Описание урока
В девятом видеоуроке расскажем о развертывании и управлении UserGate Management Center. А также настроим шаблоны для межсетевого экрана и контентной фильтрации.

Статья 12: Management Center

Usergate MC считается дополнительным компонентом для NGFW, который позволяет управлять парком устройств. Management Center представляет единую платформу управления и нужен в компаниях с географически распределённой филиальной сетью.
Основная задача Management Center – единое управление шлюзами Usergate и централизованное распространение политик и конфигураций.

Принципы функционирования:


Usergate MC работает с управляемыми областями, которые представляют собой предприятие или группу предприятий. Каждой области назначается свой администратор.

Пример UGMC с несколькими управляемыми областями:
Для управления МЭ Usergate в одной организации достаточно создать одну управляемую область.

Настройка параметром шлюзов производится с помощью шаблонов. Шаблон — это базовый блок, с помощью которого настраиваются все параметры работы устройств, такие как сетевые настройки, правила межсетевого экрана, контентной фильтрации, системы обнаружения вторжений и других. Шаблоны могут объединяться в группы для создания единой конфигурации устройств, что упрощает централизованное управление. Специфичные настройки можно отнести в отдельную группу шаблонов и добавлять по мере необходимости. Результирующей настройкой становится слияние всех шаблонов.

Установка Usergate Management Center

Установка Usergate MC ничем не отличается от установки NGFW.

Минимальные требования к виртуальной машине:

  • CPU: 2

  • RAM: 8 Gb

  • HDD: 100 Gb

Подключение к Usergate Management Center

Для доступа к консоли необходимо ввести логин: Admin/system и пароль: utm. После установки необходимо задать ip-адрес (если не используется dhcp) для подключения к веб-консоли. Команда выглядит следующим образом: iface config -name port0 -ipv4 <ip-адрес/маска> -enable true -mode static
Далее подключаемся к веб-интерфейсу, используя заданный ip-адрес по порту 8010 и завершаем установку.

Настройка Usergate Management Center

Подключившись к MC необходимо установить лицензию. Для этого во вкладке «Дашборд» необходимо нажать на «Незарегистрированная версия» и ввести данные о лицензии.

На MC, также как и на LogAn, по умолчанию создано две зоны: Management (для подключения доверенных сетей, из которых разрешено управление MC) и Trusted (для подключения управляемых устройств и получения доступ в сеть интернет.).

Для дальнейший эксплуатации устройства необходимо настроить сеть:

1. Настроить сетевые интерфейсы. Необходимо задать ip-адрес интерфейсу из зоны Trusted. Для этого: «Сеть» – «Интерфейсы» – задать ip-адрес интерфейсу «port1»
2. Настроить шлюз по умолчанию. Есть «port1» получает ip-адрес по dhcp, то шлюз настроится автоматически.

Создание управляемых областей

Создание областей происходит в следующем порядке:

1. Создание области

Для этого в разделе «Области» необходимо выбрать «Добавить» и заполнить данные.
  • «Область по умолчанию» – если включено, то необязательно указывать код области через слэш.

  • «Код области» – код, который необходимо указывать для входа в веб-консоль (например, Admin/TSS).

  • «Количество устройств» – максимально количество устройств, которое может быть добавлено администратором в данную область.

2. Создание профиля администратора

При создании профиля администратора необходимо указать тип администратора – администратор области, а в качестве управляемой области указать созданную область.

Переходим в «Администраторы» – «Профили администраторов» – «Добавить».
3. Создание администратора

Для создания администратора области необходимо выбрать данный профиль администратора области.

Переходим в «Администраторы» – «Добавить».
После создания области и администратора данной области можно переключиться в режим управления данной областью. Для этого необходимо выйти из-под учетной записи администратора MC и авторизироваться под администратором области. В нашем случае логин администратора области: EPetrov/TSS.

Управление межсетевыми экранами Usergate

Централизованное управление устройствами Usergate можно разделить на 3 этапа:

1. Создание шаблона или нескольких шаблонов, которые описывают свою часть настроек

2. Объединение необходимых шаблонов в группу шаблонов в требуемом порядке для получения результирующей настройки устройств.

3. Добавление управляемых устройств и применение к ним группы шаблонов.

Перейдем к созданию шаблонов. Для этого необходимо в разделе «Шаблоны устройств» создать шаблоны.
Далее в разделе верхнего меню перейти в «Управление шаблонами» и в выпадающем меню выбрать необходимый шаблон.
Настройки параметров шаблона отображаются в виде дерева, аналогично тому, как они представлены в МЭ UserGate. При настройке параметров следует придерживаться следующих правил:

  • Если какие-либо параметры не определены в шаблоне, то на межсетевой экран они не передадутся. В такой ситуации на NGFW будет использоваться локальная конфигурация.

  • Если параметры настроены в шаблоне, то данные настройки переопределят значения такой же локальной настройки на NGFW.

  • Правила политик не изменяют локальные политики, а добавляются к существующим.

  • При настройке сетевых интерфейсов нельзя настроить «port0», так как этот интерфейс настраивается локальным администратором.

  • Рекомендуется создавать отдельные шаблоны для разных групп настроек. Это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к УУ. Например, шаблон сетевых настроек, шаблон правил межсетевого экрана, шаблон правил контентной фильтрации, шаблон библиотек и т.д.

По умолчанию уже создан шаблон «Usergate Libraries template», в котором настроены «Зоны», «Сервисы», «Календари», «Полосы пропускания» и «Профили SSL».
Настроим шаблоны для межсетевого экрана и контентной фильтрации.

Межсетевой экран

Реализуем концепцию SOAR. Установим правило, блокирующее коммуникации с хостом, в случае атаки на этот хост. Данное правило распространим на все устройства Usergate.

Для этого необходимо создать сценарий. Подробнее об этом было рассказано ранее в статье про SOAR.

При внесении каких-либо изменений в шаблон, рядом с измененным разделом появляется сигнализирующий знак.
Далее необходимо создать правило фильтрации. Возможно два варианта:

  • Пре-правила – правила, расположенные выше локальных правил межсетевого экрана;

  • Пост-правила – правила, расположенные ниже локальных правил межсетевого экрана.

Общая политика будет выглядеть следующим образом:
В нашем случае необходимо создать пре-правило.

Контентная фильтрация

Установим шаблон, блокирующий следующие категории:
Настроенные шаблоны необходимо объединить в группу.
Следующий этап настройки – добавить управляемые устройства. Для этого:

1. На сервере MC разрешить «Сервис Usergate Management Center» зону, к которой будут подключаться устройства. В нашем случае NGFW, расположенный в центральном офисе, будет подключаться через зону Management, а NGFW, расположенный в филиале – через Trusted. Данная настройка происходит через администратора MC.
MC слушает подключения от NGFW на портах TCP 2022 и 9712. Передача данных между MC и NGFW осуществляется по зашифрованному каналу.

2. Через администратора области добавить управляемые устройства. При добавлении необходимо указать группы добавляемых шаблонов.
3. Для осуществления связи NGFW с MC необходимо на стороне MC:

У добавленного устройства скопировать уникальный код устройства.
Данный код необходимо ввести на NGFW в разделе «Настройки» – «Агент Usergate Management Center»
Тоже самое необходимо сделать со вторым устройством.

В результате в Management Center появится информация о данных устройствах и будет применена политика, настроенная в шаблонах.
Настроенные политики будут отображаться следующим образом:

Заключение

Развертывание Usergate Management Center на предприятии требует тщательного планирования. От того, насколько качественно продумана архитектура шаблонов и групп шаблонов, зависит простота и гибкость применения политик управления на NGFW Usergate.

Единое управление парком географически распределенных устройств Usergate снижает расходы на сопровождение и систематизирует конфигурирование NGFW.

Совокупность устройств NGFW, LogAn и MC существенно автоматизирует работу администратора безопасности. В дальнейшем, когда LogAn станет SIEM системой, можно смело говорить, что связка NGFW+LogAn+MC организует полноценный Security Operation Center.

Автор статьи: Дмитрий Лебедев, инженер TS Solution.