6.1. Настройка зон

Management

Зона для подключения доверенных сетей, из которых разрешено управление UserGate LogAn.

Trusted

Зона для подключения доверенных сетей, например, LAN-сетей. Предполагается, что через зону Trusted LogAn будет подключен в сеть, через которую шлюзы UserGate будут отсылать на него журналы, а также через которую LogAn получит доступ в интернет.

Шаг 1. Создать зону

Нажать на кнопку Добавить и дать название зоне.

Шаг 2. Настроить параметры защиты зоны от DoS (опционально)

Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:

• Порог уведомления - при превышении количества запросов с одного IP-адреса над указанным значением происходит запись события в системный журнал.

• Порог отбрасывания пакетов - при превышении количества запросов с одного IP-адреса над указанным значением UserGate LogAn начинает отбрасывать пакеты, поступившие с этого IP-адреса, и записывает данное событие в системный журнал.

Рекомендованные значения для порога уведомления - 300 запросов в секунду, для порога отбрасывания пакетов - 600 запросов в секунду.

Исключения защиты от DoS - позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для шлюзов UserGate, которые могут слать большой объем данных на сервера LogAn.

Шаг 3. Настроить параметры контроля доступа зоны (опционально)

Указать предоставляемые UserGate LogAn сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы.

Сервисы:

• Ping - позволяет пинговать UserGate LogAn.

• SNMP - доступ к UserGate LogAn по протоколу SNMP (UDP 161).

• XML-RPC для управления - позволяет управлять продуктом по API (TCP 4040).

• Консоль администрирования - доступ к веб-консоли управления (TCP 8010).

• CLI по SSH - доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.

• Log Analyzer -- сервис анализатора журналов Log Analyzer. Необходимо разрешить на зонах, с которых LogAn будет получать данные от серверов UserGate (TCP 22699 -- для серверов UserGate версии 6.1.х; TCP 22711 - для серверов UserGate версии 7.0.х, использующих SSL для передачи данных).

• Сборщик логов - сервис для разрешения сбора информации с удалённых устройств по протоколу Syslog (по умолчанию используется порт 514).

Подробнее о требованиях сетевой доступности читайте в Приложение 1. Требования к сетевому окружению.

Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально)

Атаки на основе IP-спуфинга позволяют передать пакет из одной сети, например, из Trusted, в другую, например, в Management. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес необходимой сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес.

Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.

С помощью чекбокса Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 и включить опцию Инвертировать.