UserGate 6

База знаний

1. Способы внедрения межсетевого экрана UserGate

Решение UserGate, может быть внедрено в сеть несколькими разными способами. В зависимости от выбранного варианта подключения, определенный функционал может быть не доступен. Ниже мы рассмотрим большинство доступных вариантов.

Опции подключения решения UserGate включают следующие:

  • L3-L7 брандмауэр.

  • L2 прозрачный мост.

  • L3 прозрачный мост.

  • Виртуально в разрыв, с применением протокола WCCP.

  • Виртуально в разрыв, с применением Policy Based Routing.

  • Router on a Stick.

  • Явно заданный WEB-прокси.

  • UserGate как шлюз по умолчанию.

  • Мониторинг Mirror-порта.

1.1. Настройка UserGate с одним интерфейсом

Подключите интерфейс port0 UserGate к коммутатору локальной сети, подключите монитор и клавиатуру (в случае аппаратной платформы) и включите питание.

При первом включении UserGate подтвердите начальную инициализацию.

При наличии в сети DHCP-сервера выделенный адрес интерфейса будет отображён в веб-консоли, при отсутствии DHCP-сервера задайте адрес интерфейса командой CLI-консоли:

  • Для UserGate версий 6.1.х:

    UTM> iface config -name port0 -ipv4 A.B.C.D/M -enabled true -mode static

где A.B.C.D/М - выделенный адрес и маска локальной сети.

С компьютера локальной сети откройте в браузере в веб-консоль по ссылке https://A.B.C.D:8001/, где A.B.C.D - назначенный или выделенный адрес интерфейса UserGate.

При первом подключении к веб-консоли выберите язык, часовой пояс и задайте логин/пароль администратора (всё это можно будет позже изменить).

В веб-консоли проверьте настройки шлюза по умолчанию (Настройки --> Сеть --> Шлюзы) и DNS и (Настройки --> Сеть --> DNS), при необходимости задайте.

Примечание

Шлюз - это маршрут во внешнюю сеть, если в локальной сети есть сегменты, отделённые другими маршрутизаторами - создайте необходимые маршруты на странице Настройки --> Сеть --> Виртуальный маршрутизатор. Если адрес интерфейса был назначен по DHCP - в свойствах интерфейса port0 (Настройки --> Сеть --> Интерфейсы) измените режим с DHCP на Статический.

Зарегистрируйте продукт для чего кликните по надписи Незарегистрированная версия в верхней части экрана и введите необходимую информацию.

Успешная регистрация является подтверждением правильных настроек параметров сети.

На вкладке Настройки --> Сеть --> Зоны откройте свойства зоны Trusted и отметьте чекбокс Консоль администрирования на вкладке Контроль доступа. Далее во вкладке Настройки --> Сеть --> Интерфейсы в свойствах интерфейса port0 выберите зону Trusted.

Перейдите в раздел Настройки --> Политики сети --> Межсетевой экран. В свойствах предустановленного правила Allow trusted to untrusted во вкладке Назначение отключите чекбокс Untrusted и включите правило.

В разделе Настройки --> Политики сети --> NAT и маршрутизация в свойствах предустановленного правила NAT from Trusted to Untrusted измените зону назначения с Untrusted на Trusted и включите правило.

Настройка параметров сети UserGate выполнена, для фильтрации трафика пользователей вы можете указать адрес UserGate как HTTP-прокси (по умолчанию порт 8090) или как шлюз по умолчанию.

1.2. Настройка UserGate с двумя интерфейсами

Данный способ внедрения решения UserGate является рекомендованным. В данной схеме UserGate выступает полноценным узлом в сети, реализующим функции пограничного маршрутизатора с возможностью глубокого анализа пакетов и применения политик фильтрации контента на уровнях 3-7 сетевой модели OSI.

Описываемый способ внедрения также позволяет использовать решение в качестве явного прокси для конфигурирования ПО, установленного на клиентских хостах сети.

В данной конфигурации, в малых сетях, шлюзом по умолчанию на конечных узлах сети указывается IP-адрес решения UserGate. В более сложных сетях решение выступает шлюзом по умолчанию для маршрутизаторов Core уровня.

Так как в данном сценарии UserGate маршрутизирует трафик между различными интерфейсами, вам потребуется назначить IP-адрес на каждый интерфейс.

Для настройки работы UserGate в данном режиме вам потребуется произвести следующие настройки:

  • Задать IP-адреса для каждого из физически скоммутированных интерфейсов.

  • Задать настройки маршрутизации.

  • Задать настройки Domain Name Services (DNS).

Для настройки IP-адресов, необходимо определить, какие физические интерфейсы скоммутированы. Номера интерфейсов на устройстве, либо в виртуальной машине напрямую соответствуют интерфейсам в консоли администратора. Например, интерфейс “0” на устройстве, будет соотнесен с интерфейсом “port0” в консоли администратора.

Подключите интерфейс port0 UserGate к коммутатору локальной сети, к интерфейсу port1 подключите кабель от провайдера, подключите монитор и клавиатуру (в случае аппаратной платформы) и включите питание.

При первом включении UserGate подтвердите начальную инициализацию.

При наличии в локальной сети DHCP-сервера выделенный адрес интерфейса будет отображён в веб-консоли, при отсутствии DHCP-сервера задайте адрес интерфейса командой CLI-консоли (A.B.C.D/М - выделенный адрес и маска локальной сети):

  • Для UserGate версий 6.1.х:

    UTM> iface config -name port0 -ipv4 A.B.C.D/M -enabled true -mode static

С компьютера локальной сети откройте в браузере в веб-консоль по ссылке https://A.B.C.D:8001/ где A.B.C.D - назначенный или выделенный адрес интерфейса UserGate.

При первом подключении к веб-консоли выберите язык, часовой пояс и задайте логин/пароль администратора (всё это можно будет позже изменить).

На вкладке Настройки --> Сеть --> Интерфейсы в свойствах интерфейса port1 задайте IP-адрес и маску и включите интерфейс. Настройте шлюз по умолчанию и DNS на вкладках Настройки --> Сеть --> Шлюзы и Настройки --> Сеть --> DNS соответственно.

Примечание

Шлюз - это маршрут во внешнюю сеть, если в локальной сети есть сегменты, отделённые другими маршрутизаторами - создайте необходимые маршруты на вкладке Настройки --> Сеть --> Виртуальные маршрутизаторы.

При наличии двух или более шлюзов возможны 2 варианта работы:

  • Балансировка трафика между шлюзами. Для этого в свойствах шлюзов необходимо установить флажок Балансировка и указать Вес каждого шлюза. В этом случае весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами (чем больше вес, тем большая доля трафика идет через шлюз).

  • Основной шлюз с переключением на запасной. Выбрать один из шлюзов в качестве основного и настроить Проверку сети, нажав на одноименную кнопку в интерфейсе. Проверка сети необходима для проверки доступности хоста в интернет с указанной в настройках периодичностью. В случае, если хост становится недоступным, то происходит перевод всего трафика на запасные шлюзы в порядке их расположения в консоли.

Зарегистрируйте продукт: кликните по надписи "Незарегистрированная версия" в верхней части экрана и введите необходимую информацию.

Успешная регистрация является подтверждением правильных настроек параметров сети.

На вкладке Настройки --> Сеть --> Зоны в свойствах зоны Trusted на вкладке Контроль доступа отметьте чекбокс Консоль администрирования. Далее укажите зону Trusted в свойствах интерфейса port0 на вкладке Общие.

Перейдите на вкладку Настройки --> Политики сети --> Межсетевой экран и включите предустановленное правило Allow trusted to untrusted.

В разделе Настройки --> Политики сети --> NAT и маршрутизация включите предустановленное правило NAT from Trusted to Untrusted.

Настройка параметров сети UserGate выполнена, на компьютерах пользователей вы можете указать адрес интерфейса локальной сети UserGate как HTTP-прокси (по умолчанию порт 8090) или как шлюз по умолчанию.

1.3. Router on a Stick

Router-on-a-stick — это термин, часто используемый для описания настройки, которая состоит из маршрутизатора (в нашем случае — устройства UserGate) и коммутатора, подключенных с помощью одного канала Ethernet, настроенного как TRUNK-канал. В этой настройке порты коммутатора принадлежат различным VLAN, и UserGate выполняет всю маршрутизацию между различными сетями/VLAN. Иными словами, на единственном порту UserGate настраиваются подинтерфейсы, которые принадлежат разным VLAN и имеют разные IP адреса. По сути, это соответствует способу внедрения UserGate с двумя интерфейсами, описанному выше, только в качестве интерфейсов используются саб-интерфейсы.

image0

Для конфигурации данной архитектуры произведите следующие настройки.

  1. В разделе Сеть --> Интерфейсы веб-консоли администратора нажмите на кнопку Добавить и из выпадающего меню выберите Добавить VLAN.

  2. В свойствах VLAN-интерфейса в пункте Тип интерфейса установите значение Layer 3.

  3. Укажите корректный номер VLAN в пункте Тег VLAN.

  4. Выберите интерфейс, который вы скоммутировали для работы.

  5. В пункте Зона укажите зону, к которой будет принадлежать создаваемый виртуальный интерфейса.

  6. Во вкладке Сеть укажите режим назначения IP-адреса на интерфейс - DHCP или Статический. Если выбран статический режим, то укажите сетевые параметры вручную.

  7. Активируйте интерфейс, включив чекбокс Включено.

image1

Повторите описанные действия для других виртуальных интерфейсов.

1.4. Прозрачный мост L2

Сетевой мост работает на канальном уровне сетевой модели OSI (L2). При получении из сети кадра он сверяет его MAC-адрес назначения и, если он не принадлежит данной подсети, передает (транслирует) кадр дальше в тот сегмент, которому предназначался данный кадр; если кадр принадлежит данной подсети, мост ничего не делает.

Интерфейс мост можно использовать в UserGate аналогично обычному интерфейсу. Кроме этого, через мост можно настроить фильтрацию передаваемого контента уровне L2 без внесения изменений в сетевую инфраструктуру компании. Простейшая схема использования UserGate в качестве решения, обеспечивающего контентную фильтрацию на уровне L2, выглядит следующим образом:

image2

При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила АСУ ТП и защиты почтового трафика; контентная фильтрации в этом режиме работает.

Если мост создается в ПАК UserGate, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо UserGate) в случаях если:

  • Электропитание ПАК UserGate отключено.

  • Система внутренней диагностики обнаружила проблему в работе ПО UserGate.

Более подробно о сетевых интерфейсах, поддерживающих режим байпас смотрите в спецификации на оборудование ПАК UserGate.

Чтобы сконфигурировать UserGate, в режиме L2 прозрачного моста произведите следующие настройки.

  1. В веб-консоли администратора перейдите во вкладку Сеть --> Интерфейсы.

  2. Нажмите на кнопку Добавить и из выпадающего меню выберите Добавить мост.

  3. В открывшемся окне в пункте Тип интерфейса установите значение Layer 2.

  4. В пункте Зона укажите зону, которой будет принадлежать создаваемый мост.

  5. В разделе Интерфейсы моста выберите два интерфейса, которые вы скоммутировали для работы в данном режиме.

image3

Если ваше оборудование поддерживает режим работы Байпас-моста, в разделе Интерфейсы байпас моста, выберите соответствующие интерфейсы

Активируйте мост, включив чекбокс Включено.

1.5. Прозрачный мост L3

При выборе режима Layer 3 создаваемому мосту необходимо назначить IP-адрес и указать маршруты в сети, подключенные к интерфейсам моста.

image4

В данном режиме могут быть использованы все механизмы фильтрации, доступные в UserGate.

Если мост создается в ПАК UserGate, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо UserGate) в случаях если:

  • Электропитание ПАК UserGate отключено.

  • Система внутренней диагностики обнаружила проблему в работе ПО UserGate.

Более подробно о сетевых интерфейсах, поддерживающих режим байпас смотрите в спецификации на оборудование ПАК UserGate.

Чтобы сконфигурировать UserGate в режиме L3 прозрачного моста, произведите следующие настройки.

  1. В главной консоли перейдите на вкладку Сеть --> Интерфейсы.

  2. Далее, нажав на кнопку Добавить, выберите Добавить мост.

  3. В открывшемся окне установите значение Layer 3 в пункте Тип интерфейса.

  4. Также укажите зону, которой будет принадлежать создаваемый мост.

  5. В разделе Интерфейсы моста выберите два интерфейса, которые вы скоммутировали для работы в данном режиме.

  6. Если ваше оборудование поддерживает режим работы Байпас-моста, в разделе Интерфейсы байпас моста, выберите соответствующие интерфейсы

  7. Во вкладке Сеть, выберите предпочитаемый метод назначения сетевых параметров для моста – DHCP или Статический. При выборе статического режима, задайте сетевые параметры вручную.

image5

Активируйте мост, отметив чекбокс Включено.

1.6. Настройка WCCP

WCCP (Web Cache Communication Protocol) - протокол, разработанный компанией Cisco и предназначенный для перенаправления трафика в режиме реального времени. Поддержка протокола WCCP позволяет использовать UserGate в инфраструктуре с WCCP-серверами (UserGate может выступать только в качестве WCCP-клиента).

Когда устройство UserGate не находится в физическом пути клиентов и серверов, оно должно полагаться на внешнее устройство—либо коммутатор уровня 4 (L4), либо маршрутизатор с поддержкой WCCP, для перенаправления пакетов к нему для прозрачного проксирования. Этот тип развертывания известен как развертывание виртуально в разрыв. WCCP рекомендуется использовать для схемы виртуально в разрыв, поскольку он обеспечивает следующие преимущества:

Масштабируемость и балансировка нагрузки — трафик может быть автоматически распределен на несколько устройств UserGate . Если один UserGate отключается, трафик автоматически перераспределяется между другими устройствами UserGate в группе.

Безопасность — вы можете защитить группу служб WCCP паролем, чтобы к ней могли присоединиться только авторизованные устройства. Кроме того, можно настроить списки управления доступом (ACL) на маршрутизаторе, чтобы ограничить доступ только к определенным устройствам UserGate.

Отказоустойчивость — в случае отсутствия устройств UserGate, доступных для перенаправления трафика, маршрутизатор перенаправляет трафик на исходный адрес назначения.

Гибкость — вы точно контролируете, какой трафик перенаправлять и как его перенаправлять. Вы можете перенаправить весь трафик, входящий или выходящий из интерфейса маршрутизатора; вы можете фильтровать трафик с помощью ACL или вы можете определить конкретный протокол и порты для перенаправления.

В развертываниях прозрачных прокси клиент не знает, что он взаимодействует с UserGate, а не с конечным сервером (КС). Таким образом, пакет от клиента адресован КС. Маршрутизатор проверяет трафик на интерфейсах с поддержкой WCCP (входящий или исходящий в зависимости от конфигурации) и определяет, следует ли перенаправлять его на основе правил, согласованных маршрутизатором и устройствами UserGate.

Далее будет рассмотрена настройка перенаправления трафика по протоколу WCCP между оборудованием Cisco и UserGate.

image6

На оборудовании Cisco необходимо настроить перенаправление на UserGate клиентских http/https запросов и ответов сервера. Настройка маршрутизатора Cisco производится в соответствии со следующим алгоритмом.

Создать два списка доступа. Список wccp_to_inet разрешает трафик из сети 192.168.111.0/24 в любые сети. Список wccp_to_lan разрешает любой трафик в сеть 192.168.111.0/24.

ip access-list extended wccp_to_inet

permit ip 192.168.111.0 0.0.0.255 any

ip access-list extended wccp_to_lan

permit ip any 192.168.111.0 0.0.0.255

Настроить WCCP:

ip wccp 80 redirect-list wccp_to_inet password cisco

ip wccp 90 redirect-list wccp_to_lan password cisco

interface GigabitEthernet0/0 # LAN

ip address 192.168.55.100 255.255.255.0

ip wccp redirect exclude in

ip nat inside

interface GigabitEthernet0/1 # Inet

ip address 192.168.128.110 255.255.255.0

ip wccp 80 redirect in

ip wccp 90 redirect out

ip nat outside

interface Vlan100 # Client

ip address 192.168.111.111 255.255.255.0

ip nat inside

На UserGate необходимо настроить сервисные группы для редиректа клиентских запросов и ответов сервера, использующие GRE (Generic Routing Encapsulation) туннель и порты 80 и 443. При включении WCCP создаётся туннель GRE, который не отображается в списке интерфейсов и не имеет зоны. Правила NAT для перенаправления трафика не используются. Настройка UserGate произведена следующим образом.

В разделе Сеть --> WCCP свойствах сервисной группы WCCP для перенаправления запросов пользователей на сервер необходимо указать следующие значения параметров:

  • Сервисная группа: 80.

  • Приоритет: 240.

  • Способ перенаправления трафика: GRE.

  • Способ возврата трафика: GRE.

  • Маршрутизатор WCCP: 192.168.55.100.

  • Порт для перенаправления: 80, 443.

  • Протокол: TCP.

  • Хэш: IP источника.

image7

image8

image9

В свойствах сервисной группы WCCP для перенаправления ответов сервера в клиентскую сеть необходимо указать следующие значения параметров:

  • Сервисная группа: 90

  • Приоритет: 240

  • Способ перенаправления трафика: GRE.

  • Способ возврата трафика: GRE.

  • Маршрутизатор WCCP: 192.168.55.100

  • Порт для перенаправления: 80, 443

  • Протокол: TCP.

  • Хэш: IP назначения.

image10

image11

image12

Установление соединения происходит следующим образом.

  1. Инициатором является WCCP-клиент, в данном случае UserGate. Он посылает сообщение «Я здесь», которое говорит о том, что UserGate готов принять пакеты.

  2. Cisco подтверждает получение сообщения «Я здесь», отвечая «Я тебя вижу». Сообщение также содержит сообщение о настройках, в частности, поле «Receive ID».

  3. UserGate в ответ посылает ещё одно сообщение «Я здесь», в котором содержится поле «Receive ID», со значением, совпадающим с полученным от Cisco. Так UserGate подтверждает готовность работы с маршрутизатором Cisco.

  4. После получения сообщения маршрутизатор отправляет запросы, попадающие под условия на UserGate.

Пакеты пользователей, подходящие под условия IP-адреса источника и портов назначения и пакеты от сервера, попадающие под условия IP-адреса назначения и портов источника заворачиваются в GRE туннель; остальные запросы проходят через физические интерфейсы. Все запросы попадают под правила контентной фильтрации и межсетевого экрана: в правилах UserGate не нужно указывать зону, т.к., как было сказано ранее, GRE туннель не имеет зоны.

Во вкладке Дашборд можно увидеть статистику по этому интерфейсу. Чтобы удалить GRE туннель необходимо выключить WCCP правило.

Поиск неисправностей можно проводить с использованием трафика WCCP на UserGate или оборудовании Cisco и логов на оборудовании Cisco.

Логи с маршрутизатора Cisco выводятся в syslog сервер. Для просмотра используйте следующие команды:

  • Для отображения информации о важных событиях, связанных с WCCP-протоколом:

    debug ip wccp events

  • Для отображения информации о всех пакетах, принятых или отправленных роутером по протоколу WCCP:

    debug ip wccp packets

  • Для отображения общей информации о WCCP (где 80 и 90 – сервисные группы):

    sh ip wccp 80

    sh ip wccp 90

1.7. Явный веб-прокси

Вы можете настроить каждую клиентскую рабочую станцию в своей сети для направления веб-запросов на устройство UserGate. Этот тип развертывания называется явным прокси. После того, как клиент настроен для явного прокси, все пользовательские веб-запросы отправляются не на целевой сервер, а на прокси-сервер. При этом клиентское ПО, в котором прокси-сервер не настроен в явном виде, либо приложения, не обладающие возможностью работать через прокси, будут отправлять запросы минуя UserGate – напрямую на шлюз по умолчанию. Затем UserGate определяет, разрешить или запретить запрос на основе политики веб-доступа.

image13

За исключением стандартных процедур определения IP-адресов сетевых портов, настроек DNS, маршрутов сети, необходимо обратить внимание на несколько следующих параметров:

  • В стандартных настройках решения UserGate единственным включённым по умолчанию правилом межсетевого экрана (Политки сети --> Межсетевой экран) является правило «Блокировать все». Таким образом, после первоначальной конфигурации устройства, трафик не будет отсылаться в сеть Интернет. Необходимо разрешить транзитный трафик.

  • Порт прокси сервера, который используется по умолчанию, указываются в разделе UserGate --> Настройки --> HTTP(S)-прокси порт. По умолчанию используется порт 8090.

  • Зона, назначенная на принимающий запросы пользователей интерфейс, должна быть настроена на прием HTTP(S)-запросов. Для этого необходимо перейти во вкладки Сеть --> Зоны и в свойствах зоны во вкладке Контроль доступа отметить чекбокс HTTP(S)-прокси.

1.8. Мониторинг Mirror-порта

image14

В конфигурации, представленной выше, устройство UserGate получает копию трафика с какого-либо сетевого оборудования, обладающего возможностью отправить копию трафика на один из своих портов. В данной конфигурации, UserGate может выполнять роль СОВ (система обнаружения вторжений) и L7.

Для настройки вашего сетевого оборудования в режиме Mirror-порта, обратитесь к соответствующей документации.

Чтобы сконфигурировать UserGate, в режиме СОВ на Mirror-порте, произведите следующие настройки:

  • В главной консоли перейдите в раздел Сеть --> Интерфейсы.

  • Выберите интерфейс и, нажав на кнопку Редактировать откройте свойства интерфейса. На вкладке Общие, в пункте Тип интерфейса, установите значение Mirror.

  • Активируйте интерфейс, отметив чекбокс Включено.

Конфигурация зоны, для этого порта значения не имеет.

1.9. Настройка подключения отказоустойчивого кластера к двум провайдерам

UserGate поддерживает настройку кластера отказоустойчивости для обеспечения бесперебойной работы сети. Кластер отказоустойчивости может работать в двух режимах Актив-Актив и Актив-Пассив. Оба режима поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.

Концептуальная схема подключения будет выглядеть следующим образом:

image15

В данной схеме, устройства UserGate настроены в режиме отказоустойчивого кластера по схеме Актив-Пассив. В данном режиме один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. На каждом из узлов кластера выбраны сетевые интерфейсы, которым администратор назначил виртуальные IP-адреса. Между этими интерфейсами происходит обмен сообщениями - VRRP-объявления, с помощью которых узлы обмениваются информацией о своём состоянии.

При переходе роли Мастер-узла на резервный сервер происходит перенос всех виртуальных IP-адресов всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

  • Запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, главный узел выключен или отсутствует сетевая доступность узлов.

  • На узле настроена проверка доступа в Интернет, и доступ в Интернет отсутствует через все имеющиеся шлюзы.

  • Сбой в работе ПО UserGate.

Подробнее о работе кластера читайте в UserGate. Руководство администратора.

Для конфигурации автоматического переключения хостов на резервного оператора связи необходимо настроить несколько шлюзов - в данном примере два. При этом один из шлюзов необходимо указать как шлюз по умолчанию (зелёная/красная точка – индикатор доступности адреса).

image16

Далее нужно включить функцию Проверка сети (нажав на одноимённую кнопку) и указать узел в интернете, доступность которого система будет периодически проверять.

image17

Когда ресурс перестанет быть доступным, система переключится на следующий в списке шлюз и будет использовать его по умолчанию.

На следующем рисунке, обратите внимание, что основной шлюз по умолчанию стал недоступен (зелёная/красная точка – индикатор доступности адреса):

image18

Кластер переключился на запасной шлюз:

image19

1.10. Изменение настроек при использовании нескольких провайдеров

Для подключения UserGate к сети Интернет возможно использование нескольких провайдеров. В такой ситуации необходимо указать несколько шлюзов (подробнее смотрите в UserGate 6. Руководство администратора).

При использовании нескольких провайдеров с помощью приоритетов можно настроить резервирование интернет-каналов или режим балансировки. Сделать это можно при указании шлюзов в разделе Сеть --> Шлюзы, включив чекбокс Балансировка или чекбокс По умолчанию.

image20

Если при настройке шлюзов в свойствах нескольких из них включить чекбокс По умолчанию, то шлюзом по умолчанию будет назначен последний выбранный шлюз.

При включении режима балансировки необходимо указать вес шлюза: больший вес шлюза соответствует большей доле трафика, которая идет через шлюз. При распределении трафика между шлюзами с разными весами происходит:

  1. Вычисление хэша от адресов источника и назначения.

  2. Выбор шлюза.

Трафик распределяется с учётом весов. Пусть настроены 2 шлюза:

  • n1, n2 – сессии, проходящие через шлюзы.

  • w1, w2 – веса шлюзов.

Тогда сессии между шлюзами будут распределяться согласно n1/w1 = n2/w2.

При использовании режима балансировки включение чекбокса По умолчанию не оказывает влияния на работу шлюзов, т.е. если одновременно включить чекбоксы Балансировка и По умолчанию, то шлюзы будут работать в режиме балансировки в соответствии с указанными весами.

2. Авторизация

2.1. Авторизация с помощью Kerberos

Авторизация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации через Kerberos сервер UserGate работает с контроллерами домена. Контроллеры домена выполняют проверку пользователя, который получает доступ в интернет.

Примечание

Для авторизации пользователей через Kerberos пользователи должны входить в группу Domain users (пользователи домена) в AD.

Для настройки авторизации Kerberos необходимо выполнить следующие действия (для настройки авторизации Kerberos предварительно был создан домен test1.net).

  1. Создать DNS-записи для сервера UserGate. Необходимо создавать записи типа A, не создавайте записи типа CNAME. В качестве IP-адреса необходимо указать IP-адрес интерфейса UserGate, подключенного в зону Trusted.

image21

image22

  1. Создать пользователя в домене AD, например kerb@test1.net с параметром учётной записи password never expires (срок действия пароля не ограничен). Установить пароль пользователю, например, kerb.

Примечание

Не используйте символы национальных алфавитов, например, кириллицу, в именах пользователя kerb или в организационных единицах AD, где вы планируете создать учетную запись kerb. Пользователь для Kerberos и пользователь для LDAP-коннектора должны отличаться. Не используйте одну и ту же учетную запись.

  1. Создать keytab файл на контроллере домена. Для этого необходимо запустить командную строку от имени администратора и выполнить следующую команду.

Примечание

Команда в одну строку. Команда чувствительна к регистру букв.

ktpass.exe /princ HTTP/auth.test1.net@TEST1.NET /mapuser kerb@TEST1.NET /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab

Далее введите пароль пользователя kerb. Keytab файл создан (в корне диска С:\).

image23

В данном примере:

  • auth.test1.net — DNS - запись, созданная для сервера UserGate в пункте 1.

  • TEST1.NET — Kerberos realm domain, обязательно большими буквами.

  • kerb@TEST1.NET — имя пользователя в домене (созданное ранее в пункте 2), имя realm-домена обязательно большими буквами.

После успешного создания keytab файла Имя входа пользователя (Userlogon name) изменилось (можно проверить в свойствах пользователя kerb во вкладке Учётная запись).

image24

  1. Произвести настройку UserGate.

На UserGate-сервере предварительно произведены сетевые настройки, протокол QUIC запрещён (можно запретить, настроив правило межсетевого экрана в разделе Политики сети --> Межсетевой экран), включено правило дешифрования всех неизвестных пользователей (раздел Политики безопасности --> Инспектирование SSL: можно использовать правило, созданное по умолчанию Decrypt all for unknown users). Это необходимо для авторизации пользователей, которые делают свои запросы по зашифрованному протоколу HTTPS.

Вариант 1. В разделе Сеть --> DNS --> Системные DNS-серверы укажите IP-адреса контроллеров домена (в данном примере 10.0.0.20).

image25

Настройте синхронизацию времени с контроллером домена: в разделе UserGate --> Настройки --> Настройка времени сервера необходимо изменить Основной NTP-сервер. Укажите IP-адрес контроллера домена. В качестве запасного - опционально - можно указать IP-адрес другого контроллера домена.

image26

Далее перейдите к пункту 5.

Вариант 2. В разделе Сеть --> DNS --> Системные DNS-серверы укажите IP-адреса DNS-серверов интернета.

image27

В разделе Сеть --> DNS --> DNS-прокси --> Правила DNS нажмите на кнопку Добавить и укажите домен и IP-адреса контроллеров домена.

image28

Настройте синхронизацию времени в разделе UserGate --> Настройки --> Настройка времени сервера. Измените основной и запасной NTP-серверы (поля Основной NTP-сервер и Запасной NTP-сервер).

image29

Перейдите в раздел Сеть --> Зоны и в настройках зоны внутренней подсети организации (по умолчанию, зона Trusted) во вкладке Контроль доступа разрешите сервисы DNS и NTP сервис.

image30

На серверах контроллеров AD укажите UserGate в качестве корневого сервера DNS и основного сервера NTP.

  1. Изменить адрес домена Auth Captive-портала.

В разделе UserGate --> Настройки --> Модули измените названия доменов Auth/Logout Captive-портала и страницы блокировки на доменные имена, созданные в пункте 1.

image31

  1. Создать LDAP - коннектор для получения информации о пользователях и группах Active Directory и загрузить keytab - файл.

Для этого перейдите в раздел Пользователи и устройства --> Серверы авторизации и добавьте LDAP коннектор, нажав на кнопку Добавить и выбрав Добавить LDAP коннектор.

В свойствах коннектора LDAP во вкладке Настройки необходимо указать:

  • Произвольное название LDAP - коннектора (поле Название).

  • IP-адрес сервера контроллера домена (поле Доменное имя LDAP или IP-адрес).

  • Bind DN («логин») в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image32

Во вкладке Домены LDAP свойств коннектора добавьте доменное имя LDAP.

image33

Далее загрузите созданный в пункте 3 keytab файл во вкладке Kerberos keytab.

После внесения настроек нажмите на кнопку Проверить соединение. В случае, если настройки внесены верно, то вы увидите следующее сообщение.

image34

Сохраните настройки LDAP коннектора.

  1. Создать профиль авторизации Kerberos.

В разделе Пользователи и устройства --> Профили авторизации создайте профиль авторизации Kerberos и укажите следующие данные.

  • Во вкладке Общие необходимо указать Название: произвольное название профиля авторизации (допустим kerberos auth).

  • Во вкладке Методы аутентификации добавьте Аутентификация Kerberos.

Сохраните настройки профиля авторизации, нажав на кнопку Сохранить.

  1. Создать Captive-профиль.

Создайте Captive-профиль во вкладке Пользователи и устройства --> Captive-профили и заполните необходимые данные и сохраните. Во вкладке Общие укажите:

  • Название Captive — профиля.

  • Профиль авторизации, созданный ранее.

image35

  1. Создать правило Captive-портала для авторизации Kerberos.

Добавьте правило Captive-портала для авторизации Kerberos в разделе Пользователи и устройства --> Captive-портал. В свойствах правила Captive-портала во вкладке Общие необходимо указать:

  • Название правила.

  • Captive-профиль.

image36

  1. Разрешить доступ к сервису HTTP(S) для зоны.

В разделе Сеть --> Зоны на вкладке Контроль доступа разрешите доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, использующие авторизацию Kerberos.

image37

  1. Произвести настройки на компьютере пользователя.

Войдите в систему под учётной записью доменного пользователя. Для корректной работы с HTTPS-сайтами установите сертификат, используемый для дешифрования трафика, в доверенный сертификаты.

Стандартный режим авторизации Kerberos.

Для работы в стандартном режиме авторизации Kerberos укажите обязательное использование прокси сервера в виде FQDN-имени UserGate. Перейдите Панель управления --> Cеть и Интернет --> Свойства браузера --> Подключения --> Настройка сети --> Прокси-сервер и укажите FQDN и порт интерфейса UserGate, к которому будут подключены пользователи.

image38

Прозрачный режим авторизации Kerberos.

Для работы в прозрачном режиме авторизации перейдите в Панель управления --> Cеть и Интернет --> Свойства браузера --> Безопасность --> Интернет. В разделе Уровень безопасности для этой зоны нажмите кнопку Другой и в параметрах безопасности в разделе Проверка подлинности пользователя --> Вход установите Автоматический вход в сеть с текущим именем пользователя и паролем.

image39

Проверка авторизации Kerberos.

Для проверки работы авторизации Kerberos в браузере пользователя перейдите на сайт, например, ya.ru. Далее на UserGate перейдите во вкладку Журналы и отчёты в раздел Журналы --> Журнал веб-доступа. В журнале видно, что запрос происходит от доменного пользователя.

image40

2.1.1. Проверка корректности выпуска keytab файла для Kerberos авторизации

В случае некорректной работы Keytab файла или Kerberos в целом, необходимо выполнить проверку по следующей инструкции:

  1. Установить Ubuntu версии 14.04.5 или выше.

  2. Выполнить обновления с использованием команды:

sudo apt-get update

  1. Установить необходимый пакет для использования команды kinit - в терминале выполнить:

sudo apt-get install krb5-user

  1. Переименовать созданный на контроллере домена Keytab файл в krb5.keytab

  2. Поместить данный krb5.keytab файл в директорию /etc/

  3. Выполнить проверку Keytab файла следующей командой - в терминале выполнить

kinit -k HTTP/example_utm.entensys.ru

где example_utm.example.ru - DNS-запись сервера UserGate, ошибок быть не должно (пустая строка).

  1. Получить результат можно выполнив команду klist в терминале, пример вывода ниже:

Ticket cache: FILE:/tmp/krb5cc_1000Default principal: HTTP/example_utm.example.loc@EXAMPLE.LOC

Valid starting Expires Service principal08/08/2017 00:53:02 08/08/2017 10:53:02 krbtgt/EXAMPLE.LOC@EXAMPLE.LOC renew until 08/09/2017 00:53:02

На этом проверка закончена: keytab файл создан корректно.

Дополнительно: команда: "setspn.exe -X" проверяет уникальность PRINCIPAL-записей на контроллере домена.

2.1.2. Настройка браузера Firefox для авторизации Kerberos

Для корректной авторизации пользователей, использующих браузер Firefox, с помощью Kerberos необходимо в браузере перейти по адресу about:config и указать значение вашего домена Active Directory в следующих конфигурационных параметрах:

  • network.negotiate-auth.trusted-uris.

  • network.negotiate-auth.delegation-uris.

На картинке ниже показаны измененные значения этих параметров для домена AD test1.net:

image41

2.2. Авторизация с помощью NTLM

Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, выполняющими проверку пользователя, который получает доступ в интернет.

На UserGate-сервере предварительно произведены сетевые настройки, протокол QUIC запрещён (можно запретить, настроив правило межсетевого экрана в разделе Политики сети --> Межсетевой экран), включено правило дешифрования всех неизвестных пользователей (раздел Политики безопасности --> Инспектирование SSL: можно использовать правило, созданное по умолчанию Decrypt all for unknown users). Это необходимо для авторизации пользователей, которые делают свои запросы по зашифрованному протоколу HTTPS.

Примечание

Для авторизации пользователей через NTLM пользователи должны входить в группу Domain users (пользователи домена) в AD.

Для настройки авторизации NTLM необходимо выполнить следующие действия (для настройки авторизации NTLM предварительно был создан домен test1.net).

  1. Создать DNS-записи для сервера UserGate. Необходимо создавать записи типа A, не создавайте записи типа CNAME. В качестве IP-адреса необходимо указать IP-адрес интерфейса UserGate, подключенного в зону Trusted.

image42 image43

  1. Произвести настройку UserGate.

Вариант 1. В разделе Сеть --> DNS --> Системные DNS-серверы укажите IP-адреса контроллеров домена (в данном примере 10.0.0.20).

image44

Настройте синхронизацию времени с контроллером домена: в разделе UserGate --> Настройки --> Настройка времени сервера необходимо изменить Основной NTP-сервер. Укажите IP-адрес контроллера домена. В качестве запасного - опционально - можно указать IP-адрес другого контроллера домена.

image45

Далее перейдите к пункту 3.

Вариант 2. В разделе Сеть --> DNS --> Системные DNS-серверы укажите IP-адреса DNS-серверов интернета.

image46

В разделе Сеть --> DNS --> DNS-прокси --> Правила DNS нажмите на кнопку Добавить и укажите домен и IP-адреса контроллеров домена.

image47

Настройте синхронизацию времени в разделе UserGate --> Настройки --> Настройка времени сервера. Измените основной и запасной NTP-серверы (поля Основной NTP-сервер и Запасной NTP-сервер).

image48

Перейдите в раздел Сеть --> Зоны и в настройках зоны внутренней подсети организации (по умолчанию, зона Trusted) во вкладке Контроль доступа разрешите сервисы DNS и NTP сервис.

image49

На серверах контроллеров AD укажите UserGate в качестве корневого сервера DNS и основного сервера NTP.

  1. Изменить адрес домена Auth Captive-портала.

В разделе UserGate --> Настройки --> Модули измените названия доменов Auth/Logout Captive-портала и страницы блокировки на доменные имена, созданные в пункте 1.

image50

  1. Создать LDAP - коннектор для получения информации о пользователях и группах Active Directory.

Перейдите в раздел Пользователи и устройства --> Серверы авторизации, нажмите кнопку Добавить и выберите Добавить LDAP коннектор.

Настройте коннектор LDAP:

В свойствах коннектора LDAP во вкладке Настройки необходимо указать:

  • Произвольное название LDAP - коннектора (поле Название).

  • IP-адрес сервера контроллера домена (поле Доменное имя LDAP или IP-адрес).

  • Bind DN («логин») в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image51

Добавьте доменное имя LDAP во вкладке Домены LDAP.

image52

После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе.

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

image53

Сохраните настройки LDAP коннектора, нажав на кнопку Сохранить.

  1. Создать NTLM - сервер авторизации.

В разделе Пользователи и устройства --> Серверы авторизации создайте NTLM-сервер (Добавить --> Добавить NTLM-сервер). Укажите следующие данные:

  • Название сервера авторизации.

  • Описание (опционально).

  • IP-адрес контроллера домена.

  • Домен Windows: укажите IP-адрес контроллера домена.

image54

Сохраните настройки NTLM-сервера нажатием кнопки Сохранить.

  1. Создать профиль авторизации для NTLM-сервера.

Создайте профиль авторизации в разделе Пользователи и устройства --> Профили авторизации.

Укажите:

  • Название профиля авторизации.

  • Метод аутентификации в одноимённой вкладке.

image55

Сохраните настройки профиля авторизации.

  1. Создать Captive-профиль.

В разделе Пользователи и устройства --> Captive-профили создайте Captive-профиль. Укажите:

  • Название captive-профиля.

  • Профиль авторизации: выберете ранее созданный NTLM профиль.

image56

Сохраните настройки Captive-профиля.

  1. Создать правило Captive-портала для NTLM авторизации.

В разделе Пользователи и устройства --> Captive-портал нажмите кнопку Добавить и укажите:

  • Название правила captive-портала.

  • Captive-профиль, созданный ранее.

  1. Произведите настройки на компьютере пользователя.

Настройка прокси-сервера для авторизации в стандартном режиме.

Перейдите Панель управления --> Cеть и Интернет --> Свойства браузера --> Подключения --> Настройка сети --> Прокси-сервер и укажите IP-адрес и порт интерфейса UserGate, к которому будут подключены пользователи.

image57

Настройка авторизации в прозрачном режиме.

Для работы в прозрачном режиме авторизации перейдите в Панель управления --> Cеть и Интернет --> Свойства браузера --> Безопасность --> Интернет. В разделе Уровень безопасности для этой зоны нажмите кнопку Другой и в параметрах безопасности в разделе Проверка подлинности пользователя --> Вход установите Автоматический вход в сеть с текущим именем пользователя и паролем.

image58

Перейдите в Панель управления --> Cеть и Интернет --> Свойства браузера --> Дополнительно. Отметьте чекбокс Разрешить встроенную проверку подлинности Windows.

Проверка авторизации NTLM.

Для проверки работы NTLM-авторизации в браузере пользователя перейдите на сайт, например, ya.ru. Далее на UserGate перейдите во вкладку Журналы и отчёты в раздел Журналы --> Журнал веб-доступа. В журнале видно, что запрос происходит от доменного пользователя.

image59

2.2.1. Настройка браузера Firefox для авторизации NTLM

Для корректной авторизации пользователей, использующих браузер Firefox, с помощью NTLM необходимо в браузере перейти по адресу about:config и указать значение вашего домена Active Directory в следующих конфигурационных параметрах:

  • network.automatic-ntlm-auth.trusted-uris

На картинке ниже показаны измененные значения этих параметров для домена AD lab.demo:

image60

2.3. Мультифакторная аутентификация с подтверждением через email

  1. Для отправки почтового сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.

Для локального пользователя UserGate необходимо перейти в свойства пользователя в разделе Пользователи и устройства --> Пользователи и указать почтовые адреса в одноимённой вкладке.

image61

Для доменной учетной записи добавить адрес электронной почты необходимо в свойствах пользователя во вкладке Общие.

image62

  1. Создать профиль оповещения по электронной почте.

Для создания профиля оповещения перейдите в раздел Библиотеки --> Профили оповещений и выберите Добавить --> Добавить профиль оповещения SMTP. Далее укажите необходимы данные.

image63

Для проверки нажмите на кнопку Проверить профиль и отправьте проверочное письмо, предварительно заполнив поля Отправитель, Получатель, Тема и Тело письма. Сохраните настройки, если проверочное письмо было получено адресатом.

Использование мультифакторной авторизации с подтверждением через email на примере авторизации пользователей домена AD.

  1. Добавить сервер авторизации.

Перейдите в раздел Пользователи и устройства --> Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить --> Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

  • Название сервера авторизации.

  • Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

  • Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image64

Во вкладке Домены LDAP укажите доменное имя LDAP.

image65

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

image66

Сохраните настройки LDAP коннектора.

  1. Создать профиль для мультифакторной аутентификации.

Перейдите в раздел Пользователи и устройства --> Профили MFA, нажатием на кнопку Добавить --> MFA через email перейдите в свойства профиля MFA и укажите следующую информацию.

  • Название профиля MFA.

  • Профиль отправки MFA: ранее созданный профиль оповещения по электронной почте.

  • От: адрес электронной почты пользователя, указанного в профиле оповещения MFA.

  • Тема письма.

  • Содержимое письма.

image67

Сохраните настройки профиля MFA нажатием кнопки Сохранить.

  1. Создать профиль авторизации.

Перейдите в раздел Пользователи и устройства --> Профили авторизации и добавьте профиль авторизации. В свойствах профиля укажите необходимую информацию.

  • Название профиля авторизации.

  • Созданный ранее Профиль MFA.

image68

Во вкладке Методы аутентификации укажите ранее созданный LDAP коннектор: Добавить --> Сервер LDAP/Active Directory: AD Connector и сохраните настройки профиля авторизации.

image69

Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации Kerberos и NTLM.

  1. Создать Captive-профиль.

Для создания профиля перейдите в раздел Пользователи и устройства --> Captive-профили, нажмем на кнопку Добавить. Укажите необходимые данные:

  • Название captive-профиля.

  • Выберите Шаблон страницы авторизации.

  • В поле Метод идентификации укажите Запоминать IP-адрес.

  • Ранее созданный Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, то можно активировать функцию «Предлагать выбор домена AD/LDAP на странице авторизации».

image70

Сохраните настройки captive-профиля.

  1. Создать правило Captive-портала.

Для создания правила captive-портала перейдите в раздел Пользователи и устройства --> Captive-портал и нажмите кнопку Добавить. В свойствах правила captive-портала укажите следующую информацию:

  • Название captive-портала.

  • Ранее созданный captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время, можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

image71

  1. Настроить DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

  1. Проверить работу мультифакторной авторизации.

В браузере пользователя перейдите на сайт, например, ya.ru: отобразится страница авторизации captive-портала:

image72

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации, который придет на электронную почту, указанную в свойстве профиля пользователя:

image73

Введите полученный код.

image74

После ввода кода в окне авторизации, откроется запрошенный сайт - ya.ru

2.4. Мультифакторная аутентификация с подтверждением через одноразовые временные пароли (TOTP)

В данном пункте рассмотрена настройка двухфакторной аутентификации с подтверждением (второй фактор аутентификации) кодом TOTP. В качестве примера будет произведена настройка авторизации пользователей домена Active Directory.

  1. Добавить сервер авторизации.

Перейдите в раздел Пользователи и устройства --> Серверы авторизации и добавьте LDAP коннектор (нажмите Добавить --> Добавить LDAP коннектор).

В свойствах коннектора LDAP укажите необходимые данные.

Во вкладке Настройки:

  • Название сервера авторизации.

  • Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

  • Bind DN («логин») - имя доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

  • Пароль пользователя для подключения к домену.

image75

Во вкладке Домены LDAP укажите доменное имя LDAP.

image76

Во вкладке Kerberos keytab можно загрузить keytab-файл. Загрузка keytab-файла не является обязательной, но наличие keytab-файла желательно, т.к. keytab снимает значительную часть нагрузки с AD и ускоряет его работу.

После внесения настроек нажмите на кнопку Проверить соединение. Если настройки внесены верно, то появится следующее сообщение:

image77

Сохраните настройки LDAP коннектора.

  1. Создать профиль для мультифакторной аутентификации.

Для этого перейдите в раздел Пользователи и устройства --> Профили MFA и, нажав кнопку Добавить, выберете MFA через TOTP. Укажите необходимые данные и сохраните профиль.

  • Название профиля MFA.

  • Инициализация TOTP:выберите Показать ключ на странице captive-портала.

  • Показывать QR-код: отметьте чекбокс для возможности сканирования кода.

image78

  1. Создать профиль авторизации.

Для создания профиля авторизации перейдите в раздел Пользователи и устройства --> Профили авторизации. Во вкладке Общие необходимо указать:

  • Название профиля авторизации.

  • Созданный ранее Профиль MFA.

Добавьте ранее созданный LDAP коннектор во вкладке Методы аутентификации и сохраните настройки.

image79

  1. Создать профиль для Captive-портала.

Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации kerberos и NTLM.

Для создания captive-профиля перейдите в раздел Пользователи и устройства --> Captive-профили, нажмите на кнопку Добавить и в свойствах captive-профиля укажите следующие данные:

  • Название captive-профиля.

  • Шаблон страницы авторизации: выберите шаблон, например, «Captive portal user auth (RU)».

  • Метод идентификации: выберите Запоминать IP-адрес.

  • Созданный ранее Профиль авторизации.

Если для авторизации пользователей используется LDAP коннектор, можно отметить чекбокс «Предлагать выбор домена AD/LDAP на странице авторизации». После внесения необходимых настроек сохраните captive-профиль нажатием на кнопку Сохранить.

image80

  1. Создать правило Captive-портала.

Перейдите в раздел Пользователи и устройства --> Captive-портал и создайте правило captive-портала, указав необходимую данные:

  • Название правила captive-портала.

  • Созданный ранее Captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Сохраните правило captive-портала.

image81

  1. Настроить DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

  1. Проверить работу мультифакторной авторизации.

В браузере пользователя перейдем на сайт, например, ya.ru: откроется страница авторизации captive-портала:

image82

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации:

image83

Для получения кода необходимо установить специальное приложение или расширение в браузер, которое умеет генерировать код на основе алгоритма TOTP. Для примера было установлено расширение Аутентификатор в браузер Google Chrome:

image84

Добавьте в расширение ключ инициализации TOTP:

image85

Расширение браузера Chrome Аутентификатор выдаст временный код для авторизации на портале. Укажите его в поле One Time Password. После его ввода, откроется запрошенный сайт ya.ru

Для повторной авторизации на Captive-портале необходимо снова воспользоваться расширением Аутентификатор, которое сгенерирует новый код TOTP.

2.5. Авторизация пользователей SSL VPN портала по сертификату

Дополнительно к авторизации пользователей SSL VPN портала по логину и паролю существует возможность настроить "прозрачную" авторизацию этих пользователей по SSL сертификату.

Для этого, в дополнение к базовой настройке SSL VPN портала, необходимо проделать следующие шаги:

  1. Для каждого пользователя выпустить SSL сертификат, в котором указаны следующие параметры применения ключа - Digital Signature, Key Encipherment и Data Encipherment.

Если для выпуска сертификата используется приложение XCA, то при создании запроса на сертификат достаточно указать шаблон TLS_client (вкладка Первоисточник поле Шаблон для нового сертификата).

Удостоверяющий центр, которым подписан сертификат пользователя не имеет значения. В том числе работают и самоподписанные сертификаты.

  1. Импортировать в браузер каждого пользователя, выписанный для него сертификат вместе с закрытым ключом (обычно, формат файла .p12).

  2. Во вкладке UserGate --> Сертификаты импортировать в UserGate сертификаты всех пользователей (без закрытого ключа, обычно, формат файла .cer).

Для каждого импортированного ключа необходимо указать роль Пользовательский сертификат и пользователя, для которого был создан сертификат (возможно указывать как локальных пользователей, так и пользователей из LDAP).

  1. В настройках SSL VPN портала произвести следующие изменения (UserGate --> Настройки --> Веб-портал):

    • отметить чекбокс Авторизация пользователя по сертификату.

    • убедиться, что в поле Имя хоста SSL VPN портала указано в виде FQDN, а не IP адреса.

    • использовать для самого SSL VPN портала сертификат Автоматически, либо любой другой, зарегистрированный на UserGate и имеющий базовый тип использования Центр Сертификации.

2.6. Установка и настройка агента терминального сервера UserGate

Для пользователей, работающих на операционной системе Windows, существует еще один способ идентификации - использование специального агента авторизации. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователе, его имя и IP-адрес, соответственно, UserGate будет однозначно определять все сетевые подключения данного пользователя. При использовании агента авторизации идентификация другими методами не требуется.

2.6.1. Дистрибутив агента терминального сервера UserGate

Файлы дистрибутива агента терминального сервера UserGate доступны в личном кабинете клиента UserGate по адресу https://my.usergate.com, в разделе Все загрузки.

Перейдите в раздел загрузок и найдите ссылку Скачать агент авторизации для терминального сервера. В скачанном архиве находятся две версии ПО – для 32-битных систем и для 64-битных. Выберите для установки подходящую вам версию дистрибутива.

Программное обеспечение устанавливается в каталог “C:\Program Files\Entensys\TerminalServerAgent”.

В каталоге, вы можете найти два исполняемы файла – tsagent.exe и config.exe. Файл tsagent.exe регистрируется в системе, в качестве службы, которую можно наблюдать в оснастке управления службами. В описании службы сказано “UserGate Terminal Server Agent”. Агент не отправляет на устройство UserGate никаких пользовательских данных, кроме информации об имени пользователя, которые ассоциируются на устройстве с сетевыми коммуникациями, производимыми в рамках терминальных сессий.

Используя файл config.exe, можно перенастроить параметры соединения с сервером UserGate, заданные при первоначальной установке ПО, а также параметры периодичности отправки данных.

Конфигурации подключения к серверу UserGate хранятся в файле C:\ProgramData\Entensys\Terminal Server Agent\tsagent.cfg. В этом же каталоге хранится лог файл работы сервиса. При диагностике проблем с работой сервиса рекомендуется сопровождать обращения в техническую поддержку данным файлом, также самостоятельно можно диагностировать возможные причины проблем в работе ПО.

2.6.2. Подготовка устройства UserGate к подключению терминальных агентов

Для того, чтобы успешно подключить агент терминального сервера к устройству UserGate необходимо выполнить несколько простых шагов.

  1. Убедиться, что в зоне подключения терминального сервера разрешен трафик агента.

Для настройки параметров зоны войдите в консоль администрирования устройства. Перейдите в раздел Сеть --> Зоны и выберите соответствующую вашим конфигурациям зону. По умолчанию, внутренний трафик поступает на устройство из зоны Trusted. Откройте свойства зоны и убедитесь, что во вкладке Контроль доступа отмечен чекбокс Агент авторизации.

image86

  1. Задать пароль для подключения агента.

Для версий UserGate 6.1.4 и ниже: для конфигурации пароля агентов перейдите в раздел Пользователи и устройства --> Терминальные серверы. В данном разделе будут отображаться все подключенные агенты терминальных серверов. Также в данном разделе можно управлять подключениями агентов.

Чтобы задать пароль для подключения агентов, нажмите на кнопку Настройки и установите пароль.

Для версий UserGate 6.1.5 и выше: перейдите в раздел UserGate --> Настройки --> Модули и в поле Пароль агентов терминального сервиса укажите пароль агентов.

2.6.3. Установка агента терминального сервера UserGate

Агентское ПО может быть установлено как в ручном режиме, так и при помощи различных средств автоматизации.

Для установки ПО в ручном режиме, запустите установочный файл, подходящий для вашей системы. Во время установки запустится мастер настройки агента, который предложит ввести настройки подключения к устройству UserGate.

Минимальные достаточные для установки агента данные составляют IP-адрес устройства и пароль для подключения к устройству.

Так как ПО распространяется в виде MSI пакета, его возможно установить и сконфигурировать в автоматическом режиме. Например, ПО можно распространить, применяя групповые политики Microsoft Active Directory.

Так же ПО можно установить и сконфигурировать, запустив утилиту Windows Installer msexec.exe.

Пример команды для скрытой автоматической установки ПО:

msiexec.exe /log install.log -i \\file-server\TerminalServerAgent-x64.msi /quiet SERVER_ADDRESS=[ip-address] UTM_PASSWORD=[password]

Ключ /log является опциональным и позволяет создать журнал установки процесса установки ПО и убедиться, что установка прошла корректно.

Ключ /quiet скрывает графический интерфейс установщика ПО. Иными словами установка ПО произойдет в скрытом режиме.

Далее указываются два обязательных параметра конфигурации в формате КЛЮЧ=ЗНАЧЕНИЕ. Таким образом мы сообщаем установщику IP-адрес устройства UserGate и регистрационный пароль.

После успешной установки и регистрации ПО, в административном интерфейсе UserGate появится запись о зарегистрированном агенте. Обратите внимание, агент находится в отключенном состоянии. Необходимо активировать подключение со стороны устройства:

image87

После установки, регистрации и активации клиента, может понадобиться некоторое время (для синхронизации данных), прежде чем в журналах отобразится информация о пользователях, работающих через терминального сервера.

image88

Для версий UserGate 6.1.5 и выше. В разделе Пользователи и устройства --> Терминальные серверы необходимо добавить агентов терминального сервера, указав имя и адрес хоста. После получения данных с указанного в настройках хоста и совпадении пароля авторизация пользователей будет включена автоматически.

При обновлении версии UserGate агенты терминальных серверов, которые ранее отображались в веб-консоли, будут продолжать работать.

2.6.4. Авторизация локальных пользователей терминального сервера

Агент терминального сервера может авторизовать не только доменных, но и локальных пользователей терминального сервера. Для этого необходимо внести изменения в файл конфигурации (C:\ProgrammData\Entensys\Terminal Server Agent\tsagent.cfg):

LocalDomain = 1

Перезапустите сервис терминального агента.

В результате в журналах веб-доступа и трафика веб-консоли администратора будут отображаться локальные пользователи терминального сервера.

Таких пользователей также необходимо добавить как локальных, чтобы их можно было указывать в правилах. Для этого перейдите в раздел Пользователи и устройства --> Пользователи и добавьте нового пользователя. Во вкладке Общие в поле Логин необходимо указать запись вида: «имя компьютера_имя пользователя». Пароль указывать не нужно.

Примечание

Имя компьютера должно состоять из букв, цифр и знака подчёркивания; использование тире не допускается.

Для авторизации клиентов терминального сервера через агент авторизации не требуется создания правил captive-портала. Если пользователь терминального сервера успешно авторизуется через captive-портал, то эта авторизация применится ко всем пользователям сервера.

Для исключения авторизации сервера, например по kerberos, необходимо создать правило captive-портала. Во вкладке Общие необходимо указать:

  • Captive-профиль: Не использовать аутентификацию.

Во вкладке Источник необходимо указать адреса терминальных серверов. Список IP-адресов терминальных серверов может быть создан в разделе Библиотеки --> IP-адреса или при настройке правила captive-портала.

image89

image90

Также можно использовать уже существующее правило captive-портала. Тогда после указания адресов терминальных серверов во вкладке Источник необходимо отметить чекбокс Инвертировать.

2.7. Настройка и проверка аутентификации reverse-прокси по пользовательскому сертификату

Reverse proxy (обратный прокси-сервер) - тип прокси сервера, который ретранслирует запросы клиентов из внешней сети на один или не несколько серверов, логически расположенных во внутренней сети. В основном используется администраторами серверов для обеспечения балансировки и высокой доступности.

С настройкой reverse-прокси на UserGate можно ознакомиться в UserGate 6. Руководство администратора.

В UserGate реализована возможность авторизации по сертификату: требование предъявления пользовательского сертификата браузером. Алгоритм генерации сертификатов рассмотрен в разделах Создание сертификата на Linux и Создание сертификата на Windows. После того, как сертификаты сгенерированы необходимо выполнить следующее.

  1. Импортировать файл auth-certiifcates/basefiles/Admin.crt в UserGate и назначить ему статус пользовательского сертификата (инструкцию по импорту сертификата читайте в Usergate 6. Руководство администратора). Сертификат будет назначен пользователю, который может быть добавлен локально или получен из LDAP. Данный сертификат будет использоваться для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси.

Далее в разделе Глобальный портал --> Правила reverse-прокси необходимо включить чекбокс Авторизовать по сертификату и во вкладке Пользователи указать пользователей/группу пользователей, у которых есть сертификат.

  1. Импортировать файл сертификата auth-certiifcates/Admin.p12 в хранилище браузера Ваши сертификаты (пароль 1234; можно изменить в файле generate-auth-certificate.sh).

При первом открытии сайта происходит запрос привязки пользователя к сертификату, который был указан в правилах reverse-прокси. Далее, сайт будет открываться c SSL-сертификатом.

2.7.1. Создание сертификата на Linux

  1. Создать пользовательский сертификат. Скачать файл generate-auth-certificate.sh. В данном файле содержится скрипт для создания SSL-сертификата.

Через терминал войти в папку, где сохранён файл и выполнить следующую команду:

sh generate-auth-certificate.sh

После выполнения будет создана папка auth-certiifcates.

С использованием команды ls –l можно вывести список всех файлов, включая скрытые.

ls -l ./auth-certificates

итого 16

-rw------- 1 emv emv 3882 янв 20 11:21 Admin.p12

drwxr-xr-x 2 root root 4096 янв 20 11:21 basefiles

-rw-r--r-- 1 root root 1229 янв 20 11:21 ca.crt

-rw------- 1 root root 3896 янв 20 11:21 NotAdmin.p12

Просмотрим содержимое папки auth-certiifcates/basefiles:

ls –l ./auth-certificates/basefiles

итого 20

-rw-r--r-- 1 root root 1460 янв 20 11:21 Admin.crt

-rw------- 1 root root 3243 янв 20 11:21 Admin.key

-rw------- 1 root root 1675 янв 20 11:21 ca.key

-rw-r--r-- 1 root root 1464 янв 20 11:21 NotAdmin.crt

-rw------- 1 root root 3243 янв 20 11:21 NotAdmin.key

Далее можно выполнять импорт сертификатов.

2.7.2. Создание сертификата на Windows

  1. Для создания сертификата будет использоваться библиотека OpenSSL. После установки OpenSSL на Windows создать 2 папки: auth-certificates и basefiles в папке auth-certificates.

  2. Открыть командную строку в режиме администратора и зайти в ранее созданную папку auth-certificates.

  3. С использованием следующих команд создать Х.509-сертификат:

openssl req -x509 -newkey rsa:2048 -keyout basefiles/ca.key -nodes -out ca.crt -subj '/CN=Entensys Auth CA/L=Novosibirsk/C=RU'

openssl rsa -in basefiles/ca.key -out basefiles/ca.key

В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem - публичный ключ.

  1. Далее необходимо создать приватные RSA ключи и сгенерировать самоподписанные сертификаты Admin.crt и NotAdmin.crt:

openssl genrsa -out basefiles/Admin.key 4096

openssl req -new -key basefiles/Admin.key -out $TMP_FILE -subj '/CN=Admin/L=Novosibirsk/C=RU/O=Entensys/OU=Unit1'

openssl x509 -req -days 365 -CA ca.crt -CAkey basefiles/ca.key -set_serial 01 -in $TMP_FILE -out basefiles/Admin.crt

openssl pkcs12 -password pass:1234 -export -out Admin.p12 -name "UTM user Admin" -in basefiles/Admin.crt -inkey basefiles/Admin.key

openssl genrsa -out basefiles/NotAdmin.key 4096

openssl req -new -key basefiles/NotAdmin.key -out $TMP_FILE -subj '/CN=NotAdmin/L=Novosibirsk/C=RU/O=Entensys/OU=Unit2'

openssl x509 -req -days 365 -CA ca.crt -CAkey basefiles/ca.key -set_serial 02 -in $TMP_FILE -out basefiles/NotAdmin.crt

openssl pkcs12 -password pass:1234 -export -out NotAdmin.p12 -name "UTM user NotAdmin" -in basefiles/NotAdmin.crt -inkey basefiles/NotAdmin.key

rm -f $TMP_FILE

Далее можно выполнять импорт сертификатов.

2.8. Настройка HTTPS для Captive-портала

По умолчанию, согласно UserGate 6. Руководство администратора, для Captive-портала используется самоподписанный сертификат с common name «auth.captive». Этот сертификат не отображается в веб-консоли. Очевидно, что если просто активировать опцию HTTPS для страницы авторизации в настройках captive-профиля, то в результате отобразится предупреждение браузера о недоверенном сертификате и будет нарушена работа авторизации.

Чтобы использовать HTTPS для страницы авторизации пользователей, необходимо выполнить следующие действия.

  1. Указать служебный домен Auth captive-портала.

Перейдите во вкладку Настройки и в разделе UserGate --> Настройки --> Модули укажите Домен Auth captive-портала, который используется UserGate при авторизации пользователей через captive-портал.

image91

  1. Создать новый CSR.

В главной консоли перейдите в раздел UserGate --> Сертификаты, нажмите Создать и выберите Новый CSR. Укажите необходимые данные, а в поле Common name укажите имя домена Auth captive-портала, настроенного в пункте 1.

image92

  1. Скачать файл.

Для этого выделите созданный CSR и нажмите Экспорт --> Экспорт CSR.

  1. Подписать сертификат.

Для подписания сертификата используется веб-интерфейс центра сертификации Active Directory.

image93

Выберите Request a certificate --> submit an advanced certificate request. Скопируйте содержимое CSR-файла в поле Base-64-encoded certificate request. В качестве шаблона сертификата (Certificate Template) укажите Web Server и нажмите Submit.

image94

  1. Скачать сертификат и цепочку сертификатов в формате Base 64.

  2. Импортировать файлы в UserGate.

Во вкладке UserGate --> Сертификаты откройте созданный в пункте 2 CSR-запрос. Загрузите файлы сертификата и цепочки сертификатов и укажите роль сертификата SSL captive-портала.

image95

  1. Включить HTTPS для страницы авторизации.

Перейдите в раздел Пользователи и устройства --> Captive-профили. В свойствах профиля captive-портала во вкладке Общие отметьте чекбокс HTTPS для страницы авторизации.

image96

Проверка.

Браузер без проблем переходит на страницу авторизации и не возникает ошибок доверия к SSL-сертификату.

image97

Примечание

Браузер Firefox, по умолчанию, не доверяет сертификатам, подписанным корпоративным удостоверяющим центрам (СА).

Для настройки доверия, необходимо перейти по адресу about:config и включить опцию security.enterprise_roots.enabled.

image98

В результате Firefox также без проблем переходит на страницу авторизации и не возникает ошибок доверия к SSL-сертификату.

image99

3. Виртуализация

3.1. Развертывание образа UserGate на Hyper-V

В данном разделе рассмотрена настройка UserGate для среды виртуализации Microsoft Hyper-V.

  1. Скачать образ UserGate с официального сайта (Hyper-V образ).

  2. Распаковать файл utm-hyperv.zip.

  3. Проверить сетевые интерфейсы на хостовой машине с Hyper-V.

  4. Создать виртуальные коммутаторы для необходимых интерфейсов.

По умолчанию в UserGate имеются четыре зоны Management, Trusted, Untrusted и DMZ.

Для примера созданы четыре виртуальных коммутатора по одному на каждый интерфейс. Названия совпадают с названиями у зон, т.е. Management, Trusted, Untrusted и DMZ.

image100

Если на сервере используются один или два сетевых интерфейса, тогда достаточно создать один или два виртуальных коммутатора и подключить их к требуемым интерфейсам.

  1. Создать виртуальную машину.

image101

Далее откроется окно мастера создания виртуальной машины.

  1. Задать необходимые настройки виртуальной машины.

Во вкладке Укажите имя и местонахождение задайте имя виртуальной машины. Если хотите изменить папку, в которой будет сохранена виртуальная машина, отметьте чекбокс Сохранить виртуальную машину в другом месте и выберите нужную папку.

image102

  1. Во вкладке Выделить память увеличьте размер оперативной памяти виртуальной машины. Используя свойства виртуальной машины, установите минимум 8Gb и добавьте по 1Gb на каждые 100 пользователей.

image103

  1. Во вкладке Настройка сети указать подключение к виртуальному коммутатору Management.

  2. Во вкладке Подключить жёсткий виртуальный диск выбрать виртуальный жесткий диск из папки, в которую был распакован скачанный файл utm-hyperv.zip.

image104

  1. Во вкладке Сводка представлена информация о созданной виртуальной машине. Далее необходимо произвести настройку.

Откройте меню Параметры в разделе Действия. В разделе Оборудование --> Процессор увеличьте число виртуальных процессоров до двух. Количество процессоров необходимо определять в зависимости от количества пользователей и ресурсов вашего сервера.

image105

Создайте четыре сетевых адаптера и подключите их к созданным ранее виртуальным коммутаторам. Для этого перейдите во вкладку Оборудование --> Установка оборудования выделите Сетевой адаптер и нажмите кнопку Добавить. Далее будет создан сетевой адаптер: укажите виртуальный коммутатор.

image106

image107

Аналогично добавьте остальные сетевые адаптеры.

Во вкладке Оборудование --> Контроллер 0 IDE --> Жесткий диск нажмите Правка. В открывшемся окне мастера изменения виртуального жёсткого диска перейдите в раздел Выбрать действие, отметьте чекбокс Преобразовать и нажмите Далее. В разделе Настройка диска проверьте размер диска виртуальной машины. Установите размер диска в 100Gb или более. Рекомендованный размер - 300Gb.

Отключите службы интеграции во вкладке Управление --> Службы интеграции. Виртуальная машина настроена.

  1. Запустить виртуальную машину, нажав на Пуск в разделе Действия или в контекстном меню.

image108

За стартом можно наблюдать, подключившись к виртуальной консоли. Для этого выберите Подключить в разделе Действия или в контекстном меню.

image109

  1. Во время первой загрузки выполнится процедура Factory reset. Во время этого шага UserGate настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска, увеличенного в предыдущих пунктах.

  2. После перезагрузки, если в сети, подключенной к первому виртуальному коммутатору (Management) и, соответственно, интерфейсу port0, есть DHCP-сервер, то в приглашении будут отображены адрес и порт, для управления через веб-консоль.

Если DHCP-сервера нет, то адрес для интерфейса необходимо задать самостоятельно. Авторизуйтесь в CLI-консоли с логином Admin и паролем utm. С помощью следующей команды:

  • Для UserGate версий 6.1.х:

    UTM> iface config -name port0 -ipv4 A.B.C.D/M -enabled true -mode static

где A.B.C.D/М - выделенный адрес и маска локальной сети.

  1. Настройка UserGate.

Дальнейшая настройка UserGate производится через веб-консоль, к которой необходимо подключиться по полученному или заданному адресу. На странице предупреждения о небезопасном соединении нажмите Дополнительные и Перейти на сайт A.B.C.D/М (небезопасно), где A.B.C.D/М - адрес для управления через веб-консоль.

Далее откроется окно установки UserGate. Выберите язык установки и часовой пояс, примите лицензионное соглашение, задайте логин и пароль администратора. После заполнения отроется веб-консоль UserGate.

Перейдите в раздел Сеть --> Интерфейсы. Интерфейсу port0 уже назначен IP-адрес и зона Management. Укажите зону Trusted (во вкладке Общие) и IP-адрес (во вкладке Сеть) для интерфейса port1.

image110

Для интерфейса port2 установите зону Untrusted (во вкладке Общие) и выберите получение IP-адреса по DHCP (во вкладке Сеть).

image111

Для интерфейса port3 установите зону DMZ (во вкладке Общие) и укажите IP-адрес (во вкладке Сеть).

image112

Перейдите во вкладку Сеть --> Шлюзы. Задайте шлюз по умолчанию для интерфейса, через который будет осуществляться выход в сеть Интернет. В данном случае для выхода в Интернет будет использоваться интерфейс port2.

Для интерфейса port0 также адрес и шлюз выданы DHCP-сервером, поэтому во вкладке Сеть --> Шлюзы будут отображены два шлюза. Оставьте один шлюз по умолчанию для выхода в Интернет.

image113

Укажите адрес DNS-сервера во вкладке Сеть --> DNS.

  1. Проверить корректность сетевых настроек.

Для проверки подключитесь через виртуальную CLI-консоль и наберите команду ping ya.ru. Успешное выполнение команды говорит о правильности произведённых настроек.

image114

  1. Зарегистрировать продукт UserGate.

Для регистрации нажмите на Незарегистрированная версия в верхней части окна, введите пин-код и заполните необходимые данные.

После регистрации начнется обновление баз данных контентной фильтрации, антивирусных и т. д. Посмотреть версию баз и ход обновления можно во вкладке Дашборд. После обновления баз продукт готов к работе.

4. Управление сертификатами

В данном разделе рассмотрены примеры создания удостоверяющего центра (УЦ) компании и сертификатов, необходимых для корректной работы UserGate. В качестве примеров используются бесплатное программное обеспечение XCA и Open SSL.

Примечание

Сертификат УЦ компании является конфиденциальной информацией вашей компании. Применяйте необходимые меры для защиты файлов сертификата от постороннего доступа.

4.1. Создание сертификатов с помощью программы XCA

Для создания сертификатов используется бесплатная программа управления сертификатами XCA. Скачать данную программу можно на сайте https://www.hohnstaedt.de/xca/.

Запустите XCA. Создайте базу данных для хранения сертификатов Файл --> Новая база данных (New DataBase).

4.1.1. Создание сертификата удостоверяющего центра компании

  1. Создать закрытый ключ для сертификата УЦ компании.

Во вкладке Закрытые ключи создайте новый ключ для сертификата УЦ компании. Заполните необходимые параметры ключа и нажмите кнопку Создать.

image286

Созданный закрытый ключ будет отображен во вкладке Закрытые ключи.

image116

  1. Создать сертификат УЦ компании.

Для этого перейдите во вкладку Сертификаты, нажмите кнопку Новый сертификат и укажите необходимые данные.

Вкладка Первоисточник:

  • Алгоритм подписи: SHA 256.

  • Шаблон для нового сертификата: шаблон по умолчанию для УЦ (CA – Certificate authority).

После заполнения нажмите Применить всё.

image117

Во вкладке Субъект заполните данные на сертификат и в выберите созданный ранее закрытый ключ.

image118

Во вкладке Расширение укажите тип базового контейнера: Центр Сертификации.

image119

Проверьте, что во вкладке Область применения ключа в разделе X509v3 Key Usage включены параметры Certificate Sign и CRL Sign.

image120

Во вкладке Netscape можно убрать выбранные типы шаблона CA.

image121

Далее нажмите кнопку OK: сертификат создан. Сертификат отобразится во вкладке Сертификаты.

image122

  1. Экспортировать созданные сертификат УЦ и закрытый ключ для импорта в UserGate (для этого нажмите на кнопку Экспорт во вкладках Сертификаты и Закрытые ключи, соответственно).

image123

image124

  1. Импортировать сертификат CA и закрытый ключ в UserGate

Перейдите в раздел UserGate --> Сертификаты и нажмите Импорт. Укажите:

  • Название сертификата.

  • Файл сертификата: загрузите созданный сертификат УЦ компании.

  • Приватный ключ: загрузите закрытый ключ.

После сохранения, назначьте сертификату роль SSL инспектирование.

image125

  1. На рабочих станциях импортируйте сертификат УЦ в доверенные корневые центры сертификации.

4.1.2. Создание SSL-сертификата captive-портала

  1. Создать новый закрытый ключ. Процесс создания закрытого ключа аналогичен созданию ключа для УЦ (Создание сертификата удостоверяющего центра компании п. 1 – 2).

  2. Создать запрос на получение сертификата.

Перейдите во вкладку Запрос на получение сертификата и, нажав на кнопку Новый запрос, создайте запрос. Укажите необходимые данные.

Во вкладке Первоисточник укажите.

  • Шаблон для нового сертификата: TLS_server.

  • Алгоритм подписи: SHA 256.

Далее нажмите на кнопку Применить всё.

image126

Во вкладке Субъект заполните персональные данные субъекта и выберите созданный для этого сертификата закрытый ключ. В поле commonName введите одно из имён домена captive-портала.

image127

Во вкладке Расширение добавьте записи доменов captive-портала с типом DNS в поле X509v3 Subject Alternative Name, нажав кнопку Редактировать.

image128

Чекбокс Copy Common Name скопирует в альтернативные имена сертификата домен auth.test1.net. Для сохранения введенных имен нажмите Применить.

image129

Во вкладке Область применения ключа проверьте: в разделе X509v3 Key Usage должны быть включены параметры Digital Signature, Non Repudiation и Key Encipherment.

image130

Во вкладке Netscape оставьте значения пустыми.

image131

Далее сохраните запрос (нажмите OK). Запрос отобразится во вкладке Запросы на получение сертификата.

image133

  1. Подписать сертификат.

Выделите запрос и в контекстном меню выберите Подписать.

Во вкладке Первоисточник в поле Использовать этот сертификат для подписи выберите сертификат УЦ (CA) и нажмите OK для подписания сертификата.

image134

Новый сертификат, подписанный удостоверяющим центром, отобразится во вкладке Сертификаты.

image135

  1. Экспортировать сертификат и его закрытый ключ.

Для этого нажмите на кнопку Экспорт во вкладках Сертификаты и Закрытые ключи, соответственно.

  1. Импортировать сертификат и его закрытый ключ в UserGate.

Во вкладке UserGate --> Сертификаты импортируйте в UserGate данный сертификат и его закрытый ключ (аналогично п. 4 в разделе Создание сертификата удостоверяющего центра компании). Назначьте сертификату роль SSL captive-портала.

4.1.3. Создание SSL-сертификата веб-консоли

  1. Создать новый закрытый ключ. Процесс создания закрытого ключа аналогичен созданию ключа для УЦ (Создание сертификата удостоверяющего центра компании п. 1 – 2).

  2. Создать запрос на получение сертификата.

Перейдите во вкладку Запрос на получение сертификата и, нажав на кнопку Новый запрос, создайте запрос. Укажите необходимые данные.

Во вкладке Первоисточник укажите.

  • Шаблон для нового сертификата: TLS_server.

  • Алгоритм подписи: SHA 256.

Далее нажмите на кнопку Применить всё.

image136

Во вкладке Субъект заполните персональные данные субъекта и выберите созданный для этого сертификата закрытый ключ. В поле commonName введите FQDN имя сервера UserGate.

image137

Многие браузеры сертификат сайта и доменное имя сопоставляют по Subject Alternative Name: во вкладке Расширение установите значение DNS:copycn в Subject Alternative Name.

image138

Проверьте, что во вкладке Область применения ключа в разделе X509v3 Key Usage включены параметры Digital Signature, Non Repudiation и Key Encipherment.

image139

Во вкладке Netscape оставьте значения пустыми.

image140

Нажмите ОК: запрос на сертификат создан.

image141

  1. Подписать сертификат.

Выделите запрос и в контекстном меню выберите Подписать.

Во вкладке Первоисточник в поле Использовать этот сертификат для подписи выберите сертификат УЦ (CA) и нажмите OK для подписания сертификата.

image142

Новый сертификат, подписанный УЦ, отобразится во вкладке Сертификаты.

  1. Экспортировать сертификат и его закрытый ключ.

Для этого нажмите на кнопку Экспорт во вкладках Сертификаты и Закрытые ключи, соответственно.

  1. Импортировать сертификат и его закрытый ключ в UserGate.

Во вкладке UserGate --> Сертификаты импортируйте в UserGate данный сертификат и его закрытый ключ (аналогично п. 4 в разделе Создание сертификата удостоверяющего центра компании). Назначьте сертификату роль SSL веб-консоли.

4.2. Создание сертификатов с помощью программы OpenSSL

  1. Выбрать каталог для хранения ключей и сертификатов и назначить необходимый уровень доступа.

# mkdir /root/ca

# cd /root/ca

# mkdir certs crl newcerts private

# chmod 700 private

# touch index.txt

  1. Сгенерировать приватный ключ.

# openssl genrsa -out /root/ca/private/ca_key.pem 2048

  1. Создать сертификат CA для этого приватного ключа.

# openssl req -new -x509 -days 3650 -key /root/ca/private/ca_key.pem -out /root/ca/certs/ca.crt

Вывод команды:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.


Country Name (2 letter code) [AU]:RU

State or Province Name (full name) [Some-State]:NSO

Locality Name (eg, city) []:Novosibirsk

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Kraftec

Organizational Unit Name (eg, section) []:

Common Name (e.g. server FQDN or YOUR name) []:www.kraftec.net

Email Address [`]:dit@kraftec.net <mailto:]:dit@kraftec.net>`__

  1. Создать конфигурационный файл для OpenSSL.

Для создания сертификата SSL для Captive портала и Веб-консоли необходимо создать файл конфигурации.

# touch /root/ca/openssl.cnf

Добавьте в данный файл следующие блоки:


[ ca ]

default_ca = CA_default

[ CA_default ]

dir = /root/ca

certs = $dir/certs

crl_dir = $dir/crl

database = $dir/index.txt

new_certs_dir = $dir/newcerts

certificate = $certs/ca.crt

private_key = $dir/private/ca_key.pem

serial = $dir/serial

crlnumber = $dir/crlnumber

crl = $dir/crl/crl.pem

RANDFILE = $dir/private/.rand

x509_extensions = usr_cert

name_opt = ca_default

cert_opt = ca_default

crl_extensions = crl_ext

default_days = 365

default_crl_days= 30

default_md = sha256

preserve = no

policy = policy_match

[ policy_match ]

countryName = match

stateOrProvinceName = match

organizationName = match

organizationalUnitName = optional

commonName = supplied

emailAddress = optional

[ req ]

default_bits = 2048

distinguished_name = req_distinguished_name

x509_extensions = v3_ca

string_mask = utf8only

[ req_distinguished_name ]

countryName = Country Name (2 letter code)

countryName_default = RU

countryName_min = 2

countryName_max = 2

stateOrProvinceName = State or Province Name (full name)

stateOrProvinceName_default = NSO

localityName = Locality Name (eg, city)

localityName_default = Novosibirsk

0.organizationName = Organization Name (eg, company)

0.organizationName_default = Kraftec

organizationalUnitName = Organizational Unit Name (eg, section)

#organizationalUnitName_default =

commonName = Common Name (e.g. server FQDN or YOUR name)

commonName_max = 64

emailAddress = Email Address

emailAddress_max = 64

[ usr_cert ]

basicConstraints=CA:FALSE

nsCertType = server

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid,issuer

subjectAltName=DNS:auth.kraftec.net, DNS:logout.kraftec.net, DNS:block.kraftec.net, DNS:ftpclient.kraftec.net, DNS:sslvpn.kraftec.net

[ v3_ca ]

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid:always,issuer

basicConstraints = critical,CA:true

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ crl_ext ]

authorityKeyIdentifier=keyid:always


  1. Сгенерировать ключ для SSL-сертификата Captive-портала.

# openssl genrsa -out /root/ca/private/Captive_key.pem 2048

  1. Сгенерировать ключ для SSL-сертификата Веб-консоли

# openssl genrsa -out /root/ca/private/Web_key.pem 2048

  1. Сгенерировать запрос на SSL-сертификат Captive-портала

# openssl req -new -key /root/ca/private/Captiv_key.pem -config /root/ca/openssl.cnf -out /root/ca/Captive.csr

Вывод команды:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.


Country Name (2 letter code) [RU]:

State or Province Name (full name) [NSO]:

Locality Name (eg, city) [Novosibirsk]:

Organization Name (eg, company) [Kraftec]:

Organizational Unit Name (eg, section) []:

Common Name (e.g. server FQDN or YOUR name) []:auth.kraftec.net

Email Address []:dit@kraftec.net

  1. Подписать полученный запрос с помощью сертификата УЦ.

# openssl x509 -req -days 365 -CA /root/ca/certs/ca.crt -CAkey /root/ca/private/ca_key.pem -extfile /root/ca/openssl.cnf -extensions usr_cert -in Captive.csr -out Captive.crt

Вывод команды:

Signature ok

subject=/C=RU/ST=NSO/L=Novosibirsk/O=Kraftec/CN=auth.kraftec.net/emailAddress=dit@kraftec.net

Getting CA Private Key

  1. Сгенерировать запрос на SSL-сертификат Веб-консоли.

Предварительно исправьте конфигурационный файл usr_cert: измените параметр на subjectAltName=DNS:utm.kraftec.net

# openssl req -new -key /root/ca/private/Web_key.pem -config /root/ca/openssl.cnf -out /root/ca/Web.csr

Вывод команды:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.


Country Name (2 letter code) [RU]:

State or Province Name (full name) [NSO]:

Locality Name (eg, city) [Novosibirsk]:

Organization Name (eg, company) [Kraftec]:

Organizational Unit Name (eg, section) []:

Common Name (e.g. server FQDN or YOUR name) []:utm.kraftec.net

Email Address []:dit@kraftec.net

  1. Подписать полученные запросы с помощью сертификата УЦ.

# openssl x509 -req -days 365 -CA /root/ca/certs/ca.crt -CAkey /root/ca/private/ca_key.pem -extfile /root/ca/openssl.cnf -extensions usr_cert -in Web.csr -out Web.crt

Вывод команды:

Signature ok

subject=/C=RU/ST=NSO/L=Novosibirsk/O=Kraftec/CN=utm.kraftec.net/emailAddress=dit@kraftec.net

Getting CA Private Key

  1. Импортировать данные сертификаты и приватные ключи в UserGate в разделе UserGate --> Сертификаты.

Назначьте сертификатам следующие роли:

  • Сертификату ca.crt: SSL дешифрование.

  • Сертификату Captive.crt: SSL captive-портала.

  • Сертификату Web.crt: SSL веб-консоли.

Установите сертификат ca.crt на компьютеры пользователей в хранилище Доверенные корневые центры сертификации.

4.3. Создание сертификата, подписанного в Active Directory Certification Authority

  1. Для создания сертификата перейдите в раздел UserGate --> Сертификаты и выберите Создать --> Новый CSR. Заполните необходимые данные. В поле Common name укажите домен, который вы используете.

image143

  1. Выделите файл запроса и, нажав Экспорт --> Экспорт CSR, скачайте файл.

  2. В Microsoft CA необходимо создать сертификат на основе полученного на предыдущем шаге CSR-файла. Для этого используется утилита certreq:

сertreq.exe -submit –attrib "CertificateTemplate:SubCA" .\certificate_csr.pem

где certificate_csr.pem - файл, созданный в консоли UserGate.

Далее необходимо выбрать центр сертификации.

image144

Файл будет создан в формате PEM – PKCS#7.

  1. В консоли UserGate выберите созданный ранее CSR и нажмите кнопку Редактировать. Загрузите файл сертификата и сохраните изменения.

image145

  1. Установите роль сертификата SSL инспектирование.

image146

Также возможно использование web-приложения центра сертификации Microsoft Active Directory.

image147

image148

image149

Тип сертификата может быть любой – DER или PEM.

image150

В веб-консоли Microsoft CA выберите и скачайте сертификаты (публичные ключи) для самого Удостоверяющего Центра:

image151

image152

Импортируйте сертификаты в UserGate.

4.4. Распространение сертификатов UserGate на клиентские компьютеры с помощью групповой политики

Следующую процедуру можно использовать для принудительной отправки соответствующих сертификатов SSL (или эквивалентных сертификатов, связанных с доверенным корневым) на каждый клиентский компьютер в лесу.

Минимальным требованием для выполнения этой процедуры является членство в группе "Администраторы домена" или "Администраторы предприятия" или аналогичным образом в домен Active Directory Services (AD DS). Просмотрите сведения об использовании соответствующих учетных записей и членства в группах в локальной среде и группах домена по умолчанию.

4.4.1. Получение сертификата корневого центра сертификации UserGate

Откройте консоль администратора UserGate и перейдите в раздел UserGate --> Сертификаты. Выберите сертификат, используемый для SSL инспектирования. По умолчанию, это сертификат СА (Default). Нажмите кнопку Экспорт и выберите пункт Экспорт сертификата. Сохраните файл. Далее можно приступать к настройки групповых политик Active Directory.

4.4.2. Распространение сертификатов на клиентские компьютеры с помощью групповой политики

На контроллере домена в лесу организации партнера по учетным записям запустите оснастку Управление групповыми политиками.

Найдите существующий объект групповой политики или создайте новый объект, содержащий параметры сертификата. Убедитесь, что объект групповой политики связан с доменом, сайтом или подразделением (подразделения), где находятся соответствующие учетные записи пользователей и компьютеров.

Щелкните правой кнопкой мыши по объекту групповой политики и выберите команду Изменить.

В дереве консоли откройте Конфигурация компьютера --> Политики --> Конфигурация Windows --> Параметры безопасности --> Политики открытого ключа --> Доверенные корневые центры сертификации, затем в контекстном меню выберите Импорт.

В окне мастера импорта сертификатов укажите импортируемый файл и хранилище, в которое будет помещён сертификат - Доверенные корневые центры сертификации. Нажмите Далее, убедитесь, что предоставлены правильные сведения, и нажмите кнопку Готово.

5. Виртуальные маршрутизаторы (VRF)

5.1. Настройка мультикаст маршрутизации

Мультикаст (multicast) - технология широковещательной передачи данных, которая позволяет организовывать единовременную многоадресную рассылку и потоковую передачу данных в режиме реального времени.

Технология IP мультикастинга позволяет существенно сократить объем передаваемого трафика, тем самым обеспечивая рациональное использование пропускной способности, экономию вычислительных возможностей сервера и снижение нагрузки на сеть. Технология является особенно эффективной для доставки голосового и видео трафика, т.к. позволяет доставлять единый поток информации к тысячам потребителей.

Мультикаст маршрутизация позволяет доставлять трафик к группе хостов - мультикаст-группе, которая идентифицируется групповым адресом. Хосты (получатели), которые хотят получать данный трафик должны присоединиться к соответствующей мультикаст-группе по протоколу IGMP (Internet Group Management Protocol). Подробнее о технологии читайте в UserGate 6. Руководство администратора.

По представленной схеме произведём настройку мультикаст маршрутизации по протоколу маршрутизации многоадресных сообщений PIM-SM (Protocol Independent Multicast Sparse Mode) протокола с использованием протокола динамической маршрутизации OSPF для unicast пакетов.

image153

Сначала происходит установка соседства между маршрутизаторами путём отправки Hello сообщений (сообщение отправляется всем соседям, кроме того, от кого был получен данный пакет). Остальные мультикаст маршрутизаторы повторяют данный процесс. Путь, который прошел мультикаст пакет от источника до конечных получателей, образует дерево, которое называется — source-based distribution tree, shortest-path tree (SPT), source tree.

При запуске на сервере приложения с поддержкой мультивещания, оно посылает в сеть уведомление, что соответствующая группа доступна для присоединения. Клиент, который хочет присоединиться к группе, посылает об этом уведомление. Все промежуточные маршрутизаторы записывают, что за соответствующим маршрутом есть клиент соответствующей мультикаст-группы.

После получения данных об отправителе и получателе трафика на роутерах формируются таблицы мультикаст маршрутизации. Для обеспечения актуальности информации о источнике и получателе трафика используется точки рандеву Rendezvous Point — RP благодаря которым происходит связность источника с приёмниками трафика. Запрос роутерами мультикастового трафика выполняется с помощью сообщения PIM Join. В начале весь мультикаст трафик идёт через RP, но после определения более короткого пути трафик пойдёт по нему.

Настройка UserGate.

  1. В разделе Сеть --> Зоны во вкладке Контроль доступа необходимо разрешить OSPF и Multicast.

image154

  1. Произвести настройку виртуальных маршрутизаторов в разделе Сеть --> Виртуальные маршрутизаторы.

Настройка Default VRF.

OSPF:

  • Идентификатор маршрутизатора: 10.10.12.20.

  • Redistribute: connected.

  • Интерфейсы: port 2, port 3.

  • Области: area 1.

Мультикаст маршрутизатор:

  • Port 2: отключить чекбокс IGMP.

  • Port 3: включить чекбокс IGMP.

Настройка ISP1.

OSPF:

  • Идентификатор маршрутизатора: 10.10.11.13.

  • Redistribute: connected.

  • Интерфейсы: port 0, port 1.

  • Области: area 1.

Мультикаст маршрутизатор:

  • Port 0: включить чекбокс IGMP.

  • Port 1: отключить чекбокс IGMP.

  • IP-адрес Rendevouz points: 1.1.1.1.

  1. В разделе Политики сети --> Межсетевой экран настроить разрешающее правило, указав IP-адреса назначения 225.1.2.3 и 239.1.2.3.

image155

image156

Настройка маршрутизаторов Cisco.

Далее будут представлены настройки маршрутизаторов R1, R2, R3 и R4.

Для маршрутизатора R1 с использованием следующей команды включить мультикаст маршрутизацию.

ip multicast-routing

Далее необходимо создать логический Loopback Interface с адресом 1.1.1.1 и настроить режим PIM-SM.

interface Loopback1

ip address 1.1.1.1 255.255.255.255

ip pim sparse-mode

С использованием следующих команд производится настройка интерфейсов Fast Ethernet 1/0, Fast Ethernet 1/1, Fast Ethernet 2/0 и Fast Ethernet2/1: им присваиваются соответствующие IP-адреса, настраивается использование режима PIM-SM и автоматическое согласование скорости и дуплексного режима.

interface FastEthernet1/0

ip address 10.10.11.16 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet1/1

ip address 172.17.1.2 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/0

ip address 172.22.1.1 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/1

ip address 172.20.1.2 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

Далее необходимо настроить протокол OSPF на маршрутизаторе, чтобы роутеры могли постоянно обмениваться информацией про известные маршруты и состояние соединений (где 1 — это идентификатор процесса для маршрутизатора):

router ospf 1

router-id 1.1.1.1

Также можно включить журналирование протокола и перераспределение маршрутизатором всех подключённых сетей:

log-adjacency-changes

redistribute connected subnets

Далее указываются сети, которые маршрутизатор будет транслировать в другие сети:

network 10.10.11.0 0.0.0.255 area 1

network 172.17.1.0 0.0.0.255 area 1

network 172.20.1.0 0.0.0.255 area 1

network 172.22.1.0 0.0.0.255 area 1

Далее задаются RP и указываются их IP-адреса:

ip pim rp-address 1.1.1.1 RP1

ip pim rp-address 3.3.3.3 RP2

С использованием следующих команд создаются именованные списки доступа, которые разрешают трафик с адресов 225.1.2.3 (RP1) и 239.1.2.3 (RP2).

ip access-list standard RP1

permit 225.1.2.3

ip access-list standard RP2

permit 239.1.2.3

Настройка маршрутизаторов R2, R3 и R4 производится аналогично.

Конфигурация R2:

ip multicast-routing

interface Loopback1

ip address 2.2.2.2 255.255.255.255

ip pim sparse-mode

interface FastEthernet1/0

ip address 172.17.1.1 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet1/1

ip address 172.19.1.1 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/0

ip address 172.18.1.1 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/1

ip address 10.10.6.2 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

router ospf 1

router-id 2.2.2.2

log-adjacency-changes

redistribute connected subnets

network 172.17.1.0 0.0.0.255 area 1

network 172.18.1.0 0.0.0.255 area 1

network 172.19.1.0 0.0.0.255 area 1

ip pim rp-address 1.1.1.1 RP1

ip pim rp-address 3.3.3.3 RP2

ip access-list standard RP1

permit 225.1.2.3

ip access-list standard RP2

permit 239.1.2.3

Конфигурация R3:

ip multicast-routing

interface Loopback1

ip address 3.3.3.3 255.255.255.255

ip pim sparse-mode

interface FastEthernet1/0

ip address 172.21.1.1 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet1/1

ip address 172.19.1.2 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/0

ip address 172.20.1.1 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/1

no ip address

ip pim sparse-mode

duplex auto

speed auto

router ospf 1

router-id 3.3.3.3

log-adjacency-changes

redistribute connected subnets

network 172.19.1.0 0.0.0.255 area 1

network 172.20.1.0 0.0.0.255 area 1

network 172.21.1.0 0.0.0.255 area 1

ip pim rp-address 1.1.1.1 RP1

ip pim rp-address 3.3.3.3 RP2

ip access-list standard RP1

permit 225.1.2.3

ip access-list standard RP2

permit 239.1.2.3

Конфигурация R4:

ip multicast-routing

interface Loopback1

ip address 4.4.4.4 255.255.255.255

ip pim sparse-mode

interface FastEthernet1/0

ip address 172.22.1.2 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet1/1

ip address 172.21.1.2 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/0

ip address 172.18.1.2 255.255.255.0

ip pim sparse-mode

duplex auto

speed auto

interface FastEthernet2/1

ip address 10.10.12.23 255.255.255.0

ip pim sparse-mode

ip igmp query-interval 125

duplex auto

speed auto

router ospf 1

router-id 4.4.4.4

log-adjacency-changes

redistribute connected subnets

network 10.10.12.0 0.0.0.255 area 1

network 172.18.1.0 0.0.0.255 area 1

network 172.21.1.0 0.0.0.255 area 1

network 172.22.1.0 0.0.0.255 area 1

ip pim rp-address 1.1.1.1 RP1

ip pim rp-address 3.3.3.3 RP2

ip access-list standard RP1

permit 225.1.2.3

ip access-list standard RP2

permit 239.1.2.3

Если клиент больше не хочет получать мультикаст трафик, то ему необходимо отправить запрос на отсоединение от группы: сообщение PIM Prune.

Выявления ошибок мультикаст маршрутизации на оборудовании Cisco. С использованием команды show ip pim neighbor на оборудовании Cisco можно посмотреть список соседних мультикаст маршрутизаторов.

R1#sh ip pim neighbor

PIM Neighbor Table

Mode: B - Bidir Capable, DR - Designated Router, N - Default DR Priority, S - State Refresh Capable

Neighbor Interface Uptime/Expires Ver DR

Address Prio/Mode

10.10.11.13 FastEthernet1/0 1d22h/00:01:28 v2 1 /

172.17.1.1 FastEthernet1/1 1d22h/00:01:23 v2 1 / S P

172.22.1.2 FastEthernet2/0 1d22h/00:01:35 v2 1 / DR S P

172.20.1.1 FastEthernet2/1 1d22h/00:01:15 v2 1 / S P

Команда show ip mroute отобразит мультикаст маршрут.

R1#sh ip mroute 225.1.2.3

IP Multicast Routing Table

Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,

L - Local, P - Pruned, R - RP-bit set, F - Register flag,

T - SPT-bit set, J - Join SPT, M - MSDP created entry,

X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,

U - URD, I - Received Source Specific Host Report,

Z - Multicast Tunnel, z - MDT-data group sender,

Y - Joined MDT-data group, y - Sending to MDT-data group,

V - RD & Vector, v – Vector

Outgoing interface flags: H - Hardware switched, A - Assert winner

Timers: Uptime/Expires

Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 225.1.2.3), 1d22h/00:03:03, RP 1.1.1.1, flags: S - есть отправитель трафика

Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:

FastEthernet1/0, Forward/Sparse, 00:01:01/00:03:03

FastEthernet1/1, Forward/Sparse, 01:06:06/00:02:51

(10.10.6.3, 225.1.2.3), 1d22h/00:03:22, flags: T - есть получатель трафика

Incoming interface: FastEthernet1/1, RPF nbr 172.17.1.1

Outgoing interface list:

FastEthernet1/0, Forward/Sparse, 00:00:30/00:03:03

5.2. Варианты настройки BGP для кластера Актив-Пассив

В данном разделе рассматривается пример настройки подключения к провайдеру по BGP при использовании кластера Актив-Пассив.

UserGate поддерживает настройку кластера отказоустойчивости для обеспечения бесперебойной работы сети. Кластер отказоустойчивости может работать в двух режимах Актив-Актив и Актив-Пассив. Оба режима поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.

В данной схеме, устройства UserGate настроены в режиме отказоустойчивого кластера по схеме Актив-Пассив. В данном режиме один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. На каждом из узлов кластера выбраны сетевые интерфейсы, которым администратор назначил виртуальные IP-адреса. Между этими интерфейсами происходит обмен сообщениями - VRRP-объявления, с помощью которых узлы обмениваются информацией о своём состоянии.

При переходе роли мастер-узла на резервный сервер происходит перенос всех виртуальных IP-адресов всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

  • Запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, главный узел выключен или отсутствует сетевая доступность узлов.

  • На узле настроена проверка доступа в Интернет, и доступ в Интернет отсутствует через все имеющиеся шлюзы.

  • Сбой в работе ПО UserGate.

Подробнее о работе кластера читайте в UserGate 6. Руководство администратора.

Принципиальная схема сети будет выглядеть следующим образом:

image157

Как видно, схема содержит два устройств UserGate, подключённых к коммутатору через интерфейс port2; интерфейсы port1 используются для создания кластера; к интерфейсам port3 подключена локальная сеть (LAN). Для интерфейсов port2 и port3 использованы виртуальные интерфейсы, полученные по протоколу VRRP.

Настройка UserGate.

Считается, что кластер в режиме Актив-Пассив уже настроен; в данном примере рассмотрена настройка BGP.

BGP (Border Gateway Protocol) - динамический протокол маршрутизации, относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP - External Gateway Protocol). На текущий момент является основным протоколом динамической маршрутизации в интернете. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протоколы внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляет исходя из правил, принятых в сети (подробнее о BGP читайте в UserGate 6. Руководство администратора).

  1. Перейдите в раздел Сеть --> Виртуальные маршрутизаторы нажмите Добавить и выберите BGP. Далее задайте параметры пиринга. Во вкладке BGP-маршрутизатор:

    • Чекбокс Включено.

    • Идентификатор маршрутизатора: 10.10.10.1

    • Номер автономной системы (AS): 65001

image158

Во вкладке Сети укажите IP-адрес белой подсети.

Во вкладке Routemaps нажмите Добавить и укажите следующие параметры:

  • Название.

  • Описание (опционально).

  • Действие: Разрешить.

  • Сравнивать по: IP.

  • Установить next hop: 10.10.10.5 (виртуальный IP-адрес в сторону провайдера).

image159

Далее в свойствах routemap перейдите во вкладку IP-адреса и укажите IP-адрес белой подсети.

Остальные параметры можно оставить без изменений. Данная настройка необходима для передачи провайдеру информации об узле (мастер-узел), на который необходимо отправлять пакеты для нашей сети.

Сохраните настройки routemap и перейдите во вкладку BGP-соседи свойств виртуального маршрутизатора. Нажмите Добавить и во вкладке Общие укажите необходимые данные:

  • Чекбокс Включено.

  • Host: 10.10.10.254 (необходимо указать IP-адрес интерфейса оборудования провайдера).

  • Удалённая ASN: номер AS провайдера.

image160

Далее перейдите во вкладку Routemaps и отметьте чекбокс out созданного ранее routemap. Сохраните настройки BGP-маршрутизатора.

image161

  1. Перейдите в раздел Сеть --> Зоны. В свойствах зоны интерфейса port2 во вкладке Контроль доступа отметьте чекбокс BGP.

image162

Далее, аналогично, необходимо настроить второе устройство UserGate. После настройки UserGate со стороны маршрутизатора провайдера можно просмотреть краткую информацию о BGP и таблицу маршрутизации с использованием следующих команд:

  • sh bgp summary

Router#sh bgp summ

<вывод пропущен….>

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd

10.10.10.1 4 65001 29 32 3 0 0 00:25:27 1

10.10.10.2 4 65001 29 33 3 0 0 00:25:29 1

  • sh ip route bgp

Router#sh ip ro bgp

<вывод пропущен….>

<ваша белая подсеть>/28 is subnetted, 1 subnets

B <ваша белая подсеть> [20/10] via 10.10.10.5, 00:26:04

Адрес 10.10.10.5 является виртуальным и всегда находится на узле кластера, назначенном мастером.

Примечание

Т.к. маршрутизатор провайдера видит маршрут только до мастер-узла, другие узлы кластера UserGate не будут иметь выхода в сеть Интернет. Доступ в Интернет необходим на всех узлах UserGate для периодической проверки лицензий и скачивания различных обновлений. Далее представлены 2 варианта сетевых настроек, которые с помощью которых можно настроить доступ в Интернет на узлах кластера.

Первый вариант предполагает использование мастер-узла (master) для проксирования доступа в Интернет для других узлов кластера (slave).

image163

Примечание

Сетевые настройки являются уникальными для каждого узла кластера и не синхронизируются, т.е. каждый узел кластера настраивается индивидуально.

Для настройки перейдите в раздел Сеть --> Шлюзы и добавьте второй шлюз с IP-адресом кластерного интерфейса соседнего узла (т.е. на узле А добавьте адрес узла В; на узле В - адрес узла А). Далее необходимо включить Проверка сети (для этого необходимо нажать на одноимённую кнопку). В открывшемся окне:

  • Отметьте чекбокс Включено.

  • Укажите проверочный хост в Интернете (узлы кластера будут проверять доступность хоста, посылая ICMP-пакеты).

image164

При такой настройке узел кластера (slave) будет производить проверку доступности тестового адреса в Интернете. Т.к. напрямую ответы от удалённого хоста доходить до узла не будут, узел переключит шлюз по умолчанию на следующий указанный в списке шлюз, т.е. на адрес кластерного интерфейса мастер-узла. Так узел сможет проверять лицензию и наличие доступных обновлений. Также для работы такой схемы необходима корректная настройка правил межсетевого экрана - мастер-узел не должен блокировать трафик от другого узла кластера.

Второй вариант позволяет работать с кластерами, содержащими более двух узлов, но требует несколько адресов в стыковочной сети и белых адресов. В данном способе будут опубликованы BGP-маршруты на маршрутизаторы провайдера, специфичные для всех узлов кластера. Т.е. удаленному маршрутизатору будут указаны пути до всех устройств кластера напрямую и, дополнительно, путь для виртуального адреса, который всегда будет находиться на мастер-узле и на который будет возвращаться ответный трафик пользователей, а также который будет использоваться в случае публикации сервисов.

image165

Таким образом, трафик, сгенерированный на самих устройствах, будет маршрутизироваться обратно на эти устройства, а трафик, сгенерированный в пользовательском сегменте и проходящий через кластер, будет маршрутизироваться на виртуальный IP-адрес, который всегда находится на мастер-узле.

Необходимо настроить правила NAT и соответствующие им BGP routemaps. Ниже представлена таблица правил NAT серых адресов в белые.

Зона источника

Серый IP-адрес источника

Зона назначения

Белый IP-адрес

Trusted

Any

Untrusted

WhiteIP 1

Any

10.10.10.1

Untrusted

WhiteIP 2

Any

10.10.10.2

Untrusted

WhiteIP 3

Для настройки правил NAT необходимо перейти в раздел Политики сети --> NAT и маршрутизация. Правила NAT настроены таким образом, что если трафик сгенерирован в условной зоне Trusted (т.е. пользовательский трафик), то локальные адреса преобразуются в виртуальный белый IP-адрес; если зона источника трафика неизвестна (Unknown) и IP-адрес источника трафика равен IP-адресу интерфейса UserGate, то адрес будет преобразован в один из белых IP-адресов согласно таблице выше.

Примечание

Порядок правил NAT в списке важен, т.к. исполнение правил происходит сверху вниз и срабатывает первое правило, удовлетворяющее всем заданным условиям.

Указать зону Unknown невозможно, поэтому для срабатывания правил не нужно указывать зону (Any).

Для создания правила NAT, применяемого к пользовательскому трафику, необходимо во вкладке Общие указать:

  • Чекбокс Включено.

  • Название (для примера: NAT for users traffic).

  • Описание (опционально).

  • Тип: NAT.

  • SNAT IP (внешний адрес): белый IP-адрес.

image166

Во вкладке Источник:

  • Зона источника: Trusted.

image167

Во вкладке Назначение:

  • Зона назначения: Untrusted.

image168

Настройка правила NAT в случае, если зона источника трафика неизвестна (Unknown) и IP-адрес источника трафика равен IP-адресу интерфейса UserGate. Во вкладке Общие укажите:

  • Чекбокс Включено.

  • Название (для примера: origin UserGate1).

  • Описание (опционально).

  • Тип: NAT.

  • SNAT IP (внешний адрес): белый IP-адрес.

image169

Во вкладке Источник:

  • Адрес источника: список с IP-адресом интерфейса UserGate (список IP-адресов может быть создан в разделе Библиотеки --> IP-адреса или в свойствах правил нажатием на Создать и добавить новый объект).

image170

Во вкладке Назначение:

  • Зона назначения: Untrusted.

image171

image172

Далее необходимо опубликовать отдельные IP-адреса.

Перейдите в раздел Сеть --> Виртуальные маршрутизаторы и настройте BGP-маршрутизатор (настройка аналогична представленной выше).

Во вкладке Сети свойств виртуального маршрутизатора укажите белые IP-адреса (WhiteIP 1, WhiteIP 2, WhiteIP 3).

Во вкладке Routemaps укажите следующие карты

image173

Далее включите созданные карты в настройках BGP-соседей, активировав чекбокс out.

image174

После настройки UserGate со стороны маршрутизатора провайдера можно просмотреть BGP-маршруты:

  • show ip route bgp

Router#sh ip ro bgp

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP

<вывод пропущен….>

Gateway of last resort is 192.168.2.1 to network 0.0.0.0

<ваша белая подсеть>/32 is subnetted, 3 subnets

B White ip.2 [20/10] via 10.10.10.1, 00:10:47

B White ip.3 [20/10] via 10.10.10.2, 00:10:47

B White ip.1 [20/10] via 10.10.10.5, 00:10:47

В результате настроек трафик с NAT IP-адреса, используемого для пользовательского трафика будет отправляться на виртуальный IP-адрес 10.10.10.2.

5.3. Настройка статической маршрутизации

image318

Необходимо настроить статическую маршрутизацию между подсетями с IP-адресами 10.10.10.0/24 и 10.0.0.0/24.

Для добавления статического маршрута перейдите в раздел Сеть --> Виртуальный маршрутизаторы. Далее можно создать виртуальный маршрутизатор или использовать маршрутизатор, созданный по умолчанию (виртуальный маршрутизатор по умолчанию).

Чтобы создать виртуальный маршрутизатор нажмите Добавить. Во вкладке Общие свойств виртуального маршрутизатора задайте:

  • Название виртуального маршрутизатора.

  • Описание (опционально).

  • Имя узла: если узел входит в состав кластера, выберите узел, на котором будет создан виртуальный маршрутизатор.

image319

Перейдите во вкладку Интерфейсы и выберите интерфейсы, которые необходимо добавить в виртуальный маршрутизатор (интерфейсы, добавленные в другие виртуальные маршрутизаторы, не могут быть добавлены; интерфейс может принадлежать только одному виртуальному маршрутизатору):

image320

Дальнейшая настройка UserGate не зависит от того, какой виртуальный маршрутизатор используется (виртуальный маршрутизатор по умолчанию или созданный вами).

Откройте свойства маршрутизатора и выберите Статические маршруты.

image321

Далее нажмите Добавить и заполните необходимы поля:

  • Отметьте чекбокс Включено.

  • Название статического маршрута.

  • Описание (опционально).

  • Тип маршрута: выберите необходимы тип маршрута:

    • Unicast - стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз.

    • Blackhole - трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.

    • Unreachable - трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 1).

    • Prohibit - трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 13).

  • Адрес назначения: укажите IP-адрес сети назначения маршрута (в примере 10.0.0.0/24).

  • Шлюз: укажите IP-адрес шлюза, через который будет доступна указанная ранее подсеть. Указанный IP-адрес должен быть доступен с сервера UserGate (в примере: 1.1.1.2).

  • Интерфейс: укажите интерфейс, через который будет добавлен маршрут. Можно оставить значение Автоматически, тогда UserGate самостоятельно определит интерфейс исходя из сетевых настроек.

  • Метрика: если маршрутов в данную сеть несколько, то задайте метрику маршрута; чем меньше метрика, тем приоритетней маршрут.

image322

Аналогично, добавьте маршрут на другом узле UserGate, изменив Адрес назначения (на 10.10.10.0/24) и Шлюз (на 1.1.1.1).

image323

Просмотр добавленных маршрутов доступен во вкладке Диагностика и мониторинг в разделе Мониторинг --> Маршруты.

На первом узле (для настройки использовался виртуальный маршрутизатор по умолчанию):

image324

На втором узле (для настройки использовался виртуальный маршрутизатор по умолчанию):

image325

Как видно из рисунков, представленных выше, UserGate самостоятельно определил интерфейс, через который был добавлен маршрут.

Проверка корректности настройки статической маршрутизации между подсетями производилась с помощью утилиты ping (вкладка Диагностика и мониторинг раздел Сеть --> Ping):

image326

Для прохождения трафика между локальными сетями необходимо настроить правило межсетевого экрана. Для этого перейдите в раздел Политики сети --> Межсетевой экран, нажмите Добавить и укажите во вкладке Общие:

  • Название правила межсетевого экрана.

  • Действие: Разрешить.

Во вкладке Источник укажите зону источника Trusted; во вкладке Назначение – зону Untrusted.

Можно использовать правило, созданное по умолчанию, Allow trusted to Untrusted.

image327

image328

image329

Если необходимо разрешить прохождение трафика между виртуальными маршрутизаторами, то необходимо в статических маршрутах виртуального маршрутизатора добавить маршрут, указав сеть назначения и интерфейс устройства UserGate, через который данная сеть доступна.

Для примера создадим виртуальный маршрутизатор test и добавим интерфейс port3, к которому подключена LAN с IP-адресом 10.10.0.0/24.

image330

Чтобы разрешить трафик между двумя виртуальными маршрутизаторами, необходимо создать маршруты со следующими параметрами.

В виртуальном маршрутизаторе по умолчанию:

  • Адрес назначения: укажите IP-адрес сети назначения (в примере 10.10.0.0/24).

  • Шлюз: шлюз не указывается.

  • Интерфейс: укажите интерфейс, через который будет добавлен маршрут (в примере port3).

image331

В виртуальном маршрутизаторе test:

  • Адрес назначения: укажите IP-адрес сети назначения (в примере 10.10.10.0/24).

  • Шлюз: шлюз не указывается.

  • Интерфейс укажите интерфейс, через который будет добавлен маршрут (в примере port1).

image332

В разделе Политики сети --> Межсетевой экран необходимо настроить правило, разрешающее трафик из зоны интерфейса port1 в зону интерфейса port3 (в примере из зоны Trusted в зону Trusted).

Проверка прохождения трафика между устройствами локальных сетей 10.10.10.0/24 и 10.10.0.0/24:

image333

6. Межсетевое экранирование и правила пропускной способности

6.1. Пример настройки пропускной способности для разных зон и пользователей

В данном пункте рассмотрена настройка правила пропускной способности, которое будет работать только для определённой зоны назначения. Правила пропускной способности работают только с исходящим от UserGate трафиком, на входящий трафик UserGate влиять не может, поэтому принимает весь трафик.

Особенность настройки заключается в том, что правило пропускной способности будет работать только для зоны назначения и будет не работать для зоны источника, поэтому в правилах указываются Адрес источника и Зона назначения.

На UserGate настроена зона Trusted, назначенная для интерфейса, через который пользователи локальной сети получают доступ в Интернет. Также произведена настройка зоны DMZ, в которой расположены различные сервера компании, используемые для предоставления ресурсов пользователям локальной сети.

Проблема.

Необходимо ограничить группе пользователей локальной сети полосу пропускания для доступа к видеоконтенту из сети Интернет и не ограничивать полосу пропускания для доступа к серверам компании, расположенным в зоне DMZ.

Решение.

  1. Создать правило для ограничения полосы пропускания.

В разделе Политики сети --> Пропускная способность нажмите кнопку Добавить и создайте правило. В свойствах укажите необходимые данные.

Во вкладке Общие:

  • Название правила.

  • Полоса пропускания: 100 Kbps.

image175

Во вкладке Назначение в разделе Зона назначения укажите Trusted.

image176

Данное правило будет ограничивать весь трафик, как из зоны Untrusted, так и из зоны DMZ в зону Trusted.

  1. Настроить правило так, чтобы не происходило ограничение полосы пропускания для доступа к серверам компании, расположенным в зоне DMZ.

Для того, чтобы трафик от серверов компании в зоне DMZ к данной группе пользователей не ограничивался, необходимо во вкладке Источник в разделе Адрес источника указать список IP-адресов серверов (Добавить список IP-адресов) и отметить чекбокс Инвертировать. Список IP-адресов может быть создан в разделе Библиотеки --> IP-адреса или в настройках правила нажатием на Создать и добавить новый объект.

image177

6.2. Использование приложений в правилах фильтрации сетевого трафика

Данный функционал позволяет разрешить или запретить трафик определённых приложений. Для этого перейдите в раздел Политики сети --> Межсетевой экран. Создайте правило и укажите приложения, к которым оно должно применяться (в свойствах правила перейдите во вкладку Приложения и нажмите Добавить --> Добавить приложения).

Помимо отдельных приложений можно указать:

  • Все группы приложений.

  • Группы приложений: выберите группы приложений, к которым необходимо применить правило межсетевого экрана (добавление групп описано далее).

  • Категории приложений: выберите категории приложений, к которым необходимо применить правило межсетевого экрана (например, Games, Web browsing и т.п.).

Чтобы создать группы приложений для более удобного использования в правилах фильтрации сетевого трафика:

  1. Перейдите в раздел Библиотеки --> Приложения, на панели Группы приложений нажмите кнопку Добавить. Далее укажите название и описание группы приложений.

  2. Добавьте приложения в созданную ранее группу, нажав на панели Приложения кнопку Добавить и выбрав нужные приложения.

7. Контентная фильтрация

7.1. Как разрешить работу клиента Yandex.Disk

Для организации работы клиента Яндекс.Диск необходимо создать новое правило дешифрования. Для этого перейдите в раздел Политики безопасности --> Инспектирование SSL. Создайте правило инспектирования SSL и задайте параметры.

Во вкладке Общие укажите:

  • Название правила инспектирования.

  • Действие - Не расшифровывать.

image178

В разделе Библиотеки --> Списки URL создайте новый список и добавьте следующие сайты:

  • clck.yandex.ru

  • *.disk.yandex.net

  • push.yandex.ru

  • report.appmetrica.yandex.net

  • *storage.yandex.net

  • webdav.yandex.

  • passport.yandex.com

  • downloader.disk.yandex.

  • mds.yandex.net

  • cloud-api.yandex.

  • oauth.yandex.

Список URL также можно создать при настройки правила во вкладке Домены (кнопка Создать и добавить новый объект).

image179

Далее во вкладке Домены свойств правила инспектирования укажите созданный ранее список URL.

image180

Примечание

Данное правило необходимо расположить в начале списка правил инспектирования SSL.

7.2. Как разрешить работу клиента Dropbox

Для организации работы клиента Dropbox необходимо создать новое правило дешифрования в разделе Политики безопасности --> Инспектирование SSL. Укажите необходимые данные.

Во вкладке Общие укажите:

  • Название правила инспектирования.

  • Действие - Не расшифровывать.

image181

В разделе Библиотеки --> Списки URL создайте новый список и добавьте следующие сайты:

  • www.dropbox.com

  • client.dropbox.com

  • client-web.dropbox.com

  • d.dropbox.com

  • block-edge-1.dropbox.com

  • dl-debug.dropbox.com

  • bolt.dropbox.com

  • api.dropboxapi.com

  • clientupdates.dropboxstatic.com

  • cfl.dropboxstatic.com

  • www.google.com

  • www.gstatic.com

Список URL также можно создать при настройки правила во вкладке Домены (кнопка Создать и добавить новый объект).

image182

Последние два URL требуются только для возможности первоначально авторизоваться в клиенте Dropbox с реквизитами учётной записи из Google. Если их не указывать, то первичная авторизация, независимо от типа учётной записи, будет произведена не в клиенте Dropbox, а в браузере по умолчанию. Для последующей работы клиента Dropbox эти URL не требуются.

Далее во вкладке Домены свойств правила инспектирования укажите созданный ранее список URL.

image183

Примечание

Данное правило необходимо расположить в начале списка правил инспектирования SSL.

7.3. Настройка обновления Microsoft Edge (на базе Chromium) через UserGate

Для того, чтобы браузер Mocrosoft Edge (версия на базе Chromium) мог получать обновления при доступе в Интернет через UserGate, необходимо создать дополнительное правило дешифрования. Для этого перейдите в раздел Политики безопасности --> Инспектирование SSL и добавьте правило инспектирования. Укажите необходимые данные.

Во вкладке Общие укажите:

  • Название правила инспектирования.

  • Действие: Не расшифровывать.

image184

В разделе Библиотеки --> Списки URL создайте новый список и укажите сайт:

  • msedge.api.cdp.microsoft.com

Список URL также можно создать при настройки правила во вкладке Домены (кнопка Создать и добавить новый объект).

image185

Далее во вкладке Домены свойств правила инспектирования укажите созданный ранее список URL.

image186

Примечание

Правило следует расположить в начале списка правил.

7.4. Проблема с отображением страницы блокировки при срабатывании правил контентной фильтрации для HTTPS страниц

При использовании правил фильтрации контента возможны проблемы с отображением страницы блокировки для HTTPS-страниц. Чтобы страница блокировки отображалась корректно, необходимо:

  1. Перейдите в раздел Политики безопасности --> Инспектирование SSL и создайте правило инспектирования SSL с действием Расшифровать (можно использовать правило, созданное по умолчанию: Decrypt all for unknown users).

  2. Перейдите в раздел UserGate --> Сертификаты и экспортируйте сертификат, использующийся для инспектирования SSL; по умолчанию - CA (Default).

  3. Импортируйте сертификат на компьютер пользователя.

Также можно воспользоваться сертификатом, созданным на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации. В этом случае, его необходимо импортировать в разделе UserGate --> Сертификаты веб-консоли UserGate и установить ему роль SSL инспектирование.

Подробнее о создании сертификатов читайте в главе Управление сертификатами.

8. Система обнаружения и предотвращения вторжений

8.1. Ложные срабатывания сигнатур

При использовании правил системы обнаружения и предотвращения вторжений с действиями Журналировать или Запретить возможны случаи ложного срабатывания сигнатур; в результате срабатываний правил с действием Запретить может происходить блокирование сервисов.

Чтобы исключить ложные срабатывания:

  1. Создать профиль СОВ.

Перейдите в раздел Библиотеки --> Профили СОВ. На панели Профили нажмите Добавить и создайте профиль СОВ. Выбрав профиль нажмите Добавить на панели Сигнатуры. Далее укажите сигнатуры, ложные срабатывания которых нужно исключить.

  1. Исключить срабатывание сигнатуры.

После создания профиля СОВ с необходимым набором сигнатур перейдите в раздел Политики безопасности --> СОВ. Откройте настройки правила, действие которого выполнится в результате срабатывания сигнатуры (правила с действиями Журналировать или Запретить); во вкладке Профили исключения добавьте профиль СОВ с сигнатурами, создающими ложные срабатывания.

Подробнее о настройке системы обнаружения и предотвращения вторжений читайте в UserGate 6. Руководство администратора.

9. Публикация ресурсов с помощью UserGate

9.1. Публикация FTP-сервера

В данном разделе описана настройка UserGate, необходимая для публикации FTP-сервера с помощью DNAT.

Предварительные условия: в конфигурации FTP-сервера указан внешний IP-адрес и диапазон TCP-портов для работы в пассивном режиме.

  1. Создать сервис.

В разделе Библиотеки --> Сервисы создайте сервис FTP_PASV. В настойках указываем протокол TCP и диапазон портов назначения, соответствующий диапазону TCP-портов пассивного режима, указанных в конфигурации FTP-сервера (диапазон портов задаётся через дефис), поле Порты источника оставьте пустым.

  1. Создать правило DNAT.

Перейдите в разделе NAT и маршрутизация и добавьте правило типа DNAT со следующими параметрами:

  • Во вкладке Источник укажите зону откуда будет устанавливаться входящее соединение. Если доступ нужен как для внешних клиентов, так и для клиентов из локальной сети, то отметьте две зоны.

  • Во вкладке Назначение: если на внешнем интерфейсе UserGate несколько белых адресов и доступ к FTP нужен не через все, то в поле Адрес назначения укажите список, содержащий внешние адреса, по которым будет доступен сервер, иначе - можно оставить пустым.

  • Во вкладке Сервис укажите сервисы FTP (предустановленный) и FTP_PASV, созданный на шаге 1.

  • Во вкладке DNAT укажите локальный IP-адрес публикуемого сервера. Если нужен доступ к серверу из локальной сети, то отметьте чекбокс Включить SNAT.

Публикация FTP-сервера завершена.

9.2. Публикация сервиса с помощью порт-форвардинга

В данном разделе рассматривается пример предоставления доступа к серверу, который подключен к Интернету через UserGate. Например, сервер SSH, который надо опубликовать, изменяя при этом порт сервиса с TCP 22 на 2222.

На UserGate в разделе Сеть --> Интерфейсы произведена настройка интерфейсов.

image187

Локальная сеть подключена к интерфейсу port1 с IP-адресом 10.0.0.1/24. Сервер, к которому необходимо предоставить доступ, находится в локальной сети и имеет адрес 10.0.0.15/24 ( gateway: 10.0.0.1; сервер DNS: 10.0.0.1).

Компьютер, с которого будет происходить подключение, имеет IP-адрес 192.168.117.254/24 (gateway: 192.168.117.1) и находится в зоне Untrusted.

Перейдите в раздел Политики сети --> NAT и маршрутизация, создайте правило и укажите необходимы данные.

Во вкладке Общие укажите название и тип правила Порт-форвардинг.

image188

Во вкладке Источник укажите зону, в которой UserGate будет обрабатывать запросы на подключение к серверу. В поле Адресе источника можно указать список доверенных IP-адресов, которым будет разрешен доступ.

image189

Во вкладке Назначение можно выбрать IP-адрес интерфейса UserGate, на котором будет предоставляться доступ на подключение к серверу. Для этого в поле Адрес назначения добавьте список с нужным IP-адресом (Добавить --> Добавить список IP-адресов). Список IP-адресов можно создать в разделе Библиотеки --> IP-адреса или в настройках правила, нажав на Создать и добавить новый объект. Это необходимо, например, если UserGate подключен к нескольким провайдерам и подключение к Серверу нужно предоставлять через одного из них.

Во вкладке Порт-форвардинг нажмите кнопку Добавить и укажите следующие настройки:

image190

image191

Для установки соединения с сервером по протоколу SSH будет использоваться порт 2222. UserGate будет его слушать и перенаправлять на сервер на стандартный порт 22.

Во вкладке DNAT укажите IP-адрес сервера, к которому необходимо предоставить доступ.

Если на сервере разрешен доступ по протоколу SSH с IP-адресов только из локальной сети, необходимо активировать чекбокс Включить SNAT.

image192

Нажмите на кнопку Сохранить. Настройка правила завершена.

Проверьте подключение к серверу. Проверка производилась с использованием PuTTY. В качестве IP-адреса необходимо указать IP-адрес UserGate, назначенный интерфейсу зоны Untrusted, и порт 2222, указанный для перенаправления.

image193

После установки соединения отобразится окно с приглашением к аутентификации удаленного сервера – публикация работает.

image194

9.3. Контроль доступа ко внутренним ресурсам, опубликованным с помощью reverse-прокси

Подробнее о настройке reverse-прокси читайте в соответствующей документации: UserGate 6. Руководство администратора.

В данном разделе будет рассказано об ограничении доступа к ресурсам, опубликованных с помощью reverse-прокси, по Geo IP и IP-адресу источника.

Ограничить доступ к ресурсам, опубликованным с помощью reverse-прокси, можно с использованием правил reverse-прокси или правил межсетевого экрана.

С использованием правил reverse-прокси.

Чтобы доступ ко внутренним ресурсам можно было получить только с адресов определённой страны, необходимо указать в правилах reverse-прокси Geo IP. Для этого перейдите в раздел Глобальный портал --> Правила reverse-прокси, в настройках правила reverse-прокси во вкладке Источник на панели Адрес источника нажмите Добавить --> Добавить Geoip или Добавить список IP-адресов. Далее выберите страну или список IP-адресов, с которых необходимо разрешить или запретить доступ. Для запрета доступа отметьте чекбокс Инвертировать. Список IP-адресов можно создать в разделе Библиотеки --> IP-адреса или в настройках правила reverse-прокси.

С использованием правил межсетевого экрана.

Чтобы ограничить доступ с помощью правил межсетевого экрана необходимо перейти в раздел Политики сети --> Межсетевой экран и создать правило. В настройках во вкладке Общие необходимо указать действие Запретить; во вкладке Источник - список IP-адресов или Geo IP. Если нужно закрыть доступ со всех адресов кроме указанных, используйте чекбокс Инвертировать. При использовании правил межсетевого экрана для ограничения доступа к ресурсам, опубликованным с использованием reverse-прокси, нужно в настройках сервера reverse-прокси (раздел Глобальный портал --> Серверы reverse-прокси) активировать чекбокс Не изменять IP-адрес источника.

Например, необходимо разрешить доступ к публикуемым ресурсам только с Geo IP Россия, но также имеются IP-адреса России, доступ с которых нужно запретить. Чтобы настроить доступ к ресурсам:

  1. Перейдите в раздел Глобальный портал --> Правила reverse-прокси, в настройках правила reverse-прокси во вкладке Источник на панели Адрес источника нажмите Добавить --> Добавить Geoip. Далее выберите Russia. Теперь доступ к ресурсам доступен только с Geo IP Россия.

  2. Перейдите в раздел Глобальный портал --> Серверы reverse-прокси и в настройках сервера активируйте чекбокс Не изменять IP-адрес источника.

  3. Добавьте исключения - адреса из России, доступ с которых нужно запретить. Перейдите в раздел Политики сети --> Межсетевой экран и создайте правило с действием Запретить. Во вкладке Источник укажите список IP-адресов.

9.4. Публикация ресурсов с использованием reverse-прокси

image195

Необходимо выполнить настройку UserGate для публикации веб-сервера для сети 172.30.160.0/30, подключённой к UserGate через port1 с адресом 172.30.160.2. Веб-сервер находится в локальной сети (192.168.14.0/24), подключённой к UserGate через port0 с адресом 192.168.14.27; IP-адрес публикуемого сервера: 192.168.14.209; домен - itme.local.

  1. В разделе Сеть --> Зоны создайте зону, с которой будет разрешён доступ к публикуемому ресурсу, например, ISP-1. Во вкладке Контроль доступа разрешите сервис Reverse-прокси.

image196

  1. Перейдите в раздел Сеть --> Интерфейсы, выберите интерфейс port1 и назначьте ему зону, созданную на шаге 1 (в данном примере: зону ISP-1).

image197

  1. Создайте сервер reverse-прокси. Для этого перейдите в раздел Глобальный портал --> Серверы reverse-прокси веб-интерфейса UserGate и нажмите Добавить. В настройках сервера укажите:

    • Название сервера.

    • Описание (опционально).

    • Адрес сервера - 192.168.14.209.

    • Порт: 80 (при использовании HTTP) или 443 (при использовании HTTPS).

    • Отметьте чекбокс HTTPS до сервера, если необходимо использовать HTTPS-соединение между UserGate и публикуемым сервером.

    • Отметьте чекбокс Проверять SSL-сертификат, при необходимости проверки сертификата сервера.

    • Отметьте чекбокс Не изменять IP-адрес источника, если на веб-сервере необходимо видеть реальные IP-адреса, с которых происходит подключение.

Был создан сервер reverse-прокси со следующими настройками:

image198

  1. Создайте правило reverse-прокси. Чтобы создать правило, перейдите в раздел Глобальный портал --> Правила reverse-прокси веб-интерфейса UserGate и нажмите Добавить. Далее необходимо настроить правило reverse-прокси. Во вкладке Общие:

    • Отметьте чекбокс Включено.

    • Название правила.

    • Описание (опционально).

    • Сервер reverse-прокси, созданный на шаге 3.

    • Порты: 80 (при использовании HTTP) или 443 (при использовании HTTPS).

    • Отметьте чекбокс Использовать HTTPS, если необходимо использовать HTTPS-соединение.

При использовании соединения по протоколу необходимо указать:

  • Профиль SSL, определяющий протоколы SSL, алгоритмы шифрования и цифровой подписи. Создание и настройка профилей SSL доступны в разделе Библиотеки --> Профили SSL.

  • Сертификат, используемый для поддержки HTTPS-соединения.

Также в правилах reverse-прокси доступна настройка авторизации по сертификату.

image199

В данном примере используется HTTPS-соединение, для которого необходимо наличие сертификата. Сертификат itme.local был сгенерирован и загружен в UserGate в разделе UserGate --> Сертификаты. Сертификату была назначена роль: Правила reverse-прокси.

Во вкладке Источник укажите зону или адреса, с которых необходимо разрешить доступ к публикуемым ресурсам (в примере необходимо разрешить доступ из зоны ISP-1):

image200

Во вкладке Назначение можно указать адрес публикуемого сервера, если их несколько.

Во вкладке Useragents можно указать Useragent пользовательских браузеров, с которых будет доступен публикуемый сервер.

Во вкладке Подмена путей в поле Изменить с укажите домен или путь URL, которые требуется изменить; в поле Изменить на укажите домен или путь URL, на которые требуется изменить.

Для примера был использован вариант - без подмены путей:

image201

Проверка. На пользовательских компьютерах должно резолвиться доменное имя сервера. Выполните обращение к серверу с использованием утилиты cURL:

ruser@ubuntu:~$ curl -k -I https://itme.local

HTTP/1.1 200 OK

X-Tracking-Ref: <0.8355.5>

X-Execution-Time: 489418

Connection: keep-alive

Keep-Alive: timeout=3, max=5

Date: Fri, 01 Apr 2022 06:40:51 GMT

Server: Apache/2.4.29 (Ubuntu)

Keep-Alive: timeout=5, max=100

Content-Type: text/html; charset=UTF-8

Access-Control-Allow-Origin: *

Transfer-Encoding: chunked

9.5. Публикация ресурсов с помощью reverse-прокси при использовании двух провайдеров

image202

Необходимо выполнить настройку UserGate для публикации веб-сервера для сетей 172.30.160.0/30, подключённой к UserGate через port1 с адресом 172.30.160.2, и 172.30.160.4/30, подключённой к UserGate через port2 с адресом 172.30.160.6. Веб-сервер находится в локальной сети (192.168.14.0/24), подключённой к UserGate через port0 с адресом 192.168.14.27; IP-адрес публикуемого сервера: 192.168.14.209; домен - itme.local.

В разделе Сеть --> Шлюзы были добавлены шлюзы с IP-адресами 172.30.160.1 и 172.30.160.5. Шлюз с адресом 172.30.160.1 указан как шлюз по умолчанию.

  1. В разделе Сеть --> Зоны создайте зоны, с которых будет разрешён доступ к публикуемому ресурсу, например, ISP-1 - зона для провайдера 1; ISP-2 - зона для провайдера 2. Для обеих зон во вкладке Контроль доступа разрешите сервис Reverse-прокси.

image203

  1. Перейдите в раздел Сеть --> Интерфейсы, выберите интерфейс port1 и назначьте ему соответствующую первому провайдеру зону, созданную на шаге 1 (в данном примере: зону ISP-1).

image204

Выберите интерфейс port2 и назначьте ему соответствующую второму провайдеру зону, созданную на шаге 1 (в данном примере: зону ISP-2).

image205

  1. Создайте сервер reverse-прокси. Для этого перейдите в раздел Глобальный портал --> Серверы reverse-прокси веб-интерфейса UserGate и нажмите Добавить. В настройках сервера укажите:

    • Название сервера.

    • Описание (опционально).

    • Адрес сервера - 192.168.14.209.

    • Порт: 80 (при использовании HTTP) или 443 (при использовании HTTPS).

    • Отметьте чекбокс HTTPS до сервера, если необходимо использовать HTTPS-соединение между UserGate и публикуемым сервером.

    • Отметьте чекбокс Проверять SSL-сертификат, при необходимости проверки сертификата сервера.

    • Отметьте чекбокс Не изменять IP-адрес источника, если на веб-сервере необходимо видеть реальные IP-адреса, с которых происходит подключение.

Был создан сервер reverse-прокси со следующими настройками:

image206

  1. Создайте правило reverse-прокси. Чтобы создать правило, перейдите в раздел Глобальный портал --> Правила reverse-прокси веб-интерфейса UserGate и нажмите Добавить. Далее необходимо настроить правило reverse-прокси. Во вкладке Общие:

    • Отметьте чекбокс Включено.

    • Название правила.

    • Описание (опционально).

    • Сервер reverse-прокси, созданный на шаге 3.

    • Порты: 80 (при использовании HTTP) или 443 (при использовании HTTPS).

    • Отметьте чекбокс Использовать HTTPS, если необходимо использовать HTTPS-соединение.

При использовании соединения по протоколу необходимо указать:

  • Профиль SSL, определяющий протоколы SSL, алгоритмы шифрования и цифровой подписи. Создание и настройка профилей SSL доступны в разделе Библиотеки --> Профили SSL.

  • Сертификат, используемый для поддержки HTTPS-соединения.

Также в правилах reverse-прокси доступна настройка авторизации по сертификату.

image207

В данном примере используется HTTPS-соединение, для которого необходимо наличие сертификата. Сертификат itme.local был сгенерирован и загружен в UserGate в разделе UserGate --> Сертификаты. Сертификату была назначена роль: Правила reverse-прокси.

Во вкладке Источник укажите зоны или адреса, с которых необходимо разрешить доступ к публикуемым ресурсам (в примере необходимо разрешить доступ из зон ISP-1 и ISP-2):

image208

Во вкладке Назначение можно указать адрес публикуемого сервера, если их несколько.

Во вкладке Useragents можно указать Useragent пользовательских браузеров, с которых будет доступен публикуемый сервер.

Во вкладке Подмена путей в поле Изменить с укажите домен или путь URL, которые требуется изменить; в поле Изменить на укажите домен или путь URL, на которые требуется изменить.

Для примера был использован вариант - без подмены путей:

image209

Проверка. На пользовательских компьютерах должно резолвиться доменное имя сервера. Выполните обращение к серверу с использованием утилиты cURL:

ruser@ubuntu:~$ curl -k -I https://itme.local

HTTP/1.1 200 OK

X-Tracking-Ref: <0.8355.5>

X-Execution-Time: 489418

Connection: keep-alive

Keep-Alive: timeout=3, max=5

Date: Fri, 01 Apr 2022 06:40:51 GMT

Server: Apache/2.4.29 (Ubuntu)

Keep-Alive: timeout=5, max=100

Content-Type: text/html; charset=UTF-8

Access-Control-Allow-Origin: *

Transfer-Encoding: chunked

В соответствии с данными настройками, если запрос будет приходить на UserGate (port1 или port2), то ответ будет отправлен через порт первого провайдера (port1), т.к. первый провайдер указан в качестве шлюза по умолчанию. В таком случае первый провайдер при наличии защиты от антиспуфинга может отбросить пакет, т.к. он ожидает ответ от 172.30.160.2, а получает от 172.30.160.6. Чтобы исключить возникновение такой ситуации, необходимо настроить правила типа Policy-based routing. Т.к. в данном примере один из шлюзов указан в качестве шлюза по умолчанию, то достаточно настроить одно правило PBR. Если шлюз по умолчанию не обозначен, то необходимо настроить соответствующее правило и для другого провайдера.

Настройте правило для провайдера 2. Для этого перейдите в раздел Политики сети --> NAT и маршрутизация и нажмите Добавить. Во вкладке Общие укажите:

  • Отметьте чекбокс Включено.

  • Название правила.

  • Описание (опционально).

  • Тип: Policy-based routing.

  • Шлюз: выберите шлюз провайдера 2 (в примере: ISP-2).

image210

Во вкладке Источник на панели Адрес источника необходимо добавить IP-адрес интерфейса, к которому подключён провайдер 2. IP-адрес интерфейса должен быть добавлен в список IP-адресов, который можно создать в разделе Библиотеки --> IP-адреса или при настройке правила (для этого нажмите Создать и добавить новый объект и укажите название списка и адрес).

image211

Проверка. Для проверки использовалась программа-анализатор Wireshark.

Обратный пакет клиент из подсети 192.168.0.0/24 получает от port1 (172.30.160.2).

image212

Клиент из подсети 192.168.1.0/24 получает обратный пакет от port2 с IP-адресом 172.30.160.6.

image213

10. Удаленный доступ

10.1. Настройка Remote Access VPN на ОС Linux

Чтобы настроить VPN на ОС Linux, необходимо установить пакеты для поддержки L2TP VPN. Установка пакетов отображена на примере Ubuntu. Выполните следующие команды:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp

sudo apt update

sudo apt install network-manager-l2tp network-manager-l2tp-gnome

После выполнения команд появится возможность добавления L2TP VPN-подключения. Перейдите в Настройки --> Сеть. Добавьте Layer 2 Tunneling Protocol (L2TP).

image214

Далее настройте параметры подключения и укажите данные для аутентификации:

image215

Перейдите в настройки IPsec нажатием одноимённой кнопки. В настройках IPsec укажите:

  • Type: Pre-shared key (PSK).

  • Pre-shared key, указанный на UserGate.

  • Phase1 Algorithms: aes128-sha1-modp1024!

  • Phase2 Algorithm: aes128-sha1!

image216

Сохраните настройки IPsec. Перейдите в настройки PPP. В качестве метода аутентификации укажите PAP и отключите все виды компрессии:

image217

Сохраните изменения. На этом настройка Ubuntu для подключения Remote Access VPN закончена.

10.2. Настройка серверных правил

UserGate позволяет создавать VPN-подключения двух типов:

  • Remote access VPN – режим подключения, обеспечивающий доступ в сеть предприятия удалённым пользователям. В этом случае UserGate выступает в качестве сервера, а пользователи других устройств - клиентов VPN.

  • Site-to-Site VPN – VPN для защищённого объединения офисов в одну общую сеть. В этом случае один UserGate выступает в качестве сервера, а другой - VPN-клиента.

    Рассмотрим настройку серверных правил при создании на UserGate одновременно двух VPN-подключений: Remote access VPN и Site-to-Site VPN. При настройке Site-to-Site VPN настраиваемый Usergate выступает в качестве сервера. С настройкой VPN-подключений более подробно можно ознакомиться в UserGate 6. Руководство администратора.

Примечание

Если при настройке в свойствах серверных правил была указана одинаковая зона, то при попытке подключения на разные VPN-сервера будет срабатывать только первое (верхнее) правило, даже если в правилах были указаны разные пользователи. Такое происходит по причине того, что UserGate изначально не знает, какое правило необходимо применить для обработки запроса на подключение, потому что пользователя узнаёт в процессе установки соединения на этапе авторизации.

В таком случае нужно уточнить серверные правила. Уточнение возможно сделать по адресу/зоне источника или по адресу назначения.

По адресу источника. Обычно Site-to-Site VPN настраивается между удалёнными офисами, роутеры которых имеют белые статические IP-адреса. Поэтому в серверном правиле для Site-to-Site VPN-подключения во вкладке Источник необходимо добавить IP-адрес стороны, с которой происходит подключение.

Для уточнения списка IP-адресов источника необходимо:

  1. В разделе Библиотеки --> IP-адреса создать группу.

image218

  1. В созданную группу добавить нужные IP-адреса.

image219

Создать список IP-адресов источников также можно при настройке серверных правил во вкладке Источник с использованием кнопки Создать и добавить новый объект.

image220

Т.к. правила выполняются по очереди сверху вниз, то данное правило необходимо поместить выше правил, в которых в качестве источника указана только зона Untrusted. Благодаря такому уточнению UserGate поймет, что VPN-соединения из зоны Untrusted от указанных IP-адресов должно происходить по правилу Site-to-Site VPN, а все другие соединения, например подключения удалённых сотрудников, будут обрабатываться следующим правилом.

Можно сделать и наоборот: указать адреса, с которых будут происходить подключения удалённых пользователей (Remote Access VPN), если они известны.

По зоне источника. Если для выхода во внешнюю сеть используются несколько интерфейсов, то в свойствах интерфейсов в разделе Сеть --> Интерфейсы во вкладке Общие им необходимо назначить разные зоны.

Далее в свойствах серверных правил во вкладке Источник, необходимо выбрать зону, из которой будет происходить подключение.

image221

По адресу назначения. Если на внешнем интерфейсе настроены 2 и более IP-адресов, то возможно уточнение серверных правил по адресу назначения (вкладка Назначение) - указывается один из IP-адресов интерфейса, по которому должно происходить соединение.

image222

Данное правило необходимо поместить наверх списка правил.

10.3. Настройка Site-to-Site VPN между UserGate и Cisco

Site-to-Site VPN (Site-to-Site Virtual Private Network) - один из способов реализации технологии VPN, предназначенный для создания защищённого виртуального туннеля между несколькими частными сетями. Site-to-Site VPN часто используется компаниями, имеющими филиалы в разных городах для объединения их в виртуальную частную сеть.

Для создания постоянного безопасного туннеля используется протокол IPsec.

Рассмотрим создание Site-to-Site VPN подключения между и Cisco.

image223

Адреса:

  • IP-адрес сети за UserGate: 10.10.11.0/24.

  • IP-адрес интерфейса, через который происходит подключение к UserGate: 1.1.1.2.

  • IP-адрес сети оборудованием Cisco: 10.10.10.0/24.

  • IP-адрес интерфейса, через который происходит подключение к Cisco: 2.2.2.1.

Настройка оборудования Cisco (с использованием crypto-map).

На маршрутизаторе произведены настройки интерфейсов, есть выход в сеть Интернет.

  1. Настроить политику IKE/ISAKMP (Internet Key Exchange/Internet Security Association and Key Management Protocol), использующуюся для обеспечения защищённого взаимодействия в виртуальных частных сетях. При запуске согласования IKE происходит поиск общей политики на узлах.

crypto isakmp policy 10

encr aes

authentication pre-share

  1. Указать pre-shared key (общего ключа), который будет использоваться при аутентификации:

crypto isakmp key cisco address 1.1.1.2

  1. Указать трафик между сетями, который необходимо шифровать и настроить список доступа для разрешения Site-to-Site VPN.

В данном примере должен шифроваться трафик между сетями 10.10.10.0/24 и 10.10.11.0/24.

ip access-list extended map_vpn

permit ip 10.10.10.0 0.0.0.255 10.10.11.0 0.0.0.255

deny ip any any

  1. Произвести настройку политики для защиты передаваемых данных (transform-set):

crypto ipsec transform-set map_set128 esp-aes esp-sha-hmac

  1. Настроить crypto map (объект, в котором находятся наборы правил, относящиеся к разным туннелям IPsec) и её применение на внешнем интерфейсе GigabitEthernet0/0:

crypto map map1 10 ipsec-isakmp

set peer 1.1.1.2

set transform-set map_set128

match address map_vpn

interface GigabitEthernet0/0

ip address 2.2.2.1 255.255.255.0

duplex auto

speed auto

crypto map map1

Настройка UserGate.

  1. В разделе Сеть --> Зоны разрешить доступ по VPN для зоны, из которой будет происходить соединение.

image224

  1. В разделе Сеть --> Интерфейсы создать или использовать созданный по умолчанию интерфейс VPN for Site-to-Site.

image225

  1. Добавить или использовать существующее правило VPN Site-to-Site to Trusted and Untrusted в разделе Политики сети --> Межсетевой экран для разрешения трафика по VPN Site-to-Site. В свойствах правила можно указать пользователей/группу пользователей, которым будет разрешено подключение, сервис, приложения и время.

Далее представлены свойства созданного по умолчанию правила VPN Site-to-Site to Trusted and Untrusted.

image226

image227

image228

  1. Создать или использовать созданные по умолчанию профили безопасности VPN в разделе VPN --> Профили безопасности VPN. В свойствах профиля указать общий ключ (pre-shared key) и во вкладке Безопасность задать тип авторизации и шифрования, заданные на Cisco.

image229

image230

  1. В разделе VPN --> Клиентские правила необходимо создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес интерфейса на роутере Cisco, через который происходит соединение) и протокол VPN: IPsec туннель. Далее необходимо указать разрешённые подсети со стороны UserGate и Cisco.

image231

10.4. Настройка роутера MikroTik для установки VPN-соединения с UserGate

(Про настройку VPN на UserGate читайте в соответствующей документации: Usergate 6. Руководство администратора).

Настройка роутера MikroTik с использованием WinBox.

  1. В разделе PPP --> Profiles создать профиль с обязательной настройкой USE Encryption – YES.

  2. В разделе PPP--> Interfaces добавить L2TP Client. Заполняем во вкладке Dial Out следующие поля:

    • Connect To: адрес интерфейса UserGate, через который будет происходить соединение.

    • User: указываем раннее созданного пользователя.

    • Password: пароль пользователя.

    • Use IPsec: да.

    • IPsec Secret: ввести pre-shared key, указанный при настройке UserGate.

    • Allow: pap.

Во вкладке General указываем:

  • Max MTU: 1400.

  • Max MRU: 1400.

  1. В разделе IP --> IPsec --> Proposals необходимо произвести настройку в соответствии с:

image232

  1. В разделе IP --> IPsec --> Profiles необходимо произвести настройку в соответствии с:

image233

Алгоритмы авторизации и шифрования должны совпадать с алгоритмами, указанными при создании профилей безопасности на UserGate.

В данном случае алгоритмы авторизации и шифрования совпадают с алгоритмами, используемыми в настройках профиля безопасности UserGate, созданном по умолчанию.

10.5. Создание отказоустойчивого Site-to-Site VPN-соединения через сети 2-х провайдеров

Подробную инструкцию по настройке VPN-соединений и виртуальных маршрутизаторов читайте в UserGate 6. Руководство администратора.

Рассмотрим создание отказоустойчивого VPN-соединения между двумя UserGate с использованием сетей двух провайдеров.

image234

Исходные данные. Создано соединение между 2-мя UserGate: UserGate VPN Server – UserGate, за которым подключена локальная сеть офиса c IP-адресом 10.10.6.0/24 и UserGate VPN Client – UserGate, за которым подключена локальная сеть филиала c IP-адресом 10.10.2.0/24.

Между офисом и филиалом подняты VPN-туннели через разных провайдеров с адресами 172.30.251.0/24 и 172.30.252.0/24. На обоих UserGate были произведены сетевые настройки. На каждом UserGate для выхода в сети провайдеров были указаны шлюзы: на UserGate VPN Server – 10.10.9.9 и 10.10.12.12; на UserGate VPN Client – 10.10.7.7 и 10.10.11.11.

Для установки VPN соединения через сети двух провайдеров на UserGate VPN Server были настроены интерфейсы с IP-адресами 172.30.252.1 (для основного подключения) и 172.30.251.1 (для резервного канала); на UserGate VPN Client – 172.30.252.2 (для основного подключения) и 172.30.251.2 (для резервного канала).

На обоих UserGate в разделе Сеть --> Виртуальные маршрутизаторы были настроены статические маршруты.

Маршруты на UserGate VPN Server.

  • Выход в сеть 10.10.11.0/24 через интерфейс с адресом 10.10.12.12.

  • Выход в сеть 10.10.7.0/24 через интерфейс с адресом 10.10.9.9.

Маршруты на UserGate VPN Client.

  • Выход в сеть 10.10.12.0/24 через интерфейс с адресом 10.10.11.11.

  • Выход в сеть 10.10.9.0/24 через интерфейс с адресом 10.10.7.7.

На каждом из UserGate в разделе Политики сети --> NAT и маршрутизация были настроены правила типа Policy-based routing.

Правила Policy-based routing, предназначенные для основного канала связи, сценариев не используют. Правило, настроенное на UserGate VPN Server и предназначенное для резервного канала связи, настроено на негативный сценарий с проверкой связи до внешнего IP-адреса основного канала UserGate VPN Client.

image235

Правило, настроенное на UserGate VPN Client и предназначенное для резервного канала связи, настроено на негативный сценарий с проверкой связи до внешнего IP-адреса основного канала UserGate VPN Server. Т.к. правило основного канала не использует сценариев, то правило, настроенное для резервного канала, необходимо поставить выше.

Сценарии можно добавить и настроить в разделе Политики безопасности --> Сценарии. Во вкладке Общие указать, что сценарий должен применяться для всех пользователей в течение 2-х минут. Во вкладке Условия выбрать Проверка состояния и указать следующие параметры.

  • Метод: ping.

  • Адрес: 10.10.7.8 (при настройке добавлении сценария на UserGate VPN Server) и 10.10.9.8 (при настройке добавлении сценария на UserGate VPN Client).

  • Шлюз: 10.10.9.9 (при настройке добавлении сценария на UserGate VPN Server) и 10.10.7.7 (при настройке добавлении сценария на UserGate VPN Client).

  • Результат: отрицательный.

  • Таймаут подключения: 1 сек.

  • Количество срабатываний: 1.

  • За интервал: 1.

Создание сценария на UserGate VPN Server:

image236

image237

Переход на резервный канал при разрыве соединения в основном происходит за счёт срабатывания негативного сценария в правиле Policy-based routing резервного канала. Срабатывание сценария произойдет при отрицательном результате ping с UserGate VPN Client до внешнего IP-адреса основного канала UserGate VPN Server или с UserGate VPN Server до внешнего IP-адреса основного канала UserGate VPN Client. Таким образом, в результате выполнения сценария будет добавлен маршрут до сети филиала либо офиса с более высоким приоритетом через шлюз запасного VPN.

После восстановления основного канала связи через 2 минуты сценарий отключается и удаляет созданный ранее маршрут. Запросы начинают проходить через основной канал.

10.6. Настройка VPN-соединения между UserGate и FortiGate

В данном разделе рассмотрена настройка VPN-соединения между UserGate и FortiGate. Соединение происходит по следующей схеме:

image238

Адреса:

  • IP-адрес сети за UserGate: 10.10.11.0/24.

  • IP-адрес интерфейса, через который происходит подключение к UserGate: 1.1.1.2.

  • IP-адрес сети оборудованием FortiGate: 10.10.10.0/24.

  • IP-адрес интерфейса, через который происходит подключение к FortiGate: 2.2.2.1.

О настройке VPN на продуктах FortiGate читайте в соответствующей документации. При настройке необходимо:

  1. Установить режим, используемый для создания защищенного канала, Aggressive.

  2. Указать группу Диффи — Хеллмана (Diffie-Hellman group, DH group) 1.

Настройка UserGate.

  1. В разделе Сеть --> Зоны разрешить доступ по VPN для зоны, из которой будет происходить соединение.

image239

  1. В разделе Сеть --> Интерфейсы создать или использовать созданный по умолчанию интерфейс VPN for Site-to-Site.

image240

Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей.

  1. Добавить или использовать существующее правило VPN Site-to-Site to Trusted and Untrusted в разделе Политики сети --> Межсетевой экран для разрешения трафика по VPN Site-to-Site. В свойствах правила можно указать пользователей/группу пользователей, которым будет разрешено подключение, сервис, приложения и время.

Далее представлены свойства созданного по умолчанию правила VPN Site-to-Site to Trusted and Untrusted.

image241

image242

image243

  1. Создать или использовать созданные по умолчанию профили безопасности VPN в разделе VPN --> Профили безопасности VPN. В свойствах профиля указать общий ключ (pre-shared key) и во вкладке Безопасность задать тип авторизации и шифрования, заданные на FortiGate.

image244

image245

  1. В разделе VPN --> Клиентские правила необходимо создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес интерфейса FortiGate, через который происходит соединение) и протокол VPN: IPsec туннель. Далее необходимо указать разрешённые подсети со стороны UserGate и FortiGate.

image246

10.7. Настройка VPN для удалённого доступа клиентов (Remote access VPN) при использовании двух провайдеров

image305

Подробнее о настройке VPN читайте в UserGate 6. Руководство администратора.

Необходимо настроить UserGate для предоставления удалённого доступа клиентам из подсетей 172.30.160.0/30, подключённой к UserGate через port1 с адресом 172.30.160.2, и 172.30.160.4/30, подключённой к UserGate через port2 с адресом 172.30.160.6.

В разделе Сеть --> Шлюзы были добавлены шлюзы с IP-адресами 172.30.160.1 и 172.30.160.5. Шлюз с адресом 172.30.160.1 указан как шлюз по умолчанию.

image306

  1. В разделе Сеть --> Зоны создайте зоны, с которых будет разрешено подключение по VPN, например, ISP-1 - зона для провайдера 1; ISP-2 - зона для провайдера 2. Для обеих зон во вкладке Контроль доступа разрешите сервис VPN.

image307

  1. Перейдите в раздел Сеть --> Интерфейсы, выберите интерфейс port1 и назначьте ему соответствующую первому провайдеру зону, созданную на шаге 1 (в данном примере: зону ISP-1).

image308

Выберите интерфейс port2 и назначьте ему соответствующую второму провайдеру зону, созданную на шаге 1 (в данном примере: зону ISP-2).

image309

  1. Создайте VPN-интерфейс в разделе Сеть --> Интерфейсы. Был использован созданный по умолчанию интерфейс tunnel1, который рекомендуется использовать для Remote access VPN.

  2. Перейдите в раздел VPN --> Сети VPN и добавьте сеть VPN, указав необходимые параметры. Можно, как в данном примере, использовать сеть Remote access VPN network, созданную по умолчанию.

  3. Перейдите в раздел Пользователи --> Профили авторизации и создайте профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

  4. Создайте профиль безопасности в разделе VPN --> Профили безопасности VPN. По умолчанию в UserGate создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Данный профиль был использован в данном примере.

При использовании данного профиля необходимо изменить общий ключ шифрования.

  1. Создайте серверное правило в разделе VPN --> Серверные правила. Можно, как в данном примере, использовать правило, созданное по умолчанию Remote access VPN rule. Во вкладке Общие укажите:

    • Отметьте чекбокс Включено.

    • Название правила.

    • Описание (опционально).

    • Профиль безопасности, созадыннй в пункте 6.

    • Сеть VPN, созданную в пункте 4.

    • Профиль авторизации, созданный в пункте 5.

    • Интерфейс, созданный в пункте 3.

image310

Во вкладке Источник укажите зоны или адреса, с которых разрешено подключение (в данном случае – это зоны ISP-1 и ISP-2).

image311

Во вкладке Пользователи укажите пользователей, которым разрешено подключение по VPN.

image312

Список пользователей, подключённых по VPN, доступен во вкладке Диагностика и мониторинг в разделе Мониторинг --> VPN.

image313

В соответствии с данными настройками, если, запрос на подключение будет приходить на UserGate (port1 или port2), то ответ будет отправлен через порт первого провайдера (port1), т.к. первый провайдер указан в качестве шлюза по умолчанию. В таком случае первый провайдер при наличии защиты от антиспуфинга может отбросить пакет, т.к. он ожидает ответ от 172.30.160.2, а получает от 172.30.160.6. Чтобы исключить возникновение такой ситуации, необходимо настроить правила типа Policy-based routing. Т.к. в данном примере один из шлюзов указан в качестве шлюза по умолчанию, то достаточно настроить одно правило PBR. Если шлюз по умолчанию не обозначен, то необходимо настроить соответствующее правило и для другого провайдера.

Настройте правило для провайдера 2. Для этого перейдите в раздел Политики сети --> NAT и маршрутизация и нажмите Добавить. Во вкладке Общие укажите:

  • Отметьте чекбокс Включено.

  • Название правила.

  • Описание (опционально).

  • Тип: Policy-based routing.

  • Шлюз: выберите шлюз провайдера 2 (в примере: ISP-2).

image314

Во вкладке Источник на панели Адрес источника необходимо добавить IP-адрес интерфейса, к которому подключён провайдер 2. IP-адрес интерфейса должен быть добавлен в список IP-адресов, который можно создать в разделе Библиотеки --> IP-адреса или при настройке правила (для этого нажмите Создать и добавить новый объект и укажите название списка и адрес).

image315

Проверка. Для проверки использовалась программа-анализатор Wireshark.

Обратный пакет клиент из подсети 192.168.0.0/24 получает от port1 (172.30.160.2).

image316

Клиент из подсети 192.168.1.0/24 получает обратный пакет от port2 с IP-адресом 172.30.160.6.

image317

10.8. Настройка GRE-туннеля

  1. Перейдите в раздел Сеть --> Интерфейсы нажмите Добавить и выберите Добавить туннель.

  2. Укажите необходимые данные об интерфейсе.

Во вкладке Общие укажите:

  • Порядковый номер туннельного интерфейса (будет использоваться в названии интерфейса; после создания интерфейса, изменение номера недоступно).

  • Описание (опционально).

  • Зону, которой будет принадлежать интерфейс.

image348

Перейдите во вкладку Сеть и задайте следующие параметры:

  • MTU.

  • Локальный IP: IP-адрес внешнего интерфейса UserGate А, на котором производится настройка GRE-туннеля.

  • Удалённый IP: IP-адрес внешнего интерфейса UserGate В, до которого создаётся туннель GRE.

  • Режим работы туннеля: GRE.

  • IP-адрес интерфейса и маску: туннельный IP-адрес и маска.

image349

Произведите аналогичную зеркальную настройку локального и удалённого IP-адресов на UserGate В, до которого настраивается GRE-туннель. Измените локальный IP-адрес на 172.31.255.2 и удалённый - на 172.31.255.1 IP-адреса, туннельный IP-адрес интерфейса назначьте из подсети 12.0.0.0/24.

Если локальный и удалённый IP-адреса принадлежат разным подсетям, обеспечьте маршрутизацию между ними в разделе Сеть --> Виртуальные маршрутизаторы.

Во вкладке Диагностика и мониторинг в разделе Сеть --> Ping проверьте сетевую доступность узлов UserGate внутри туннеля.

image350

10.9. Настройка GRE over IPsec с OSPF

В данной статье рассматривается настройка маршрутизации между двумя сетями по протоколу OSPF с использованием зашифрованного канала связи (IPsec) при помощи GRE-туннеля.

image297

Адресация на UserGate-сервере:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.100.

  • Локальная сеть подключена через port1 c IP-адресом 10.10.10.1.

  • Туннельному интерфейсу GRE назначен адрес 12.0.0.1.

  • IP-адрес VPN-туннеля - 172.30.255.1.

Адресация на UserGate-клиенте:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.200.

  • Локальная сеть подключена через port1 c IP-адресом 11.11.11.1.

  • Туннельному интерфейсу GRE назначен адрес 12.0.0.2.

  • IP-адрес VPN-туннеля - 172.30.255.2.

Как видно из схемы, представленной выше, между 2-мя UserGate настроено Site-to-Site VPN-соединение. Подробнее о настройке Site-to-Site VPN читайте в соответствующем разделе UserGate 6. Руководство администратора.

Далее будет рассмотрена настройка туннеля GRE и OSPF; считается, что между устройствами настроено Site-to-Site VPN-соединение; заданы правила межсетевого экрана, разрешающие трафик.

Настройка GRE-туннеля.

  1. Перейдите в раздел Сеть --> Интерфейсы, нажмите Добавить и выберите Добавить туннель.

  2. Во вкладке Общие укажите:

    • Порядковый номер туннельного интерфейса.

    • Описание (опционально).

    • Зону, которой будет относиться интерфейс (Untrusted).

image298

Перейдите во вкладку Сеть и задайте следующие параметры (в качестве локального и удалённого IP-адресов используются IP-адреса VPN-интерфейсов):

  • MTU: 1400.

  • Локальный IP: 172.30.255.1.

  • Удалённый IP: 172.30.255.2.

  • Режим: GRE.

  • IP-адрес интерфейса и маску: 12.0.0.1/24.

image299

На UserGate-клиенте настройка туннельного интерфейса производится аналогично; измените локальный (172.30.255.2) и удалённый (172.30.255.1) IP-адреса и IP-адрес интерфейса (12.0.0.2/24).

Настройка OSPF.

  1. В разделе Сеть --> Зоны в свойствах зоны, к которой относится VPN-интерфейс, во вкладке Контроль доступа разрешите сервис OSPF (по умолчанию VPN for Site-to Site).

  2. Перейдите в раздел Сеть --> Виртуальные маршрутизаторы. Можно использовать виртуальный маршрутизатор, созданный по умолчанию, или добавить новый маршрутизатор. Далее необходимо настроить OSPF-роутер.

Во вкладке OSPF-маршрутизатор:

  • Активируйте чекбокс Включено.

  • Укажите идентификатор маршрутизатора - IP-адрес маршрутизатора; должен совпадать с одним из адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору.

  • Укажите Redistribute connected, т.е. распространять другим OSPF-роутерам маршруты в непосредственно подключённые к UserGate сети.

  • Установите метрику распространяемым маршрутам.

image300

Во вкладке Интерфейсы укажите интерфейсы, на которых будет работать протокол динамической маршрутизации OSPF. Для выбора доступны только интерфейсы, входящие в данный виртуальный маршрутизатор.

image301

Во вкладке Области создайте область OSPF, указав интерфейсы, на которых она будет доступна.

image302

Проверка. Для проверки анонсов маршрутов перейдите во вкладку Диагностика и мониторинг в раздел Мониторинг --> Маршруты веб-интерфейса UserGate. Задайте фильтр, указав просмотр маршрутов OSPF.

image303

На рисунке ниже представлен анализ трафика, из которого видно, что передача происходит по зашифрованному каналу.

image304

10.10. Настройка GRE over IPsec между UserGate и Cisco

В данной статье рассматривается настройка между UserGate и Cisco зашифрованного канала связи (IPsec) с использованием GRE-туннеля.

image334

Адресация на UserGate:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.243 (шлюз по умолчанию: 192.168.57.1).

  • Локальная сеть подключена через port1 c IP-адресом 10.10.2.1.

Адресация на Cisco:

  • Выход в интернет настроен через интерфейс FastEthernet0/0 с IP-адресом 192.168.57.150 (шлюз по умолчанию: 192.168.57.1).

  • Локальная сеть подключена через FastEthernet1/0 c IP-адресом 10.10.3.1.

Конфигурация IPsec на Cisco.

  1. Настроить интерфейс Loopback0:

    interface Loopback0

    ip address 11.11.3.1 255.255.255.0

  2. Настроить политику ISAKMP:

    crypto isakmp policy 1

    encr aes

    authentication pre-share

    group 2

  3. Определить Pre-Shared ключ (указать вместо <psk>):

    crypto isakmp key <psk> address 192.168.57.243

  4. Создать расширенный ACL:

    ip access-list extended <list-name>

    permit ip 11.11.3.0 0.0.0.255 11.11.2.0 0.0.0.255

  5. Создать набор преобразований (Transform Set):

    crypto ipsec transform-set <TS-name> esp-aes esp-sha-hmac

    mode tunnel

  6. Создать Crypto Map:

    crypto map <CMAP-name> 10 ipsec-isakmp

    set peer 192.168.57.243

    set transform-set <TS-name>

    match address <list-name>

  7. Применить Crypto Map к интерфейсу FastEthernet0/0:

    interface FastEthernet0/0

    ip address 192.168.57.150 255.255.255.0

    duplex full

    crypto map <CMAP-name>

Настройка IPsec на UserGate.

  1. В разделе Сеть --> Интерфейсы веб интерфейса UserGate назначить интерфейсу, к которому подключена локальная сеть, второй (secondary) IP-адрес, например, 11.11.2.1/24 – сеть с IP-адресом 11.11.2.0/24 будет доступна со стороны Cisco.

  2. Произвести настройки для VPN-подключение Site-to-Site.

Перейдите в раздел Сеть --> Интерфейсы и активируйте интерфейс tunnel2. Данный интерфейс находится в зоне VPN for Site-to-Site и имеет IP-адрес 172.30.255.1/24.

Далее необходимо произвести настройку профиля безопасности в разделе VPN --> Профили безопасности VPN. Можно создать новый профиль безопасности или использовать созданный по умолчанию (Client VPN profile).

Во вкладке Общие укажите:

  • Название профиля безопасности VPN.

  • Описание (опционально).

  • IKE версия: IKEv1.

  • Режим IKE: Основной.

  • Аутентификация с пиром: Общий ключ.

  • Общий ключ: общий ключ, указанный при настройке оборудования Cisco - <psk>.

image335

Во вкладке Фаза 1:

  • Diffie-Hellman группы: Группа 2 Prime 1024 бит.

  • Алгоритмы авторизации и шифрования: SHA1 – AES128.

image336

Во вкладке Фаза 2:

  • Алгоритмы авторизации и шифрования: SHA1 – AES128.

image337

Перейдите в раздел VPN --> Клиентские правила. Для подключения можно использовать правило, созданное по умолчанию (Client VPN rule) или создать новое. Укажите:

  • Отметьте чекбокс Включено.

  • Название правила.

  • Описание (опционально).

  • Профиль безопасности, настроенный ранее.

  • Интерфейс: tunnel2.

  • Адрес сервера: 192.168.57.150.

  • Протокол VPN: IPsec туннель.

  • Разрешённые подсети со стороны UserGate: 11.11.2.0/24.

  • Разрешённые подсети со стороны Cisco: 11.11.3.0/24.

image338

Настройка IPsec туннеля между UserGate и Cisco завершена, далее настройка GRE.

Настройка GRE-туннеля на Cisco.

  1. Создать туннельный интерфейс и назначить ему адрес из сети 172.30.222.0/24; в качестве адреса источника укажите адрес интерфейса Loopback0 Cisco, в качестве адреса назначения – secondary адрес интерфейса UserGate port1:

    interface Tunnel0

    ip address 172.30.222.2 255.255.255.0

    tunnel source 11.11.3.1

    tunnel destination 11.11.2.1

  2. Добавить статический маршрут в сеть 10.10.2.0/24 со шлюзом 172.30.222.1:

    ip route 10.10.2.0 255.255.255.0 172.30.222.1

Настройка GRE-туннеля на UserGate.

  1. Перейдите в раздел Сеть --> Интерфейсы нажмите Добавить и выберите Добавить туннель.

  2. Во вкладке Общие укажите:

    • Порядковый номер туннельного интерфейса.

    • Описание (опционально).

    • Зону, которой будет относиться интерфейс: VPN for Site-to-Site.

Перейдите во вкладку Сеть и задайте следующие параметры (в качестве локального и удалённого IP-адресов используются IP-адреса VPN-интерфейсов):

  • MTU.

  • Локальный IP: 11.11.2.1 – secondary IP-адрес port1, добавленный ранее.

  • Удалённый IP: 11.11.3.1 – Loopback0.

  • Режим: GRE.

  • IP-адрес интерфейса и маску: 172.30.222.1/24.

image339

  1. Перейдите в раздел Сеть --> Виртуальные маршрутизаторы и настройте статический маршрут в сеть с IP-адресом 10.10.3.0/24 и шлюзом 172.30.222.2.

image340

  1. Создайте правило межсетевого экрана, разрешающее трафик из зоны VPN for Site-to-Site в зону Trusted и обратно.

ПРОВЕРКА.

В случае успешного подключения в разделе VPN --> Клиентские правила отобразится индикатор зелёного цвета.

image341

Во вкладке Диагностика и мониторинг в разделе Мониторинг --> Ping возможна проверка сетевой доступности узлов.

Проверка IPsec-туннеля на UserGate:

PING 11.11.3.1 (11.11.3.1) from 11.11.2.1 : 56(84) bytes of data.

64 bytes from 11.11.3.1: icmp_seq=1 ttl=255 time=9.59 ms

64 bytes from 11.11.3.1: icmp_seq=2 ttl=255 time=4.19 ms

64 bytes from 11.11.3.1: icmp_seq=3 ttl=255 time=8.90 ms

64 bytes from 11.11.3.1: icmp_seq=4 ttl=255 time=2.68 ms

64 bytes from 11.11.3.1: icmp_seq=5 ttl=255 time=7.62 ms

64 bytes from 11.11.3.1: icmp_seq=6 ttl=255 time=2.14 ms

--- 11.11.3.1 ping statistics ---

6 packets transmitted, 6 received, 0% packet loss, time 5006ms

rtt min/avg/max/mdev = 2.140/5.857/9.596/2.974 ms

Проверка IPSec-туннеля на Cisco:

R1#show crypto session

Crypto session current status

Interface: FastEthernet0/0

Session status: UP-ACTIVE

Peer: 192.168.57.243 port 500

IKEv1 SA: local 192.168.57.150/500 remote 192.168.57.243/500 Active

IPSEC FLOW: permit ip 11.11.3.0/255.255.255.0 11.11.2.0/255.255.255.0

Active SAs: 2, origin: crypto map

R1#ping 11.11.2.1 source 11.11.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 11.11.2.1, timeout is 2 seconds:

Packet sent with a source address of 11.11.3.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 8/14/24 ms

Проверка сетевой доступности туннельного интерфейса на UserGate:

PING 172.30.222.2 (172.30.222.2) from 172.30.222.1 : 56(84) bytes of data.

64 bytes from 172.30.222.2: icmp_seq=1 ttl=255 time=10.6 ms

64 bytes from 172.30.222.2: icmp_seq=2 ttl=255 time=5.04 ms

64 bytes from 172.30.222.2: icmp_seq=3 ttl=255 time=8.96 ms

64 bytes from 172.30.222.2: icmp_seq=4 ttl=255 time=2.65 ms

64 bytes from 172.30.222.2: icmp_seq=5 ttl=255 time=7.08 ms

64 bytes from 172.30.222.2: icmp_seq=6 ttl=255 time=11.2 ms

--- 172.30.222.2 ping statistics ---

6 packets transmitted, 6 received, 0% packet loss, time 5008ms

rtt min/avg/max/mdev = 2.652/7.611/11.232/3.055 ms

Проверка доступности локальных шлюзов на UserGate:

PING 10.10.3.1 (10.10.3.1) from 10.10.2.1 : 56(84) bytes of data.

64 bytes from 10.10.3.1: icmp_seq=1 ttl=255 time=16.5 ms

64 bytes from 10.10.3.1: icmp_seq=2 ttl=255 time=10.6 ms

64 bytes from 10.10.3.1: icmp_seq=3 ttl=255 time=5.23 ms

64 bytes from 10.10.3.1: icmp_seq=4 ttl=255 time=9.93 ms

64 bytes from 10.10.3.1: icmp_seq=5 ttl=255 time=3.65 ms

64 bytes from 10.10.3.1: icmp_seq=6 ttl=255 time=7.37 ms

--- 10.10.3.1 ping statistics ---

6 packets transmitted, 6 received, 0% packet loss, time 5008ms

rtt min/avg/max/mdev = 3.656/8.893/16.546/4.197 ms

Проверка доступности конечных узлов:

C:Usersadmin>ping 10.10.3.3 -S 10.10.2.2

Обмен пакетами с 10.10.3.3 по с 10.10.2.2 с 32 байтами данных:

Ответ от 10.10.3.3: число байт=32 время=17мс TTL=62

Ответ от 10.10.3.3: число байт=32 время=20мс TTL=62

Ответ от 10.10.3.3: число байт=32 время=21мс TTL=62

Ответ от 10.10.3.3: число байт=32 время=21мс TTL=62

Статистика Ping для 10.10.3.3:

Пакетов: отправлено = 4, получено = 4, потеряно = 0

(0% потерь)

Приблизительное время приема-передачи в мс:

Минимальное = 17мсек, Максимальное = 21 мсек, Среднее = 19 мсек

10.11. Настройка IPsec over GRE с OSPF

В данной статье рассматривается настройка маршрутизации между двумя сетями по протоколу OSPF с использованием GRE-туннеля, в который будут инкапсулированы зашифрованные пакеты (IPsec).

image342

Адресация на UserGate-сервере:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.57.

  • Локальная сеть подключена через port1 c IP-адресом 10.10.10.1.

  • Туннельному интерфейсу GRE назначен адрес 12.12.12.1.

  • IP-адрес VPN-туннеля - 172.30.255.1.

Адресация на UserGate-клиенте:

  • Выход в интернет настроен через интерфейс port0 с IP-адресом 192.168.57.58.

  • Локальная сеть подключена через port1 c IP-адресом 11.11.11.1.

  • Туннельному интерфейсу GRE назначен адрес 12.12.12.2.

  • IP-адрес VPN-туннеля - 172.30.255.2.

Настройка GRE-туннеля.

  1. Перейдите в раздел Сеть --> Интерфейсы нажмите Добавить и выберите Добавить туннель.

  2. Во вкладке Общие укажите:

    • Порядковый номер туннельного интерфейса.

    • Описание (опционально).

    • Зону, которой будет относиться интерфейс (Untrusted).

image343

Перейдите во вкладку Сеть и задайте следующие параметры (в качестве локального и удалённого IP-адресов используются IP-адреса внешних интерфейсов UserGate):

  • MTU: 1500.

  • Локальный IP: 192.168.57.57.

  • Удалённый IP: 192.168.57.58.

  • Режим: GRE.

  • IP-адрес интерфейса и маску: 12.12.12.1/24.

image344

На UserGate-клиенте настройка туннельного интерфейса производится аналогично; измените локальный (192.168.57.58) и удалённый (192.168.57.57) IP-адреса и IP-адрес интерфейса (12.12.12.2/24).

Далее необходимо настроить Site-to-Site VPN-соединение между двумя UserGate. Подробнее о настройке читайте в соответствующем разделе UserGate 6. Руководство администратора.

Примечание

При настройке клиентского правила в качестве IP-адреса сервера VPN необходимо указать адрес туннельного интерфейса GRE, заданный на UserGate-сервере.

Настройка OSPF.

  1. В разделе Сеть --> Зоны в свойствах зоны, к которой относится VPN-интерфейс, во вкладке Контроль доступа разрешите сервис OSPF (по умолчанию VPN for Site-to Site).

  2. Перейдите в раздел Сеть --> Виртуальные маршрутизаторы. Можно использовать виртуальный маршрутизатор, созданный по умолчанию, или добавить новый маршрутизатор. Далее необходимо настроить OSPF-роутер.

Во вкладке OSPF-маршрутизатор:

  • Активируйте чекбокс Включено.

  • Укажите идентификатор маршрутизатора - IP-адрес маршрутизатора; должен совпадать с одним из адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору.

  • Укажите Redistribute connected, т.е. распространять другим OSPF-роутерам маршруты в непосредственно подключённые к UserGate сети (опционально).

  • Укажите Redistribute kernel, т.е. распространять другим OSPF-роутерам маршруты, которые были автоматически созданы ядром операционной системы (опционально).

  • Установите метрику распространяемым маршрутам.

image345

Во вкладке Интерфейсы укажите интерфейсы, на которых будет работать протокол динамической маршрутизации OSPF. Интерфейсы должны быть предварительно добавлены в маршрутизатор по умолчанию; интерфейс может принадлежать только одному виртуальному маршрутизатору.

image346

Во вкладке Области создайте область OSPF, указав интерфейсы, на которых она будет доступна.

image347

На этом настройка IPsec over GRE с использованием протокола динамической маршрутизации OSPF окончена.

11. Взаимодействие со сторонними системами

11.1. Настройка SNMP мониторинга с помощью ZABBIX

Zabbix – это свободная система, позволяющая производить мониторинг сети, серверов, виртуальных машин, баз данных, приложений и баз данных.

11.1.1. Мониторинг UserGate с помощью SNMP-запросов

  1. В веб-консоли UserGate перейдите в раздел Сеть --> Зоны. В свойствах зоны интерфейса, к которому будет осуществляться подключение по протоколу SNMP, во вкладке Контроль доступа необходимо отметить чекбокс SNMP.

image247

  1. Перейдите во вкладку Диагностика и мониторинг. В разделе Оповещения --> SNMP создайте правило SNMP. В настройках укажите следующие данные. Во вкладке Общие задайте название правила и отметьте чекбокс SNMP-запросы.

image248

Перейдите во вкладку события и, нажав Добавить, добавьте следующие события:

  • Высокая загрузка процессора.

  • Высокая загрузка памяти.

  • Недостаточно места в разделе для журналов.

  • Таблица статистики сетевых интерфейсов.

  • Изменён статус RAID.

  • Изменён статус блока питания.

image249

  1. В элементах данных Zabbix будет использоваться текстовое представление OID. Для этого необходимо установить MIB файлы. Следующие действия необходимо проделать на сервере ZABBIX.

# mkdir -p /usr/local/share/snmp/mibs

Скачайте MIBs, нажав Скачать MIBs в разделе Оповещения --> SNMP. Переместите файл UTM-MIB.mib в созданную ранее папку mibs.

Следующей командой пропишите путь к файлам MIB:

# grep -q '^mibdirs +/usr/local/share/snmp/mibs' /etc/snmp/snmp.conf 2>/dev/null || echo "mibdirs +/usr/local/share/snmp/mibs" >> /etc/snmp/snmp.conf

Установите стандартные MIBs в систему из репозитария.

# apt-get install snmp-mibs-downloader

Проверьте, что SNMP-агент включен и отвечает на интерфейсе с IP-адресом 192.168.117.250 (это адрес сервера UserGate). Для проверки используйте утилиту snmpwalk, входящую в пакет SNMP:

# snmpwalk -v 2c -c public 192.168.117.250 UTM-MIB::entensys

В результате выполнения команды будут отображены доступные объекты для SNMP-запросов.

Перезапустите сервисы, используя следующие команды:

# service snmpd restart

# service zabbix-server start

  1. Следующие настройки будут производиться в веб-интерфейсе ZABBIX. Создайте группу узлов сети. Для этого перейдите в раздел Настройка --> Группы узлов сети и выберите Создать группу узлов сети. Задайте имя группы

image250

  1. Создайте узел сети. Перейдите в раздел Настройка --> Узлы сети выберите Создать узел сети. Далее необходимо указать следующую информацию.

Во вкладке Узел сети, указав тип интерфейса SNMP, внесите следующие настройки (192.168.117.250 – IP-адрес интерфейса UserGate):

image251

  1. Перейдите в раздел Настройка --> Шаблоны и создайте шаблон, нажав Создать шаблон.

image252

  1. Откройте шаблон Template UserGate и перейдите во вкладку Группы элементов данных. Нажмите Создать группу элементов данных и создайте следующие группы:

    • Diskinfo.

    • Powerinfo.

    • Perfomance.

    • Interfaceinfo.

    • RAIDinfo.

  2. Далее перейдите во вкладку Элементы данных, где будут созданы элементы для получения информации (нажмите Создать элемент данных).

Для получения информации о загруженности CPU создайте элемент со следующими параметрами:

  • Имя элемента, например, UserGate_CPU_used.

  • Тип: SNMP агент.

  • Ключ: UG_sysCpuLoad

  • SNMP OID: UTM-MIB::sysCpuLoad.0

  • Тип информации: Числовой (целое положительное).

  • Ед. измерения: %.

  • Интервал обновления, например, 5s.

  • Группы элементов данных: Perfomance.

image253

Для получения информации о загруженности RAM создайте элемент со следующими параметрами:

  • Имя элемента, например, UserGate_RAM_used.

  • Тип: SNMP агент.

  • Ключ: UG_sysMemoryUsed

  • SNMP OID: UTM-MIB:: sysMemoryUsed.0

  • Тип информации: Числовой (целое положительное).

  • Ед. измерения: %.

  • Интервал обновления, например, 5s.

  • Группы элементов данных: Perfomance.

image254

Для получения информации о пространстве на диске, используемом для хранения журналов, создайте элемент со следующими параметрами:

  • Имя элемента, например, UserGate_DiskSpace.

  • Тип: SNMP агент.

  • Ключ: UG_sysLogDiskSpace

  • SNMP OID: UTM-MIB:: sysLogDiskSpace.0

  • Тип информации: Числовой (целое положительное).

  • Ед. измерения: %.

  • Интервал обновления, например, 1m.

  • Группы элементов данных: Diskinfo.

image255

Если используется ПАК UserGate с 2 блоками питания, то возможно получать информацию о состоянии блоков питания. Для этого необходимо создать 2 элемента.

Для получения информации о состоянии первого блока питания создайте элемент со следующими параметрами:

  • Имя элемента, например, UserGate_Power1.

  • Тип: SNMP агент.

  • Ключ: UG_sysPowerSupply1Status

  • SNMP OID: UTM-MIB:: sysPowerSupply1Status.0

  • Тип информации: Текст.

  • Интервал обновления, например, 300s.

  • Группы элементов данных: Powerinfo.

image256

Аналогично создайте элемент для получения информации о состоянии второго блока питания.

Для получения информации о состоянии RAID создайте элемент со следующими параметрами:

  • Имя элемента, например, UserGate_RAID.

  • Тип: SNMP агент.

  • Ключ: UG_sysRaidStatus

  • SNMP OID: UTM-MIB:: sysRaidStatus.0

  • Тип информации: Текст.

  • Интервал обновления, например, 300s.

  • Группы элементов данных: RAIDinfo.

image257

Для получении информации с интерфейсов о прохождении трафика необходимо преобразовать название интерфейса из типа string в byte. Произведём преобразование на пример интерфейса port0.

Преобразование происходит с использованием таблицы символов ASCII: необходимо преобразовать каждый каждый символ в числовое значение. В соответствии с таблицей: «p» «o» «r» «t» «0» --> 112.111.114.116.48.

Для получения значения входящего трафика в kBytes/sec с интерфейса port0 SNMP OID для запроса будет следующий:

UTM-MIB::rxKBPs.5. 112.111.114.116.48

где 5 после rxKBPs. - это количество символов в названии port0, а 112.111.114.116.48 - результат преобразования port0 в соответствии с таблицей символов ASCII.

Аналогично создайте для других параметров

  • UTM-MIB::txKBPs .5.112.111.114.116.48 — количество исходящего трафика в kBytes/sec на интерфейсе port0.

  • UTM-MIB::rxPktPs.5.112.111.114.116.48 — количество входящих пакетов в секунду на интерфейсе port0.

  • UTM-MIB::txPktPs.5.112.111.114.116.48 — количество исходящих пакетов в секунду на интерфейсе port0.

Данные мониторинга можно просмотреть в разделе Мониторинг --> Последние данные.

11.1.2. Настройка SNMP Traps в ZABBIX

Для передачи трапов в Zabbix будет использоваться snmptt. Установите необходимые сервисы. Для этого используйте команду:

# apt-get install snmptt snmptrapd snmp snmpd

Внесите изменения в конфигурационный файл /etc/default/snmptrapd. Измените параметра TRAPDRUN с no на yes (или самостоятельно добавьте TRAPDRUN=yes в случае отсутствия).

Внесите изменения в конфигурационный файл /etc/snmp/snmptrapd.conf. Укажите:

  • имя сообщества для трапов public: authCommunity log,execute,net public

  • обработчик трапов: traphandle default snmptthandler

Измените конфигурационный файл /etc/snmp/snmptt.ini:

  • mode = daemon

  • net_snmp_perl_enable = 1

  • mibs_environment = ALL

  • date_time_format = %H:%M:%S %Y/%m/%d

  • log_enable = 1

  • log_file = /var/log/snmptt/snmptt.log

  • unknown_trap_log_enable = 1

  • unknown_trap_log_file = /var/log/snmptt/snmpttunknown.log

В конце файла пропишите путь к конфигурационном файлу с описание трапов UserGate, например:

[TrapFiles]

snmtt_conf_files = <<END

/etc/snmp/snmptt.conf

/usr/local/etc/snmp/UG.conf

END

Теперь известные трапы будут логироваться в файл /var/log/snmptt/snmptt.log, неизвестные - в файл /var/log/snmptt/snmpttunknown.log.

Внесите изменения в конфигурационный файл /etc/zabbix/zabbix_server.conf:

  • StartSNMPTrapper=1

  • SNMPTrapperFile=/var/log/snmptt/snmptt.log

Создайте каталоги, используя следующие команды:

# mkdir /usr/local/etc/snmp/

# mkdir -p /usr/local/share/snmp/mibs

В веб консоли UserGate во вкладке Диагностика и мониторинг в разделе Оповещения --> SNMP скачайте MIBs, если файлы не были загружены ранее. Переместите файл UTM-TRAPS-MIB.mib в каталог /usr/local/share/snmp/mibs.

Установите стандартные mibs в систему из репозитария (если не было установлено ранее).

# apt-get install snmp-mibs-downloader

Выполните конвертацию файла UTM-TRAPS-MIB.mib в UG.conf:

# snmpttconvertmib --in=/usr/local/share/snmp/mibs/UTM-TRAPS-MIB.mib --out=/usr/local/etc/snmp/UG.conf -debug

После выполнения команды должен быть отображён следующий результат:

Done

Total translations: 19

Successful translations: 19

Failed translations: 0

Отформатируйте трапы, чтобы они распознавались Zabbix. Измените /usr/local/etc/snmp/UG.conf: измените FORMAT на FORMAT ZBXTRAP $aA

Если в системе используется iptables, то разрешите прием UDP-пакетов на порт 162 и сохраните добавленное правило, чтобы оно не сбросилось после перезапуска системы. Для этого используйте следующие команды:

# iptables -A INPUT -p udp -m udp -s 192.168.110.0/24 --dport 162 -j ACCEPT

# iptables-save

Перезапустите службы для применения изменений:

# /etc/init.d/snmpd restart

# /etc/init.d/snmptt restart

# /etc/init.d/snmptrapd restart

# /etc/init.d/zabbix-server restart

Проверьте, что snmptrapd слушает на порту 162:

# netstat -tulpan | grep snmptrapd

Перейдите в веб-консоль UserGate и во вкладке Диагностика и мониторинг в разделе Оповещения --> SNMP создайте SNMP-правило. В поле IP-серверы для трапов укажите IP-адрес сервера Zabbix.

image258

Во вкладке События добавьте необходимые трапы.

Перейдите в веб-интерфейс Zabbix. Для примера будет создан элемент данных UG_trapHighCPUUsage (высокая нагрузка процессора) с типом SNMP trap. Для этого перейдите в раздел Настройка --> Шаблоны, откройте нужный шаблон, перейдите во вкладку Элемент данных и нажмите Создать элемент данных. Укажите необходимые данные.

image259

Трапы можно посмотреть в разделе Мониторинг --> Последние данные.

11.1.3. Шаблон Zabbix

В данном разделе будет рассмотрено использование шаблона UserGate в системе мониторинга Zabbix с применением SNMPv2. Загрузка шаблона доступна по следующей ссылке: https://static.usergate.com/tools/zabbix-template/usergate-zabbix-template.xml.

Данный шаблон содержит соответствующий макрос с community по умолчанию public, набор элементов данных принимающих метрики системных параметров, статистику основных метрик интерфейса управления port0, триггеры и графики. Элементы данных сконфигурированы с использованием как идентификаторов объектов (OID), так и баз управляющей информации (MIB).

При загрузке шаблона, а также файлов MIB на сервер Zabbix, сконфигурированный узел сети уже сможет получать данные по имеющимся элементам. При необходимости администратор на основе информации в текущем шаблоне может добавить новые триггеры, графики и элементы данных по интерфейсам, которые требуют наблюдения.

Подробнее о загрузке файлов MIB читайте в пункте 3 раздела Мониторинг UserGate с помощью SNMP-запросов.

Для загрузки шаблона на сервер Zabbix перейдите в раздел Настройка --> Шаблоны и нажмите на Импорт.

image296

После импорта отобразится название шаблона Template UserGate Example, и он станет доступен для конфигурирования.

Используя данный шаблон можно получить следующую информацию по элементам данных:

Наименование

Тип данных

Описание

Interface_port0_admin_status

integer

Состояние интерфейса, назначаемое администратором:

  • 1 - up – готов для передачи пакетов.

  • 2 – down – не работает.

  • 3 – testing – в режиме тестирования; рабочие пакеты не могут быть переданы.

Interface_port0_bcast_packets_in

counter32

Количество доставленных широковещательных пакетов; значение указывается в пакет/с.

Interface_port0__bcast_packets_out

counter32

Количество отправленных широковещательных пакетов, включая пакеты, которые были отброшены или не отправлены; значение указывается в пакет/с.

Interface_port0_discards_in

counter32

Количество входящих пакетов, которые были отброшены, даже если не было обнаружено ошибок, препятствующих их доставке. Одна из возможных причин отбрасывания: освобождение буферного пространства. Значение указывается в пакет/с.

Interface_port0_discards_out

counter32

Количество исходящих пакетов, которые были отброшены, даже если не было обнаружено ошибок, препятствующих их передачи. Одна из возможных причин отбрасывания: освобождение буферного пространства. Значение указывается в пакет/с.

Interface_port0_errors_in

counter32

Количество входящих пакетов, которые содержат ошибки, препятствующие их доставке; значение указывается в пакет/с.

Interface_port0_errors_out

counter32

Количество исходящих пакетов, передача которых невозможна вследствие наличия ошибок; значение указывается в пакет/с.

Interface_port0_high_speed

gauge32

Оценка текущей полосы пропускания интерфейса; указывается в бит/с, кбит/с, Мбит/с, Гбит/с.

Interface_port0_mcast_packets_in

counter32

Количество доставленных пакетов многоадресной рассылки; значение указывается в пакет/с.

Interface_port0_mcast_packets_out

counter32

Количество отправленных пакетов многоадресной рассылки, включая пакеты, которые были отброшены или не отправлены; значение указывается в пакет/с.

Interface_port0_name

string

Текстовое название интерфейса. Значение должно совпадать с именем, назначенным устройством и должно подходить для использования в командах, выполняемых с консоли устройства. Название может содержать текст или просто номер порта.

Interface_port0_oper_status

integer

Текущий статус работы интерфейса:

  • 1 – up – интерфейс готов для передачи пакетов.

  • 2 – down – интерфейс не может передавать пакеты данных.

  • 3 – testing – выполняется тестирование сетевого интерфейса; рабочие пакеты не могут быть переданы.

  • 4 – unknown – интерфейс находится в неизвестном состоянии.

  • 5 – dormant – сетевой интерфейс не может передавать пакеты данных, он ожидает внешнее событие.

  • 6 – notPresente – сетевой интерфейс не может передавать пакеты данных из-за отсутствующего компонента, обычно аппаратного.

  • 7 – lowerLayerDown – сетевой интерфейс не может передавать пакеты данных, потому что он работает поверх одного или нескольких других интерфейсов, и не менее одного из этих интерфейсов "нижнего уровня" не работает.

Interface_port0_promiscuous_mode

integer

"Неразборчивый" режим. Может принимать значения:

  • 1 – true – станция принимает все пакеты/кадры независимо от того, кому они адресованы.

  • 2 – false – интерфейс принимает только пакеты/кадры, адресованные этой станции.

Значение объекта не влияет на приём широковещательных и многоадресных пакетов/кадров.

Interface_port0_total_throughput

counter32

Вычисляемый элемент - сумма бит входящего и исходящего трафика в секунду; измеряется в бит/с, кбит/с, Мбит/с, Гбит/с.

Interface_port0_traffic_in

counter32

Количество бит входящего трафика в секунду; измеряется в бит/с, кбит/с, Мбит/с, Гбит/с.

Interface_port0_traffic_out

counter32

Количество бит исходящего трафика в секунду; измеряется в бит/с, кбит/с, Мбит/с, Гбит/с.

Interface_port0_type

integer

Тип интерфейса, определённый в соответствии с протоколом физического/канального уровней:

  • 1 – other – неизвестный тип.

  • 2 – regular1822 – определён в BBN Report 1822.

  • 3 – hdh1822 – определён в BBN Report 1822.

  • 4 – ddn-x25 – определён в BBN Report 1822.

  • 5 – определён в стандарте канального уровня сетевой модели OSI Х.25.

  • 6 – ethernet-csmacd – сетевой интерфейс типа Ethernet, независимо от скорости (определён в RFC 3635).

  • 7 – iso88023-csmacd – определён в IEEE 802.3.

  • 8 – iso88024-tokenBus – определён в стандарте IEEE 8802.4.

  • 9 – iso88025-tokenRing – сетевой интерфейс использует подключение Token Ring; определяется в стандарте IEEE 802.5.

  • 10 – iso88026-man – определён в стандарте ISO 88026 "MAN".

  • 11 – starLan – определён в стандарте IEEE 802.3e.

  • 12 – proteon-10Mbit – Proteon 10 Mbit

  • 13 – proteon-80Mbit – Proteon 80 Mbit.

  • 14 – hyperchannel – высокоскоростной канал, используемы в сети ISDN.

  • 15 – fddi – сетевой интерфейс использует подключение FDDI (Fiber Distributed Data Interface). FDDI — это набор стандартов передачи данных по оптоволоконным линиям в локальной сети.

  • 16 – lapb – протокол канального уровня, используемым для передачи пакетов стандарта X.25.

  • 17 – sdlc – протокол канального уровня для системной сетевой архитектуры IBM.

  • 18 – ds1 – способен обрабатывать 24 одновременных соединения на общей скорости 1,544 Мбит/с; также называется T1

  • 19 – e1 – европейский аналог Т1.

  • 20 – basicISDN – для связи аппаратуры абонента и ISDN-станции.

  • 21 – primaryISDN – используется для подключения к широкополосным магистралям, связывающим местные и центральные АТС или сетевые коммутаторы.

  • 22 – propPointToPointSerial – определён в стандарте RFC1213.

  • 23 – ppp – сетевой интерфейс использует подключение PPP (Point-To-Point Protocol).

  • 24 – softwareLoopback – сетевой интерфейс является петлевым адаптером. Такие интерфейсы часто используются для тестирования; они не отправляют трафик в сеть.

  • 25 – eon – ConnectionLess Network Protocol (CLNP) over Internet Protocol (IP); определён в ISO/IEC 8473-1.

  • 26 – ethernet-3Mbit – сетевой интерфейс использует подключение Ethernet со скоростью 3 Мбит/с. Эта версия Ethernet определяется в стандарте IETF RFC 895.

  • 27 – nsip – XNS over IP – предназначен для использования в разнообразных средах передачи данных.

  • 28 – slip – сетевой интерфейс использует подключение SLIP (Serial Line Internet Protocol). SLIP определяется в стандарте IETF RFC 1055.

  • 29 – ultra –ULTRA Technologies.

  • 30 – ds3 – высокоскоростной интерфейс передачи данных, сформированный мультиплексированием сигналов DS1 и DS2; также называется T3.

  • 31 – sip – сетевой интерфейс использует подключение SLIP (Serial Line Internet Protocol). SLIP определяется в стандарте IETF RFC 1055.

  • 32 – frame-relay – обеспечивает возможность передачи данных с коммутацией пакетов через интерфейс между устройствами пользователя и оборудованием сети.

Interface_port0_ucast_packets_in

counter32

Количество доставленных пакетов одноадресной рассылки, значение указывается в пакет/с.

Interface_port0_ucast_packets_out

counter32

Количество отправленных пакетов одноадресной рассылки, включая пакеты, которые были отброшены или не отправлены; значение указывается в пакет/с.

Interface_port0_unknown_protocols_in

counter32

Количество пакетов, которые были получены через этот интерфейс и отброшены из-за использования неизвестного или неподдерживаемого протокола; значение указывается в пакет/с.

Sys_cpu_load

integer

Загруженность центрального процессора системы; отображается в %.

Sys_log_disk_space

integer

Пространство на диске, используемое под журналы; отображается в %.

Sys_memory_used

integer

Использование оперативной памяти; отображается в %.

Sys_power_supply1_status

string

Состояние первого источника питания:

  • no_power_supplies.

  • on.

  • off.

Sys_power_supply2_status

string

Состояние второго источника питания:

  • no_power_supplies.

  • on.

  • off.

Sys_raid_status

string

Текущий статус RAID (Redundant Array of Independent Disks):

  • no_raid.

  • 0 – optimal – массив в оптимальном состоянии.

  • 1 – degarded – полный или частичный выход из строя одного из дисков.

  • 2 – rebuild – восстановление массива.

Sys_raid_type

string

Тип RAID.

Sys_uptime

timeticks

Время работы устройства.

Sys_vcpu_count

integer

Количество виртуальных процессоров в системе.

Sys_vcpu_usage

integer

Загруженность виртуальных процессоров системы; отображается в %.

Users_counter

integer

Количество активных пользователей на текущий момент времени.

Данные мониторинга доступны в разделе Мониторинг --> Последние данные.

Кроме элементов данных шаблон содержит набор триггеров.

Наименование

Описание

Interface_port0_admin_status_Down

Интерфейс выключен административно.

Interface_port0_discards_in > 10

Более 10 входящих пакетов были отброшены.

Interface_port0_discards_out > 10

Более 10 исходящих пакетов были отброшены.

Interface_port0_oper_status_Down

Интерфейс управления перешёл в нерабочее состояние.

Sys_cpu_load > 60%

Загруженность центрального процессора превысила 60%.

Sys_cpu_load > 85%

Загруженность центрального процессора превысила 85%.

Sys_log_disk_space > 80%

Более 80% диска используется для хранения журналов.

Sys_memory_used > 60%

Использование оперативной памяти более чем на 60%.

Sys_memory_used > 85%

Использование оперативной памяти более чем на 85%.

Sys_power_supply1_status_Off

Отключение первого источника питания.

Sys_power_supply2_status_Off

Отключение второго источника питания.

Sys_raid_status_Degraded

Статус RAID изменился на degraded – один из дисков (полностью или частично) вышел из строя.

Sys_raid_status_Rebuild

Статус RAID изменился на rebuild – происходит восстановление массива.

Sys_vcpu_usage > 80%

Загруженность виртуального процессора превысила 80%.

Sys_vcpu_usage > 95%

Загруженность виртуального процессора превысила 95%.

Usergate_has_been_restarted_(uptime < 10m)

Время работы устройства после перезагрузки менее 10 минут.

Срабатывания триггеров будут отображены в разделе Мониторинг --> Проблемы.

На основании полученных значений элементов данных возможно построение графиков по необходимым метрикам. Шаблон UserGate содержит следующие графики:

Наименование

Описание

Interface_port0_bcast_packets

Количество широковещательных пакетов, переданных в обоих направлениях; единица измерения: пакет/с..

Interface_port0_discards

Количество входящих и исходящих пакетов, которые были отброшены; единица измерения: пакет/с.

Interface_port0_errors

Количество входящих и исходящих пакетов, передача которых невозможна вследствие наличия ошибок; единица измерения: пакет/с.

Interface_port0_mcast_packets

Количество пакетов многоадресной рассылки, переданных в обоих направлениях; единица измерения: пакет/с.

Interface_port0_speed

Полоса пропускания интерфейса в выбранный промежуток времени; измеряется в бит/с, кбит/с, Мбит/с, Гбит/с.

Interface_port0_total_throughput

Пропускная способность (утилизация) интерфейса управления UserGate (port0), т.е. сумма бит входящего и исходящего трафика в секунду; измеряется в бит/с, кбит/с, Мбит/с, Гбит/с.

Interface_port0_traffic

Пропускная способность (утилизация) интерфейса для входящего и исходящего трафика; измеряется в бит/с, кбит/с, Мбит/с, Гбит/с.

Interface_port0_ucast_packets

Количество одноадресных пакетов, переданных во входящем и исходящем направлениях; единица измерения: пакет/с.

Sys_cpu_load

Загруженность центрального процессора; измеряется в %.

Sys_log_disk_space

Использование диска для хранения журналов; измеряется в %.

Sys_memory_used

Использование оперативной памяти; измеряется в %.

Sys_uptime

Продолжительность работы устройства.

Sys_vcpu_usage

Загруженность виртуального процессора.

Users_counter

Количество активных пользователей.

Например, ниже представлен график текущей пропускной способности (утилизации) интерфейса управления UserGate (port0), т.е. сумма значений входящего и исходящего трафика.

image289

При настройке новых элементов данных, а также редактирования существующих рекомендуется использовать MIB Browser. С его помощью администратор сможет однозначно определить необходимый для мониторинга идентификатор объекта, а также получить его описание. Для этого потребуется предварительно загрузить в MIB Browser набор файлов MIB UserGate.

В данном примере использовался iReasoning MIB Browser; ссылка для скачивания: https://www.ireasoning.com/mibbrowser.shtml.

Процесс определения идентификатора объекта.

  1. Настроить правило SNMP на UserGate (пункт 3 раздела Мониторинг UserGate с помощью SNMP-запросов). Во вкладке События добавьте все необходимы для мониторинга события.

  2. Скачать файлы MIB.

  3. Разрешить сервис SNMP на зоне, через которую будет осуществляться передача данных мониторинга. Для этого во вкладке Настройки веб-интерфейса UserGate перейдите в раздел Сеть --> Зоны. Далее во вкладке Контроль доступа свойств зоны разрешите сервис SNMP.

  4. Загрузить файлы MIB в установленный MIB browser.

image290

  1. В поле Address указать IP-адрес интерфейса UserGate, с которого будет происходить передача данных мониторинга (на зоне, которой принадлежит интерфейс, должен быть разрешён сервис SNMP).

image291

  1. В поле Advanced указать SNMPv2 и community в соответствии с правилом SNMP, настроенным на UserGate.

image292

  1. Выполнить запрос идентификаторов. Для выполнения запроса всего дерева поле OID необходимо оставить пустым; в поле Operations выберите Walk и нажмите Go.

image293

После выполнения запроса во вкладке Result Table появится информация по всем полученным с UserGate идентификаторам объектов и соответствующим им значениям на момент запроса.

image294

Выделите интересующий вас объект для отображения дополнительной информации о нём. Данные об объекте (OID, MIB, тип доступа и т.п., а также принимаемые значения и описание объекта) будут отображены в таблице.

image295

Альтернативным методом получения идентификаторов объектов и вывода текущих параметров является выполнение команды snmpwalk на сервере Zabbix.

Используя эти значения возможно настроить дополнительные элементы данных в шаблоне на сервере Zabbix, либо внести изменения в существующие шаблоны по аналогии с примерами пункта 6 раздела Мониторинг UserGate с помощью SNMP-запросов.

11.2. Ошибки при взаимодействии UserGate и Cisco ASA

При работе UserGate в связке c аппаратными межсетевыми экранами, разработанными компанией Cisco Systems, Cisco ASA, с включённым режимом TCP Sequence Randomization, могут наблюдаться ошибки.

При использовании режима TCP Sequence Randomization, по умолчанию, продукты линейки Cisco ASA рандомизируют начальные порядковые номера (Initial Sequence Number, ISN) пакетов TCP с установленным флагом SYN во входящем и исходящем потоках. Рандомизация не позволяет злоумышленнику предсказать следующий ISN нового подключения и, возможно, предотвратить перехват новой сессии.

Схема взаимодействия UserGate и Cisco приведена ниже.

image260

Как показано на схеме, UserGate выступает в роли моста с режимом работы Layer 2; Cisco ASA тегирует трафик. При попытке установки соединения сервера А, находящегося во VLAN 100, с сервером B, находящимся во VLAN 50, будет передан пакет от UserGate на Cisco ASA со значением ISN, равным X, и ACK (Acknowledgment Number) - cо значением Y. В ответ UserGate ожидает получить пакет с ISN, равным X, и ACK, равным Y+1. Cisco изменяет тег VLAN со 100 на 50 и в целях обеспечения безопасности соединения от атаки «человек посередине» (Man in the middle, MITM) посылает пакет со значениями ISN = Z и ACK = Y+1. Cisco ASA изменило значение ISN, поэтому UserGate отбросит пакет, ожидая получения пакета с другим ISN.

Чтобы исключить такую ситуацию, необходимо отключить режим TCP Sequence Randomization на оборудовании компании Cisco.

12. Обновление UserGate

12.1. Процедура перехода с UserGate 5 на UserGate 6

  1. Скачать update для UserGate 5 по ссылке: https://static.usergate.com/tools/api5beam.zip.

  • Если установлен UserGate версии utm-5.0.6.4729R или ниже — установить update из папки update_old_key.

  • Если установленная версия UserGate utm-5.0.6.4825R или выше, то установить update из папки update_new_key.

Загрузить его через веб-консоль UserGate и выполнить установку.

  1. Включить сервис XML-RPC на зоне интерфейса, с которого предполагается выгрузка данных.

Для этого нужно выполнить запрос в браузере (указать IP-адрес интерфейса UserGate 5): https://X.X.X.X:8001?features=zone-xml-rpc и включить сервис XML-RPC для управления на нужной зоне.

  1. Загрузить архив ug_convert_config.zip.

Архив доступен по ссылке https://github.com/usergate/Migrations/tree/main/ug_convert_config. Архив необходимо распаковать и сделать файл ug_convert_config исполняемым.

  1. Экспортировать данные с UserGate 5.

Примечание

В момент выгрузки данных LDAP-сервер и DNS должны быть доступны с устройства UserGate 5.

Для выгрузки данных в терминале необходимо запустить скрипт ug_convert_config, ввести данные для подключения и выполнить экспорт данных (инструкция по работе скрипта: https://github.com/usergate/Migrations/tree/main/ug_convert_config).

  1. Развернуть образ UserGate 6.

  2. После окончания установки UserGate 6 выполнить настройку DNS и LDAP-коннектора.

  3. Выполнить импорт данных на UserGate 6.

Для импорта данных нужно запустить в терминале скрипт ug_convert_config, ввести данные для подключения и выполнить импорт данных (инструкция по работе скрипта: https://github.com/usergate/Migrations/tree/main/ug_convert_config).

12.2. Установка ПО UserGate на аппаратной платформе

12.2.1. Создание загрузочного USB-диска с образом UserGate

  1. Загрузить образ диска (ссылка: https://static.usergate.com/tools/usergate_light_image.iso).

  2. Скачать ПО Rufus по ссылке https://rufus.ie/ru/ и запустить его.

  3. В Rufus указать следующие настройки.

    • Параметр Устройство: выбрать USB на который будет записан образ.

    • Параметр Метод загрузки: выбрать Диск или ISO-образ.

    • Кнопка Выбрать: указать образ usergate_light_image.iso.

image261

Далее нажать кнопку Старт.

  1. После окончания записи скопировать образ utm-6.ВЕРСИЯ-public.hdd.bz2 в созданный загрузочный USB в директорию /utm_image.

Далее возможна установка с USB-флешки (подробнее в разделе Установка загрузки с USB) или через IPMI (подробнее в разделе Установка загрузки по IPMI).

12.2.2. Установка загрузки с USB

  1. Войти в BIOS: нажать клавишу Delete после включения устройства и появления на экране следующего оповещения.

image262

  1. Перейти во вкладку Boot в раздел USB Device BBS Priorities (если раздел отсутствует, выбрать раздел Hard Drive BBS Priorities).

image263

  1. В параметре Boot Option #1 (количество Boot опций может отличаться на разных устройствах) выбрать USB Flash с Ghost4Linux.

image264

  1. Вернуться в предыдущее меню и установить приоритет загрузки устройств. В параметре Boot Option #1 (количество Boot опций может отличаться на разных устройствах) выбрать флеш-накопитель с Ghost4Linux (не UEFI раздел).

image265

  1. Перейти во вкладку Save & Exit и выбрать команду Save Changes and Reset.

image266

После перезагрузки произойдет загрузка с флеш-накопителя.

12.2.3. Установка загрузки по IPMI

  1. Сделать backup флешки. Можно воспользоваться утилитой USB Image Tool (http://www.alexpage.de/usb-image-tool/) с расширением .img.

  2. Подключиться к IPMI (для настройки используйте http://static.entensys.com/manuals/ugutm/latest/UGUTM-IPMI-remoute-management-ru.pdf)

  3. Выбрать в меню Media --> Virtual Media Wizard...

image267

  1. Выбрать сохраненный ранее образ флешки и подключить USB Key Media.

image268

image269

image270

  1. Перезагрузить UserGate. Используйте меню Remote Control --> Appliance Power Control --> Reset Appliance.

image271

image272

  1. Во время загрузки, используя клавишу Del, зайти в BIOS. В BIOS установить загрузку образа с Ghost4Linux:

image273

image274

После перезагрузки произойдет загрузка с флеш-накопителя.

12.2.4. Распаковка образа

  1. В Boot Menu выбрать UserGate image UTM install и дождаться окончания загрузки.

image275

image276

  1. Выбрать опцию Set UTM image и в следующем окне указать образ utm-6.ВЕРСИЯ-public.hdd.bz2 (при помощи кнопки Space):

image277

image278

  1. Далее выбрать опцию Restore.

image279

  1. Выбрать диск (не логический раздел, а физический диск, например sda), на который будет разворачиваться образ.

image280

  1. Подтвердить действия, после чего начнётся распаковка образа.

image281

image282

  1. После окончания установки перезагрузить сервер при помощи опции Reboot/Poweroff.

image283

image284

  1. После перезагрузки устройства войти в BIOS и во вкладке Boot установить загрузку с жёсткого диска.

В случае, если во вкладке Boot раздел USB Device BBS Priorities отсутствует, необходимо предварительно перейти в раздел Hard Drive BBS Priorities и выбрать жесткий диск в опции Boot Option #1.

image288

image287