Kaspersky Security Center に接続するための IP アドレスの許可リストの設定
既定では、Kaspersky Security Center への接続はどのデバイスからでも許可されます。たとえば、要件を満たす任意のデバイスに Kaspersky Security Center 14 Web コンソールサーバーをインストールでき、Kaspersky Security Center 14 Web コンソールサーバーは Kaspersky Security Center と通信します。ただし、指定した IP アドレスを持つデバイスからの接続のみが許可されるように管理サーバーを構成することもできます。この場合、侵入者が許可リストに含まれていないデバイスにインストールされた Kaspersky Security Center 14 Web コンソールサーバーを介して Kaspersky Security Center に接続しようとしても、Kaspersky Security Center にログインすることはできません。
ユーザーが Kaspersky Security Center にログインするか、Kaspersky Security Center OpenAPI を介して管理サーバーと連携する
を実行した場合に IP アドレスが検証されます。この時点で、デバイス上のアプリケーションは管理サーバーとの接続を確立しようとします。デバイスの IP アドレスが許可リストにない場合、 認証エラーが発生し、KLAUD_EV_SERVERCONNECT イベントが管理サーバーとの接続が確立されていないことを通知します。
IP アドレスの許可リストの要件
次のアプリケーションが管理サーバーに接続しようとした際にのみ IP アドレスが検証されます:
- Kaspersky Security Center 14 Web コンソールサーバー
Kaspersky Security Center 14 Web コンソールを介して Kaspersky Security Center にログオンすると、オペレーティングシステムの標準の方法で、Kaspersky Security Center 14 Web コンソールサーバーがインストールされているデバイスのファイアウォールを設定することができます。誰かがあるデバイスから Kaspersky Security Center にログインしようとした場合、Kaspersky Security Center 14 Web コンソールサーバーが別のデバイスにインストールされていると、ファイアウォールが侵入者の干渉防止に役立ちます。
- Klakaut 自動化オブジェクト経由で管理サーバーと連携しているアプリケーション
- Kaspersky Anti Targeted Attack Platform または Kaspersky Security for Virtualization のような、OpenAPI 経由で管理サーバーと連携するアプリケーション
このため、上のリストにあるアプリケーションがインストールされているデバイスのアドレスを指定してください。
IPv4 と IPv6 アドレスを指定できます。IP アドレスの範囲を指定することはできません。
IP アドレスの許可リストを設定する方法
事前に許可リストを設定していなかった場合は、次の手順に従ってください。
Kaspersky Security Center にログインするための IP アドレスの許可リストを設定するには:
- 管理サーバーデバイスで、管理者権限を持つアカウントでコマンドプロンプトを実行します。
- カレントディレクトリを Kaspersky Security Center のインストールフォルダ(通常は /opt/kaspersky/ksc64/sbin)に変更します。
- root アカウントで次のコマンドを入力します:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<
IP アドレス>" -t s前述の要件を満たす IP アドレスを指定します。複数の IP アドレスを指定する場合はセミコロンで区切ります。
単一のデバイスに対して管理サーバーへの接続を許可する方法の例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0" -t s
複数のデバイスに対して管理サーバーへの接続を許可する方法の例:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 198.51.100.0; 203.0.113.0" -t s
- 管理サーバーサービスを再起動します。
管理サーバーの SysLog イベントログで、IP アドレスの許可リストが正常に設定されているかどうかを確認できます:
IP アドレスの許可リストを変更する方法
最初に許可リストを作成した方法と同じ方法で許可リストを変更できます。同じコマンドを実行して新しい許可リストの名前を指定します。
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "<IP アドレス>" -t s
許可リストから一部の IP アドレスを削除する場合は、書き直します。たとえば、許可リストに IP アドレス「198.51.100.0; 203.0.113.0」が含まれているとします。IP アドレス「198.51.100.0」を削除したいとします。この場合、コマンドプロンプトで次のコマンドを入力します:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "192.0.2.0; 203.0.113.0" -t s
管理サーバーサービスを忘れずに再起動してください。
設定済みの IP アドレスの許可リストをリセットする方法
既に設定済みの IP アドレスの許可リストをリセットするには:
- root アカウントのコマンドプロンプトで次のコマンドを入力します:
klscflag -fset -pv klserver -n KLSRV_FLAG_ALLOWED_IP_ADDRESSES_FOR_GUI -v "" -t s
- 管理サーバーサービスを再起動します。
その後、IP アドレスは検証されなくなります。