Activar la autenticación Known Host para conexiones seguras con estaciones de agentes
Para reforzar la conexión contra ataques man-in-the-middle -sin necesidad de crear certificados personalizados- puede activar la comprobación known hosts en el servidor.
- Detenga el servicio VDog MasterService.
- Abra el archivo
server.inique se encuentra en el archivo del servidor (VD$A\Configuration\Server.ini). -
En la sección [Común], añada la siguiente entrada:
KnownHostsOnCsc=Y -
Reinicie el servicio VDog MasterService.
Una vez activada, el servidor verificará la huella digital del certificado de la estación agente durante la ejecución de la tarea. Si la huella digital no coincide, la conexión finaliza y se registra un error.
Ejemplos de mensajes de error:
"No se puede establecer la autenticidad del host 'mi.estacionagente.local'. La huella digital del certificado es '00:01:02:03:04:05:06:07:08:09:0a:0b:0c:0d:0e:0f:10:11:12:13:14:15:16:17:18:19:1a:1b:1c:1d:1e:1f'. Póngase en contacto con el administrador del sistema."
"La conexión a la estación agente 'mi.estaciónagente.local' falla porque su certificado cambió inesperadamente. Compruebe si la huella digital en la entrada de servidores en knownhosts.txt coincide con la que las estaciones de agentes depositan en sus archivos de registro de depuración en el arranque."
Si aparece un mensaje de error como éste, significa que el certificado del agente no coincide con el certificado esperado por el servidor.
Para analizar el problema, proceda del siguiente modo:
-
Compruebe si la huella digital que aparece en el mensaje de error coincide con la que utiliza realmente la estación del agente.
Los agentes escriben su huella digital en su registro de depuración.
-
En el equipo del agente, abra los archivos de registro relevantes en el archivo del agente desde el momento en que se (re)inició el agente.
VD$A\Logs\Debug\VDogUploadAgentoVD$A\Logs\Debug\VDogCompareAgent
Si es necesario, reinicie los agentes para regenerar los registros.
-
En los archivos de registro, busque una línea similar a:
"El certificado del servidor tiene la huella 00:01:02:03:04:05:06:07:08:09:0a:0b:0c:0d:0e:0f:10:11:12:13:14:15:16:17:18:19:1a:1b:1c:1d:1e:1f".
Reconocer las falsas alarmas
La huella digital de los archivos de registro del equipo agente debe coincidir con la del mensaje de error del servidor anterior.
-
Si las huellas no coinciden, significa que el servidor no establece una conexión directa con este agente.
Este tipo de desajuste puede tener una causa legítima. Por ejemplo, un firewall está legalmente configurado para interceptar e inspeccionar el tráfico cifrado que utiliza TLS (Transport Layer Security). Si no está seguro de si esto es aplicable, consulte a su administrador de red.
Compruebe también que la dirección configurada para el agente en el servidor corresponde realmente a la estación de agente correcta.
- Advertencia
Si no hay ninguna razón válida para el desajuste, puede indicar un posible ataque man-in-the-middle.
-
Si la huella digital coincide o está seguro de que existe un motivo válido para la falta de coincidencia, pero sigue recibiendo este mensaje de error, es probable que el certificado del agente se haya modificado o creado recientemente. Por ejemplo, si el agente fue reinstalado con un nuevo archivo del agente.
En este caso (¡y sólo entonces!) elimine esta estación del agente del archivo
KnownHosts.txtdel servidor:- En el archivo del servidor, abra el archivo
VD$A\Configuration\Local\KnownHosts.txtcon un editor de texto. -
Localice y elimine las líneas relacionadas con el agente afectado.
Ejemplos:
mi.estacióndeagente.local 64011 4F4EA3E046F95327373587C3D1DB2537866A8D59765D00AD82256A6F5A19808Bmi.estacióndeagente.local 64010 4F4EA3E046F95327373587C3D1DB2537866A8D59765D00AD82256A6F5A19808B -
Guarde el archivo. No es necesario reiniciar el servidor.
- Vuelva a conectarse para comprobar que ya no se produce el error.
- Después de una conexión exitosa, el servidor regenerará el archivo
KnownHosts.txtcon la huella digital correcta.
- En el archivo del servidor, abra el archivo
Contenido relacionado