectará entonces con RM.dominio.com (1.1.1.1) en el puerto 8194, se reenviará a 172.16.2.3:8194 y los mensajes de RMS pasarán por el repetidor de mensajes para llegar y salir de la consola.

Si necesita más ayuda, póngase en contacto con soporte técnico.