Considerações de rede e segurança
FlexxAgent, em seu funcionamento habitual, requer uma série de requisitos de rede para se conectar aos serviços de orquestração cloud e suportar proxies, assim como ecossistemas de rede complexos.
Antes de proceder ao deploy do FlexxAgent nos dispositivos, recomenda-se validar que a nível de rede estes podem acessar os destinos definidos em URLs e portas.
Uso de largura de banda
Processo FlexxAgent
Quando o FlexxAgent inicializa, ele coleta e envia um relatório inicial de aproximadamente 75 KB; a partir desse momento, envia relatórios diferenciais de aproximadamente 3-4 KB. Este processo é responsável por executar as ações sob demanda ou automáticas no dispositivo. Nesse momento, o tráfego de rede pode aumentar.
Processo FlexxAgent Analyzer
O FlexxAgent Analyzer coleta informações da sessão do usuário a cada 15 segundos, como consumo de aplicativos, uso de recursos e muito mais. E adiciona essa informação em arquivos de aproximadamente 35-50 KB, que são enviados às consoles a cada 5 minutos, embora o tempo possa variar em funcionalidade específicas.
Em sistemas multiusuário, será executada uma única instância do FlexxAgent e tantas instâncias do FlexxAgent Analyzer quantas sessões de usuário o sistema tiver.
URLs e portas necessárias
Em termos de comunicação, o FlexxAgent deve ser capaz de entrar em contato com a camada de orquestração do serviço hospedado na Internet, que inclui:
URL | Âmbito | Porta | Região | Produto |
---|---|---|---|---|
https://flxsbname\*\*\*.servicebus.windows.net | Agente | 443 | Europa Ocidental | FXXOne, FlexxClient e FlexxDesktop |
https://flxiothub\*\*\*.azure-devices.net | Agente | 443 | Europa Ocidental | FXXOne, FlexxClient e FlexxDesktop |
https://west-eu.agent-api.analyzer.flexxible.com | Agente | 443 | Europa Ocidental | FXXOne, FlexxClient e FlexxDesktop |
https://flexxibleglobal.blob.core.windows.net | Agente | 443 | Europa Ocidental | FXXOne, FlexxClient e FlexxDesktop |
https://api.ipify.org | Agente | 443 | Europa Ocidental | FXXOne, FlexxClient e FlexxDesktop |
https://ras.flexxible.com | Agente – Assistência Remota | 443 | Europa Ocidental | FXXOne, FlexxClient e FlexxDesktop |
https://update.workspaces.flexxible.com | Agente | 443 | Europa Ocidental | FXXOne, FlexxClient e FlexxDesktop |
https://agents-weu.one.flexxible.net | Agente | 443 | Europa Ocidental | FXXOne |
https://agents-weu.flexxible.net | Agente | 443 | Europa Ocidental | FlexxClient e FlexxDesktop |
https://west-eu-01.agent-api.one.analyzer.flexxible.com | Agente | 443 | Europa Ocidental | FXXOne |
*** identificador único fornecido pela Flexxible.
Segurança
Para garantir uma boa experiência do usuário, em alguns casos será necessário configurar exclusões no antivírus; no entanto, se não forem geridas de forma adequada, essas exclusões podem representar um risco de segurança.
Por esse motivo, recomenda-se realizar análises periódicas dos arquivos e pastas que tenham sido excluídos da varredura do antivírus. Tanto a Microsoft quanto a Flexxible recomendam:
-
Utilizar uma solução de Monitoramento de Integridade de Arquivos (FIM) ou Prevenção de Intrusão do Host (HIP) para proteger a integridade dos elementos excluídos da análise em tempo real.
-
Se estiver usando o Azure Sentinel e o Windows Defender não estiver configurado corretamente, podem surgir problemas de desempenho. Desative o Windows Defender com o seguinte comando do PowerShell:
Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Exclusões do antivírus
Os elementos a serem excluídos da análise do antivírus são os seguintes:
Pastas
C:\Program Files\Flexxible
Processos
FlexxAgent.exe
FlexxibleRA.exe
FlexxibleRemoteAssistance_XXXX.exe
Inspeção Profunda SSL
Para soluções de segurança como Deep SSL Inspection (Inspeção Profunda de SSL) ou Trend Micro, devem ser levadas em consideração as indicações descritas a seguir, em favor do funcionamento ideal do FlexxAgent.
Deve-se procurar desativar o Deep SSL Inspection para as seguintes URLs naqueles dispositivos que o tenham como solução de segurança:
- https://flxsbname\*\*\*.servicebus.windows.net
- https://flxiothub\*\*\*.azure-devices.net
- https://agents-weu.flexxible.net
- https://ras.flexxible.com
Restrição de processos PowerShell
Algumas soluções de segurança não permitem que a instalação e/ou autoatualização do FlexxAgent seja realizada de forma eficaz, como é o caso do Trend Micro.
Durante o processo, o instalador pode retornar a mensagem:
O processo foi terminado com erros. Uma instalação corrompida foi detectada devido a processos externos. Isso geralmente é causado pela atividade do antivírus. Por favor, verifique as configurações do seu antivírus.
Para resolver, a Flexxible recomenda excluir os seguintes arquivos do dispositivo:
C:\Windows\Temp\FlexxibleIT
C:\Windows\Temp\UpdateFlexxAgent.ps1
Wake on LAN (WoL)
Wake on LAN permite ligar dispositivos por meio do envio de um Magic Packet que dá à placa de rede a ordem de ligar. Para utilizar esta funcionalidade é necessário:
- Placa de rede compatível
- Ativar WoL na BIOS/UEFI
- Configurar WoL no sistema operacional
- Um dispositivo
Ponte
na mesma rede que o dispositivo que se deseja ligar, com FlexxAgent instalado e relatando
Wake on LAN (WoL) opera normalmente dentro de uma rede local, e pode funcionar entre sub-redes, desde que não existam restrições impostas por firewalls ou dispositivos de rede que bloqueiem a transmissão do pacote mágico (Magic Packet). Em ambientes com segmentação por sub-redes, é necessário configurar exceções a nível de rede que permitam o encaminhamento do Magic Packet entre essas sub-redes.
Configurar Wake on LAN (WoL) no Windows
Para configurar a funcionalidade de Wake on LAN (WoL) em um dispositivo com sistema operacional Windows, devem ser seguidos os seguintes passos:
- Verificar se WoL está ativado
Na janela do CMD, executar o seguinte comando:
powercfg /devicequery wake_programmable
- Ativar WoL
Executar o comando:
powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"
Substitua "Realtek PCIe GbE Family Controller" pelo nome do controlador correspondente.
Assistência remota através de proxy
Para a assistência remota, o FlexxAgent usará proxy quando estiver configurado e acessível.
Caso esteja configurado com proxy mas ele não seja acessível no momento, a assistência remota será iniciada com a opção “detecção automática” que usará a configuração de saída para a internet que o usuário final tiver configurado.