актуальные новости и полезные материалы в telegram канале
 
Мои курсы
Описание урока
Во втором уроке подробно рассмотрены политики сети. Для начала работы с UserGate вы познакомитесь с зонами интерфейсов и какие настройки предусмотрены для них. Далее будут рассмотрены библиотеки элементов, каждый элемент будет разобран отдельно.

Вы научитесь создавать правила в разделах "Межсетевой экран", "NAT и маршрутизация" и "Пропускная способность".

Статья 3: Настройка зон

В данной статье шлюз Usergate NGFW является уже развернутым. Подробнее о процессе установки можно посмотреть в вводном уроке.

Зоны

Политики безопасности Usergate используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности, а также существенно упрощает управление отказоустойчивым кластером. Зона в UserGate — это логическое объединение сетевых интерфейсов, на основе их функционального назначения.

По умолчанию в Usergate представлены следующие зоны:

Management
Представляет собой зону для подключения доверенных сетей, для администрирования Usergate.

Trusted
Представляет собой зону для подключения доверенных сетей (LAN-сети).

Untrusted
Представляет собой зону для подключения к недоверенным сетям (Интернет).

DMZ
Представляет собой зону для интерфейсов, подключенных к общедоступному сегменту корпоративной сети (общедоступный веб-сервер, общедоступный почтовый сервер и т.д.).

VPN for Site-to-Site
Зона для организации Site-to-Site VPN.

VPN for remote access
Зона для организации Remote access VPN.

Cluster
Зона для интерфейсов, используемых для работы кластера.
Зоны UserGate
Помимо стандартных зон, возможно создавать свои зоны.

С каждой зоной возможны следующие настройки:

  1. Параметры защиты от DDoS-атак

Агрегировать — считает все пакеты (SYN, UDP, ICMP), пришедшие в интерфейсы данной зоны. Если функция не активирована, то считаются пакеты отдельно для каждого ip-адреса.

Порог уведомления — количество запросов, считающиеся инцидентом, для записи событий в системный журнал. Рекомендованное значение — 300 пакетов в секунду.

Порог отбрасывания пакетов — количество запросов, считающиеся инцидентом, для отбрасывания пакетов и записи событий в системный журнал. Рекомендованное значение 600 пакетов в секунду.

Не редки случаи, когда данные значения надо увеличить. Например, для протокола UDP, если проходит трафик IP-телефонии и L2TP VPN.
Параметры защиты от DDoS-атак
2. Контроль доступа зоны

Во вкладке «Контроль доступа» указываются сервисы, которые будут доступны клиентам, подключенным к данной зоне.

Сервисы:

  • Ping — позволяет пинговать UserGate.
  • SNMP — доступ к UserGate по протоколу SNMP (UDP 161).
  • Captive-портал и страница блокировки — необходимы для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).
  • XML-RPC для управления — позволяет управлять продуктом по API (TCP 4040).
  • Кластер — сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).
  • VRRP — сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).
  • Консоль администрирования — доступ к веб-консоли управления (TCP 8001).
  • DNS — доступ к сервису DNS-прокси (TCP 53, UDP 53).
  • HTTP(S)-прокси — доступ к сервису HTTP(S)-прокси (TCP 8090).
  • Агент авторизации — доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).
  • SMTP(S)-прокси — сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет.
  • POP3(S)-прокси — сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет.
  • CLI по SSH — доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.
  • VPN — доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).
  • SCADA — сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.
  • Reverse-прокси — сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.
  • Web-портал — сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.
  • Log analyzer — сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный сервер UserGate в качестве Log analyzer.
  • OSPF — сервис динамической маршрутизации OSPF.
  • BGP — сервис динамической маршрутизации BGP.
  • NTP service — разрешает доступ к сервису точного времени, запущенному на сервере UserGate.
Контроль доступа
Необходимо внимательно подходить к настройке сервисов. Например, при включенном CLI по SSH сервисе в зоне Untrusted, любой желающий сможет подключиться к шлюзу. Или, без включенного VPN сервиса, не получится организовать VPN-соединение.
3. Защита от IP-спуфинга

IP-спуфинг — атака, заключающаяся в использовании чужого ip-адреса источника с целью обмана системы безопасности. Например, атакующий может подменить свой ip-адрес на внутренний ip-адрес из корпоративной сети.

Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников отличных от указанных будут отброшены.

Галочка «Инвертировать» устанавливает противоположное значение. Например, для зоны Untrusted можно указать диапазоны «серых» IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0./16 и включить опцию «Инвертировать».
Диапазоны IP-адресов

Библиотеки элементов

Этот раздел содержит в себе все записи (ip-адреса, категории сайтов и др.), которые используются при настройке правил.

«Библиотеки» включает себя подразделы, элементы которых можно создавать и редактировать. Некоторые элементы не редактируются, так как поставляются и поддерживаются разработчиками Usergate. Элементы, поставляемые Usergate обновляются, при наличии специальной лицензии.
Библиотеки элементов

Морфология

Морфологический анализ предназначен для распознавания отдельных слов и словосочетаний. Доступ к контенту будет заблокирован, если в тексте содержится достаточное количество указанных слов.

Морфологический анализ входит в лицензию ATP. Данные словари нельзя редактировать:
Есть возможность создать собственный словарь. Данный процесс будет показан в дальнейших статьях.

Сервисы и IP-адреса

Сервисы

В разделе находятся общеизвестные протоколы стека TCP/IP. Первоначальный список сервисов поставляется вместе с продуктом. Помимо доступных протоколов, можно создавать собственные кастомные сервисы.
Протоколы
IP-адреса

Данный раздел содержит список диапазонов ip-адресов.
Диапазоны IP-адресов

Useragent браузеров

Администратор может разрешить или запретить работу только с определенным типом браузеров. Первоначальный список содержит такие типы как (Chrome, Opera, Mozilla Firefox, Safari и другие).
Useragent
Есть возможность создать свои списки. Для этого в панели «Категории» необходимо нажать «Добавить» и ввести название списка. Затем в панели «Шаблоны useragent» добавить необходимые браузеры по типу: «Mozilla/5.0 (Windows) Browser/1.0». Полный список строк шаблонов находится здесь.
Создание списков

Типы контента и списки URL

Типы контента

Фильтрация по типам контента позволяет блокировать загрузку файлов определенного типа. Например, запретить все файлы типа .pdf или .exe.

«Типы контента» входит в лицензию ATP. Списки, поддерживаемые Usergate нельзя редактировать, но есть возможность создавать и редактировать собственные списки. Данный процесс будет разобран дальше.
Списки URL

В разделе содержатся указатели URL, которые используются в правилах контентной фильтрации в качестве белых и черных списков.

«Списки URL» входит в лицензию ATP.

Списки, поддерживаемые Usergate:
Есть возможность создавать собственные списки. Для этого в панели «Списки URL» необходимо нажать «Добавить» и ввести название списка. Затем в панели URL сформировать список, добавляя URL сайтов. В списках можно использовать специальные символы:

«*» — любое количество любых символов.

«^» — начало строки.

«$» — конец строки.

Примеры записей:

Календари, полосы пропускания, профили АСУ ТП, шаблоны страниц

Календари

Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах UserGate.

Полосы пропускания

В данном разделе определяется скорость передачи данных, которую можно использовать в правилах управления полосой пропускания. Более подробно о правилах управления полосой пропускания будет рассказано позже.

Профили АСУ ТП

Раздел содержит набор элементов, состоящий из протоколов и определенных команд АСУ ТП. Профиль АСУ ТП используется в правилах АСУ ТП.

С помощью правил АСУ ТП можно контролировать прохождение трафика технологических процессов через Usergate.

Поддерживаются следующие протоколы АСУ ТП:

  • IEC 104 (ГОСТ Р МЭК 60870-5-104;
  • Modbus;
  • DNP3;
  • MMS;
  • OPC UA.

Шаблоны страниц

С помощью шаблонов страниц администратор может управлять видом страницы блокировки и страницы авторизации Captive-портала. Администратор может использовать разные шаблоны для разных правил фильтрации контента и правил Captive-портала.

Категории URL и измененные категории

Категории URL — элемент библиотеки, позволяющий создавать группы категорий для более удобного использования в правилах фильтрации. Например, создать группы «Бизнес» и помесить в нее необходимые категории.

По умолчанию в Usergate есть следующие категории:
Категории URL
Измененные категории URL

В данном разделе возможно переопределить назначенную Usergate категорию. Такая необходимость может возникнуть, если некорректно категоризирован ресурс.

Для переопределения категории: «Библиотеки» — «Измененные категории URL» — ввести адрес сайта в строку проверки.
Изменение категории
Если полученная категория не совпадает с требуемой, то необходимо нажать «Добавить» и назначить новую категорию.
Назначение новой категории
После этого категория сайта будет обновлена.
Обновлённая категория

Приложения

В разделе есть возможность создавать группы приложений для более удобного использования в правилах фильтрации. Приложения можно отфильтровать по уровню угрозы, группе приложений и технологии:
Фильтры приложений

Почтовые адреса и номера телефонов

Почтовые адреса

Позволяет создавать группы почтовых адресов, которые можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях.

Номера телефонов

Используется для создания групп номеров, которые будут включены в правила оповещения.

Профили СОВ

Профиль СОВ представляет собой набор сигнатур для защиты определенных сервисов. Сама система обнаружения вторжений будет разобрана в последующих статьях.
Профиль COB

Профили оповещений

Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям.

Поддерживается 2 типа транспорта:

  • SMTP, доставка сообщений с помощью e-mail;

  • SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки.

Профили Netflow

В разделе указываются параметры для отправки данных на коллектор Netflow.
Netflow

Профили SSL

Здесь указаны протоколы SSL и отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем применяются при инспектировании SSL. Подробнее о SSL-инспекции будет рассказано в последующих статьях.

По умолчанию создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости.
Профили SSL

Заключение

Данная статья носит теоретический характер. Она дает представление о том, с чем работают политики сети и безопасности. В следующей статье мы как раз и рассмотрим политики сети.

Автор статьи: Дмитрий Лебедев, инженер TS Solution.

Статья 4: Политики сети

Приветствую читателей в новой статье цикла UserGate Getting Started, где рассказывается о NGFW решении от компании UserGate. Сейчас мы более подробно рассмотрим создание правил в разделах, таких как "Межсетевой экран", "NAT и маршрутизация" и "Пропускная способность".

Идеология работы правил UserGate, такая что правила выполняются сверху вниз, до первого сработавшего. Исходя из вышеописанного следует, что более специфичные правила должны, быть выше более общих правил. Но следует заметить, так как правила проверяются по порядку, то в плане производительности лучше создавать общие правила. Условия при создании любого правила применяются согласно логике "И". Если необходимо использовать логику "ИЛИ", то это достигается путем создания нескольких правил. Так что описанное в данной статье применимо и к другим политикам UserGate.

Межсетевой экран

После установки UserGate в разделе "Межсетевой экран" уже есть простая политика. Первые два правила запрещают трафик для бот-сетей. Далее следуют примеры правил доступа из различных зон. Последнее правило всегда называется "Блокировать все" и помечено символом замка (он означает что правило нельзя удалить, изменить, переместить, отключить, для него можно только включить опцию журналирования). Таким образом, из-за этого правила весь явно не разрешенный трафик будет блокироваться последним правилом.
Раздел межсетевой экран
При редактировании или создании правила для межсетевого экрана первая вкладка "Общие", на ней нужно выполнить следующие действия:

  • Чекбоксом "Вкл" включить или выключить правило.
  • Ввести название правила.
  • Задать описание правила.

Выбрать из двух действий:

  • Запретить — блокирует трафик (при задании данного условия есть возможность посылать ICMP host unreachable, нужно всего лишь установить соответствующий чекбокс).
  • Разрешить — разрешает трафик.

Пункт сценарий — позволяет выбрать сценарий, который является дополнительным условием для срабатывания правила. Так компания UserGate реализует концепцию SOAR (Security Orchestration, Automation and Response).

Журналирование — записать в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Применить правило к:

  • Всем пакетам.
  • Фрагментированным пакетам.
  • Нефрагментированным пакетам.

При создании нового правила можно выбрать место в политике.

Следующая вкладка "Источник". Здесь мы указываем источник трафика это может быть зона, с которой поступает трафик, либо можно указать список или конкретный ip-адрес (Geoip). Практически во всех правилах, которые можно задать в устройстве объект можно создать из правила, например не переходя в раздел "Зоны" можно кнопкой "Создать и добавить новый объект" создать нужную нам зону. Также часто встречается чекбокс "Инвертировать", он меняет в условии правила действие на противоположное, что аналогично логическому действию отрицание.
Вкладка "Назначение" похожа на вкладку источник, только вместо источника трафика задаем назначение трафика.
Вкладка "Пользователи" — в этом месте можно добавить список пользователей или групп, для которых применяется данное правило.
Вкладка "Сервис" — выбираем тип сервиса из уже предопределенного или можно задать свой собственный.
Вкладка "Приложение" — здесь выбираются конкретные приложения, либо группы приложений.
Во вкладке "Время" указываем время, когда данное правило активно.

С прошлого урока у нас есть правило для выхода в интернет из зоны "Trusted".
Теперь я покажу в качестве примера, как создать запрещающее правило для ICMP трафика из зоны "Trusted" в зону "Untrusted".
Для начала создаем правило нажав на кнопку "Добавить". В открывшемся окне на вкладке общие заполняем название (Запрет ICMP из trusted в untrusted), устанавливаем галочку в чекбокс "Вкл", выбираем действие запретить и самое главное правильно выбираем место расположения данного правила. В соответствии с моей политикой, это правило должно располагаться выше правила "Allow trusted to untrusted":
Создание запрещающего правила
На вкладке "Источник" для моей задачи возможно два варианта:

  • Выбрав зону "Trusted"
  • Выбрав все зоны кроме "Trusted" и поставив галочку в чекбоксе "Инвертировать"
Вкладка источник: 1ый вариант
Вкладка источник: 2ой вариант
Вкладка "Назначение" настраивается аналогично вкладке "Источник".

Далее переходим на вкладку "Сервис", так как в UserGate есть предопределенный сервис для ICMP трафика, то мы, нажимая кнопку "Добавить" выбираем из предложенного списка сервис с названием "Any ICMP":
Вкладка сервис

NAT и маршрутизация

При создании правил NAT мы видим несколько похожих вкладок, как и для межсетевого экрана. На вкладке "Общие" появилось поле "Тип", оно позволяет выбрать за что будет отвечать данное правило:

  • NAT — Преобразование сетевых адресов.
  • DNAT — Перенаправляет трафик на указанный IP-адрес.
  • Порт-форвардинг — Перенаправляет трафик на указанный IP-адрес, но позволяет изменять номер порта публикуемого сервиса.
  • Policy-based routing — Позволяет маршрутизировать IP-пакеты на основе расширенной информации, например, сервисов, MAC-адресов или серверов (IP-адресов).
  • Network mapping — Позволяет произвести замену IP-адресов источника или назначения одной сети на другую сеть.
После выбора соответствующего типа правила будут доступны настройки к нему.

В поле SNAT IP (внешний адрес) мы явно указываем IP-адрес, на который будет заменен адрес источника. Данное поле нужно при наличии нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения. UserGate рекомендует указывать SNAT IP для повышения производительности работы межсетевого экрана.

Для примера опубликую SSH сервис сервера Windows, находящегося в зоне "DMZ" при помощи правила "порт-форвардинг". Для этого нажимаем кнопку "Добавить" и заполняем вкладку "Общие", указываем название правила "SSH to Windows" и тип "Порт-форвардинг":
Публикация SSH-сервиса
На вкладке "Источник" выбираем зону "Untrusted" и переходим к вкладке "Порт-форвардинг". Здесь мы должны указать протокол "TCP" (доступно четыре варианта — TCP, UDP, SMTP, SMTPS). Оригинальный порт назначения 9922 — номер порта, на который пользователи шлют запросы (нельзя использовать порты: 2200, 8001, 4369, 9000-9100). Новый порт назначения (22) — номер порта, на который будут пересылаться запросы пользователей на внутренний публикуемый сервер.
Вкладка "Порт-форвардинг"
На вкладке "DNAT" задаем ip-адрес компьютера в локальной сети, который публикуется в интернете (192.168.3.2). И опционально можно включить SNAT, тогда UserGate будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
Вкладка "DNAT"
После всех настроек получается правило, которое позволяет получить доступ из зоны "Untrusted" к серверу с ip-адресом 192.168.3.2 по протоколу SSH, используя при подключении внешний адрес UserGate.
Правило

Пропускная способность

В данном разделе задаются правила для управления пропускной способностью. Они могут использоваться для ограничения канала определенных пользователей, хостов, сервисов, приложений.
Управление пропускной способностью
При создании правила условиями на вкладках определяем трафик, к которому применяются ограничения. Полосу пропускания можно выбрать из предложенных, либо задать свою. При создании полосы пропускания можно указать метку приоритезации трафика DSCP. Пример того, когда применяется метки DSCP: указав в правиле сценарий, при котором применяется данное правило, то данное правило может автоматически изменить эти метки. Еще один пример работы сценария: правило сработает для пользователя только когда обнаружен торрент или объем трафика превысит заданный предел. Остальные вкладки заполняем так, как и в других политиках, исходя из типа трафика, к которому должно быть применено правило.
Создание полосы пропускания
Автор статьи: Артем Дегула, инженер TS Solution.
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
Сертифицироваться