Saltar al contenido principal
Version: 26.4

Red y seguridad

FlexxAgent, en su funcionamiento habitual, requiere de una serie de requisitos de red para conectarse a los servicios de orquestación cloud y soportar proxies, así como ecosistemas de red complejos.

Antes de proceder al despliegue de FlexxAgent en los dispositivos, se recomienda validar que a nivel de red estos pueden acceder a los destinos definidos en direcciones URL y puertos.

Uso de ancho de banda

Proceso FlexxAgent

Cuando FlexxAgent arranca, recolecta y envía un reporte inicial aproximado de 75 KB; a partir de ese momento, envía reportes diferenciales de aproximadamente 3-4 KB. Este proceso se ocupa de ejecutar las acciones a demanda o automáticas en el dispositivo. En esos momentos el tráfico de red podría incrementarse.

Proceso FlexxAgent Analyzer

FlexxAgent Analyzer recopila información de la sesión del usuario cada 15 segundos, como los consumos de aplicaciones, el uso de recursos y demás. Y agrega esta información en ficheros de aproximadamente 35-50 KB, que son enviados a las consolas cada 5 minutos, aunque el tiempo puede cambiar en funcionalidades específicas.

En sistemas multiusuario, se ejecutará una única instancia de FlexxAgent y tantas instancias de FlexxAgent Analyzer como sesiones de usuario tenga el sistema.

Direcciones URL y puertos requeridos

En cuanto a comunicaciones, FlexxAgent debe ser capaz de contactar con la capa de orquestación del servicio alojada en internet, que incluye:

URLÁmbitoPuertoRegión
https://west-eu.agent-api.analyzer.flexxible.comAgente443West Europe
https://flexxibleglobal.blob.core.windows.netAgente443West Europe
https://api.ipify.orgAgente443West Europe
tcp://ras.flexxible.comAgente – Flexxible Remote Assistance443West Europe
https://update.workspaces.flexxible.comAgente443West Europe
https://agents-weu.one.flexxible.netAgente443West Europe
https://west-eu-01.agent-api.one.analyzer.flexxible.comAgente443West Europe
https://south-br.agent-api.analyzer.flexxible.com (Solo Brasil)Agente443Brazil South
https://flxsbname***.servicebus.windows.netAgente443West Europe
https://flxiothub***.azure-devices.netAgente443West Europe
nota

En las dos últimas URL, los tres asteriscos (***) representan un identificador dinámico y único con una longitud de 9 a 15 caracteres alfanuméricos, proporcionado por Flexxible.

Dependiendo de las capacidades del dispositivo de seguridad, las excepciones de URL pueden configurarse utilizando expresiones regulares (RegEx) o comodines (wildcards).

Ejemplos de excepciones usando expresiones regulares (Regex)

^https://flxsbname[a-zA-Z0-9]{9,15}.servicebus.windows.net$
^https://flxiothub[a-zA-Z0-9]{15,24}.azure-devices.net$

Ejemplos de excepciones usando comodines (wildcards)

https://flxsbname*
https://flxiothub*

Seguridad

Para garantizar una buena experiencia de usuario, en algunos casos será necesario configurar exclusiones en el antivirus; sin embargo, si no se gestionan de forma adecuada, estas exclusiones pueden suponer un riesgo de seguridad.

Por ese motivo, se aconseja realizar análisis periódicos de los archivos y carpetas que hayan sido excluidos del escaneo del antivirus. Tanto Microsoft como Flexxible recomiendan:

  • Utilizar una solución File Integrity Monitoring (FIM) o Host Intrusion Prevention (HIP) para proteger la integridad de los elementos excluidos del análisis en tiempo real.

  • Si se utiliza Azure Sentinel y Windows Defender no está configurado correctamente, pueden surgir problemas de rendimiento. Desactiva Windows Defender con el siguiente comando de PowerShell:

Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

Exclusiones del antivirus

FlexxAgent debería ser capaz de funcionar correctamente sin configurar excepciones, pero en aquellos entornos más restrictivos es posible que se deban establecer algunas.

Los elementos para excluir del análisis del antivirus son los siguientes:

Carpetas

  • C:\Program Files\Flexxible
  • C:\Windows\Temp\FlexxibleIT\

Procesos

  • FlexxAgent.exe
  • FlexxibleRA.exe
  • FlexxibleRemoteAssistance_XXXX.exe

Archivos

  • C:\Windows\Temp\FlexxAgentInstallation.log
  • C:\Windows\Temp\UpdateFlexxAgent.ps1
  • C:\Windows\Temp\FlexxAgentHealthCheck.log

Deep SSL Inspection

Se debe procurar deshabilitar Deep SSL Inspection para las siguientes URL en aquellos dispositivos que lo tengan como solución de seguridad, en favor del óptimo funcionamiento de FlexxAgent.

Restricción de procesos PowerShell

Algunas soluciones de seguridad no permiten que la instalación y/o autoactualización de FlexxAgent se realice de forma eficaz. Durante el proceso, el instalador podría devolver el mensaje:

The process was terminated with errors. A corrupted installation was detected due to external processes. This is usually caused by antivirus activity. Please check your antivirus settings.

Para solucionarlo, Flexxible recomienda excluir los siguientes elementos:

C:\Windows\Temp\FlexxibleIT

C:\Windows\Temp\UpdateFlexxAgent.ps1

Wake on LAN (WoL)

Wake on LAN (WoL) permite encender dispositivos mediante el envío de un paquete mágico (Magic Packet) que da a la tarjeta de red la orden de encendido. Para poder utilizar esta funcionalidad se requiere:

  • Tarjeta de red compatible
  • Activar WoL en BIOS/UEFI
  • Configurar WoL en el sistema operativo
  • Un dispositivo puente —con FlexxAgent instalado y reportando— en la misma red que el dispositivo que se quiera encender.

WoL opera normalmente dentro de una red local. Puede funcionar entre subredes siempre que no existan restricciones impuestas por firewalls o dispositivos de red que bloqueen la transmisión del paquete mágico. En entornos con segmentación por subredes, es necesario configurar excepciones a nivel de red que permitan el encaminamiento del paquete mágico entre dichas subredes.

Configurar Wake on LAN (WoL) en Windows

Para configurar la funcionalidad de Wake on LAN (WoL) en un dispositivo con sistema operativo Windows, se deben seguir los siguientes pasos:

  1. Verificar si WoL está activo

En la ventana de CMD, ejecutar el siguiente comando:

powercfg /devicequery wake_programmable

  1. Activar WoL

Ejecutar el comando:

powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"

Reemplazar "Realtek PCIe GbE Family Controller" por el nombre del controlador que corresponda.

Flexxible Remote Assistance a través de un proxy

Para la asistencia remota, FlexxAgent usará un proxy cuando esté configurado y accesible.

En caso de que esté configurado con un proxy, pero este no sea accesible en ese momento, se ejecutará Flexxible Remote Assistance con la opción “auto detect” que usará la configuración de salida a internet que tenga configurado el usuario final.

vPro

Si una organización quiere activar vPro, requerirá que el hostname del servidor Flexxible Intel EMA pueda resolverse desde todos sus dispositivos.

URLÁmbitoPuertoRegión
https://iagent.flexxible.comAgente443West Europe

Requisitos para el funcionamiento de vPro mediante un proxy

  • El protocolo de configuración dinámica de hosts (DHCP) debe proporcionar un sufijo DNS (opción 15 del DHCP) que coincida con el dominio del certificado.
  • El proxy debe permitir el método HTTP CONNECT hacia los puertos utilizados.
  • Se debe excluir la URL de Flexxible para evitar una inspección profunda de SSL/TLS en las conexiones de Client Initiated Remote Access (CIRA).
  • El proxy no debe modificar las cabeceras HTTP durante la fase CONNECT.
tip

Para obtener más información sobre vPro, por favor consulta la sección Integraciones.

Direcciones IP estáticas de origen para Webhooks

Si el punto de conexión que recibe los webhooks se encuentra detrás de un cortafuegos o NAT, puede ser necesario permitir las conexiones procedentes de las siguientes direcciones IP estáticas de origen:

  • 52.215.16.239
  • 54.216.8.72
  • 63.33.109.123
  • 2a05:d028:17:8000::/56