Доступ к веб-консоли UserGate UTM регулируется с помощью создания дополнительных учетных записей администраторов, назначения им ролей, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Для создания дополнительных учетных записей администраторов устройства необходимо:
|
Наименование |
Описание |
|
Шаг 1. Создать пользователя |
В разделе Управление устройствомàАдминистраторы UTM нажать кнопку Добавить |
|
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей: * Вкл -- включает пользователя * Логин -- имя учетной записи пользователя * Пароль и подтверждение пароля -- пароль учетной записи * E-mail -- адрес электронной почты администратора * Роль -- уровень доступа администратора к системе. Роли могут быть: |
Важно! При первоначальной настройке UserGate UTM создается суперпользователь с именем по умолчанию Admin. Только этот пользователь может создавать учетные записи других администраторов.
Важно! Для усиления защиты UTM не рекомендуется использовать имя Admin для суперпользователя.
Администратор UTM может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.
Для настройки этих параметров необходимо:
|
Наименование |
Описание |
|
Шаг 1. Настроить политику паролей |
В разделе Управление устройствомàАдминистраторы UTM нажать кнопку Настроить |
|
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей: * Сложный пароль -- должен содержать как минимум один символ в верхнем регистре, как минимум один символ в нижнем регистре, как минимум одну цифру, как минимум один специальный символ, при этом длина пароля должна быть больше или равна восьми символам * Число неверных попыток аутентификации -- количество неудачных попыток аутентификации администратора, после которого учетная запись заблокируется на Время блокировки * Время блокировки -- время, на которое блокируется учетная запись |
Важно! Для усиления защиты UTM рекомендуется использовать политику сложных паролей и настроить блокировку учетных записей администраторов UTM при превышении количества неуспешных попыток авторизации.
Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).
Важно! Не рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет. Для управления UTM рекомендуется использовать физически выделенную сеть, к которой имеют доступ только доверенные администраторы.
Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.
Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):
|
Наименование |
Описание |
|
Шаг 1. Создать учетные записи дополнительных администраторов |
Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54 |
|
Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли |
Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами. Например, для создания УЦ с помощью утилиты openssl необходимо выполнить команды: В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem -- публичный ключ. Импортировать публичный ключ в UserGate UTM. |
|
Шаг 3. Создать сертификаты для учетных записей администраторов |
С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UTM. Для openssl и пользователя Administrator54 команды будут следующими: |
|
Шаг 4. Подписать сертификаты администраторов сертификатом удостоверяющего центра, созданным на шаге 2 |
С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли Для openssl команды будут следующими: Файл admin.p12 содержит подписанный сертификат администратора |
|
Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль |
Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС |
|
Шаг 6. Переключить режим авторизации веб-консоли в авторизацию по сертификатам x.509 |
В разделе Настройки изменить Режим авторизации веб-консоли на По X.509 сертификату. |