Einsatz von Message Relays von Sophos in einem öffentlichen WAN (Wide Area Network)

In diesem Artikel werden diverse Szenarien behandelt, bei denen mehrere Endpoints vorhanden sind, die nicht (physisch oder per VPN) auf das Unternehmensnetzwerk zugreifen, jedoch von Sophos Enterprise Console verwaltet werden müssen.

• Technischer Hintergrund
• Einleitung
• Szenario 1: Message Relay in einem DMZ mit öffentlicher, routbarer IP
• Szenario 2: Message Relay in einem DMZ mit privater, nicht routbarer IP
• Übersicht

Hintergrund
Message Relays von Sophos dienen der Konsolidierung der Richtlinie und Report-Daten, die Enterprise Console und die Clients austauschen. Zudem stehen Sie in Zusammenhang mit Firewall-Regeln, der Verwaltung von Datenverkehr und Bandbreite. Es werden Kenntnise von Sophos Message Relays und deren Funktion in der Verwaltungsstruktur von Enterprise Console vorausgesetzt.
Nähere Informationen sowie Anweisungen zum Einrichten von Message Relays können Sie dem Support-Artikel Enterprise Console: Konfiguration von Message Relay-Computern entnehmen.

Sophos Message Relays werden in der Regel zur Verwaltung interner Clients eingesetzt. Die Clients befinden sich meist im Unternehmensnetzwerk oder einem VPN und greifen regelmäßig auf interne Message Relays oder direkt auf Enterprise Console zu. Bei vorübergehenden Ausfällen werden eingehende und ausgehende Nachrichten im Message Relay eines Clients sowie auf dem Client selbst zwischengespeichert, bis wieder eine Verbindung hergestellt werden kann.

Einleitung

Die folgenden Szenarien gelten für mehrere Endpoints, die zwar nie auf das Unternehmensnetzwerk zugreifen (physisch oder per VPN), die jedoch von Enterprise Console verwaltet werden sollen.

Computer, die nicht auf das lokale Netzwerk zugreifen, können so konfiguriert werden, dass sie nicht direkt mit der Konsole bzw. über ein internes Message Relay, sondern über ein Message Relay in einem DMZ mit Sophos Management Console kommunizieren. Dadurch werden die Verfügbarkeit und die Verwaltung von Roaming-Notebooks verbessert, da die Notebooks so immer eine Verbindung herstellen können, auch wenn sie nicht auf das Unternehmensnetzwerk zugreifen.

Im folgenden Beispiel wird das Hosten eines Dienstes im Internet beschrieben, der üblicherweise auf das interne Netzwerk gerichtet ist. Es wurden Maßnahmen ergriffen, die die unerlaubte Kommunikation mit einem Message Relay unterbinden sollen. Im Rahmen dieses Artikels wird jedoch nicht weiter auf das Hosten von Diensten im Internet oder die Absicherung von Windows-Servern für den Einsatz in einem DMZ eingegangen.

Sorgen Sie dafür, dass ausschließlich legitimer Datenverkehr zwischen den Clients und dem Message Relay bzw. dem Message Relay und Enterprise Console (befindet sich eventuell auf dem internen Unternehmensnetzwerk) zugelassen wird.

Clients, Message Relays und Enterprise Console kommunizieren über Sophos RMS auf den TCP-Ports 8192, 8193, and 8194.
Nähere Informationen finden Sie im Support-Artikel Sophos Anti-Virus für Windows: Zugriff auf Computer mit Firewalls.

Es empfiehlt sich, Clients bei der Installation so zu konfigurieren, dass sie mit dem Message Relay kommunizieren. Verwenden Sie hierzu die Datei "mrinit.conf" und befolgen Sie die Anweisungen im Support-Artikel Enterprise Console: Konfiguration von Message Relay-Computern und den folgenden Szenarien.
Die Szenarien führen zu einer Einwege-RMS-Verbindung. Der Funktionsumfang wird dadurch zwar nicht eingeschränkt, der Transfer von Richtlinien und anderen Elementen wird jedoch mitunter verlangsamt.

Szenario 1: Message Relay in einem DMZ mit öffentlicher, routbarer IP

Clients im Remote Private Network haben keinen Zugang auf das private Unternehmensnetzwerk über VPN und können nicht direkt mit dem Management Server kommunizieren.

Der Kunde kann alle Clients (oder nur Remote-Clients) zum Zugriff auf ein Message Relay im DMZ konfigurieren und so die Kommunikation mit einer Konsole im Unternehmensnetzwerk erleichtern.
RMS stellt eine Verbindung über die TCP-Ports 8192, 8193 und 8194 her. Erlauben Sie daher die bidirektionale Kommunikation auf diesen Ports zwischen dem Message Relay und dem Management Server (und, bei NAT, zudem die entsprechende Portweiterleitung) sowie die eingehende Kommunikation aus dem Internet zum Message Relay.
Der Management Server von Enterprise Console und das Message Relay müssen sich über DNS auflösen können.
Alle Clients, die das Message Relay nutzen, müssen über eine "mrinit.conf"-Datei mit folgenden Eigenschaften verfügen:

"MRParentAddress"="192.168.0.3 ,[CONSOLE-FQDN],[CONSOLE-HOSTNAME]"
"ParentRouterAddress"="2.2.2.3,[MR-FQDN],[MR-HOSTNAME]"

Dem Client wird der Router "2.2.2.3" als Message Relay zugewiesen.

Szenario 2: Message Relay in einem DMZ mit privater, nicht routbarer IP

Wenn der DMZ RFC-1928-IP-Adressen (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 verwendet, muss das Message Relay, das die IOR-Nachricht an den Client ändert, modifiziert werden.
Zudem ist eine Split-DNS-Zone erforderlich, die DNS-Namen intern und extern auf unterschiedliche Weise auflöst.

Wenn ein Client eine Verbindung zu einem Message Relay oder der Konsole auf Port 8192 herstellt, wird eine IOR-Zeichenkette mit der lokal konfigurierten IP-Adresse des Message Relays ausgegeben (hier "172.16.2.3").
Da die IP-Adresse des Message Relays in diesem Fall nicht routbar ist, muss die IP-Adresse aus dem IOR entweder routbar gemacht werden oder ein Fully Qualified Domain Name (FQDN) sein.

Im obigen Beispiel heißt das Message Relay "MR.domain.com". Ersetzen Sie dies durch den FQDN des verwendeten Message Relays.

In unserem Beispiel löst "MR.domain.com" die Adresse "172.16.2.3" auf, die zwischen dem privaten Firmennetzwerk und dem DMZ routbar ist.
Extern sollte "MR.domain.com" die Adresse "1.1.1.1" auflösen, die im Internet routbar ist. Dabei müssen die Ports 8192, 8193, und 8194 an "172.16.2.3" weitergeleitet werden.

Ändern des Message Relays zur Augabe eines FQDN in der IOR-Zeichenkette:
Die Schritte müssen am Message Relay durchgeführt werden.

Warnhinweis: Erstellen Sie vor dem Ändern der Datenwerte eine Sicherungskopie der Registrierung (oder der unten aufgeführten Schlüssel).

Setzen Sie anstatt der Werte in den Beispielen unternehmensspezifische Werte ein.

• Sofortige Änderung:

1. Ändern Sie den Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Message Router\ImagePath
   um in (ohne Zeilenumbrüche):
   
   "C:\Programme\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBDottedDecimalAddresses 0 -ORBListenEndpoints iiop://:8193/ssl_port=8194_in_ior=MR.domain.com

2. Starten Sie den Message Router-Dienst am Message Relay erneut.

• Übernahme der Änderung bei RMS-Updates/Neuinstallation:

Ändern Sie den Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\ServiceArgs
um in (ohne Zeilenumbrüche):

-ORBDottedDecimalAddresses 0 -ORBListenEndpoints iiop://:8193/ssl_port=8194_in_ior=MR.domain.com

Weitere Konfigurationsanweisungen und Informationen zu diesem Szenario

• Alle Clients, die das Message Relay nutzen, müssen über eine "mrinit.conf"-Datei mit folgenden Eigenschaften verfügen:

"MRParentAddress"="192.168.0.3 ,[Console-FQDN],[Console-HOSTNAME]"
"ParentRouterAddress"="MR.domain.com?

Dem Client wird die Domäne "MR.domain.com" als Relay zugewiesen.

• Die TCP-Ports 8192, 8193 und 8194 sollten von der externen IP-Adresse "1.1.1.1" an die IP-Adresse des Message Relays "172.16.2.3" weitergeleitet werden.

Erlauben Sie auf diesen Ports außerdem die interne Kommunikation zwischen den Netzwerken "192.168.0.x" und "172.16.2.x", die routbar sein müssen.

• Der Management Server von Enterprise Console und das Message Relay müssen sich über DNS in ihre IP-Adressen und nicht den externen IP-Adressen auflösen können.
  
  
• Im vorliegenden Beispiel muss das Message Relay "CONSOLE-FQDN.domain.com" in "192.168.0.3" auflösen. Der Management Server von Enterprise Console Management Server und das Message Relay müssen "MR.domain.com" in 172.16.2.3 auflösen.

Übersicht über den Netzwerkfluss

Annahme: Alle Clients (intern und extern) wurden zur Verwendung eines Message Relays konfiguriert:

Übersicht, interne Clients:

1. Bei der Installation liest ein interner Client (192.168.0.x) "mrinit.conf", erkennt sein Message Relay als "MR.domain.com" und löst es (über den internen DNS-Server) in "172.16.2.3" auf.
2. Es wird dann auf dem Message Relay eine Verbindung auf "172.16.2.3:8192" hergestellt und eine IOR zugeteilt.
   Die IOR umfasst die nächste IP-Adresse sowie den entsprechenden Port für die Kommunikation. Da die Registrierungschlüssel im Vorfeld so geändert wurden, dass ein FQDN anstelle einer IP bereitgestellt wird, umfasst die IOR "MR.domain.com" und den Port 8194.
3. Der Client stellt auf Port 8194 eine Verbindung zu "MR.domain.com" (172.16.2.3) her. RMS-Nachrichten werden von der Konsole an das Message Relay und wieder zurück übertragen.

Übersicht, externe Clients:

1. Bei der Installation liest ein externer Client (192.168.1.x) "mrinit.conf", erkennt sein Message Relay als "MR.domain.com" und löst es (über den externen DNS-Server) in "1.1.1.1" auf.
2. Der Client stellt auf "1.1.1.1:8192" eine Verbindung zum Message Relay her, und der Port wird an "172.16.2.3:8192" weitergeleitet. Der Client erhält zudem eine IOR. Die IOR umfasst die nächste IP-Adresse sowie den entsprechenden Port für die Kommunikation. Da die Registrierungschlüssel im Vorfeld so geändert wurden, dass ein FQDN anstelle einer IP bereitgestellt wird, umfasst die IOR "MR.domain.com" und den Port 8194.
3. Der Client stellt eine Verbindung zu "MR.domain.com" (1.1.1.1) auf 8194 her, der Port wird zu "172.16.2.3:8194" weitergeleitet. RMS-Nachrichten werden von der Konsole an das Message Relay und wieder zurück übertragen.