UserGate 5

База знаний

1. Способы внедрения межсетевого экрана UserGate

Решение UserGate, может быть внедрено в сеть несколькими разными способами. В зависимости от выбранного варианта подключения, определенный функционал может быть не доступен. Ниже мы рассмотрим большинство доступных вариантов.

Опции подключения решения UserGate включают следующие:

  • L3-L7 брандмауэр

  • L2 прозрачный мост

  • L3 прозрачный мост

  • Виртуально в разрыв, с применением протокола WCCP

  • Виртуально в разрыв, с применением Policy Based Routing

  • Router on a Stick

  • Явно заданный WEB-прокси

  • UserGate, как шлюз по умолчанию

  • Мониторинг Mirror-порта

1.1. Настройка UserGate с одним интерфейсом

Подключите интерфейс eth0 UserGate к коммутатору локальной сети, подключите монитор и клавиатуру (в случае аппаратной платформы) и включите питание.

При первом включении UserGate подтвердите начальную инициализацию.

При наличии в сети DHCP-сервера выделенный адрес интерфейса будет отображён в веб-консоли, при отсутствии DHCP-сервера задайте адрес интерфейса командой CLI-консоли:

UTM> iface config -name eth0 -ipv4 A.B.C.D/M -enabled true -mode static

где A.B.C.D/М - выделенный адрес и маска локальной сети.

С компьютера локальной сети откройте в браузере в веб-консоль по ссылке https://A.B.C.D:8001/ где A.B.C.D - назначенный или выделенный адрес интерфейса UserGate.

При первом подключении к веб-консоли выберите язык, часовой пояс и задайте логин/пароль администратора (всё это можно будет позже изменить).

В веб-консоли проверьте настройки Шлюза по умолчанию и DNS (Главная консоль - Сеть - Шлюзы и DNS соответственно), при необходимости задайте.

Примечание

Шлюз - это маршрут во внешнюю сеть, если в локальной сети есть сегменты, отделённые другими маршрутизаторами - создайте необходимые маршруты на странице Главная консоль - Сеть - Маршруты. Если адрес интерфейса был назначен по DHCP - в свойствах интерфейса eth0 (Главная консоль - Сеть - Интерфейсы) измените режим с DHCP на Статический.

Зарегистрируйте продукт для чего кликните по надписи "Незарегистрированная версия" в верхней части экрана и введите необходимую информацию.

Успешная регистрация является подтверждением правильных настроек параметров сети.

На странице Зоны веб-консоли (Главная консоль - Сеть - Зоны) откройте свойства зоны Trusted и на вкладке Контроль доступа отметьте чек-бокс Консоль администрирования, после чего в свойствах интерфейса eth0 на вкладке Общие выберите зону Trusted.

Перейдите на страницу Главная консоль - Политики сети - Межсетевой экран, в свойствах предустановленного правила Allow trusted to untrusted на вкладке Назначение очистите чек-бокс Untrusted и включите правило.

На странице Главная консоль - Политики сети - NAT и маршрутизация откройте свойства предустановленного правила NAT from Trusted to Untrusted и на вкладке Назначение измените зону с Untrusted на Trusted.

Настройка параметров сети UserGate выполнена, для фильтрации трафика пользователей вы можете указать адрес UserGate как HTTP-прокси (по умолчанию порт 8090) или как шлюз по умолчанию.

1.2. Настройка UserGate с двумя интерфейсами.

Данный способ внедрения решения является рекомендованным. В данной схеме решение выступает полноценным узлом в сети, реализующим функции пограничного маршрутизатора с возможностью глубокого анализа пакетов и применения политик фильтрации контента на уровнях 3-7, сетевой модели OSI.

Описываемый способ внедрения также позволяет использовать решение, в качестве явного прокси для конфигурирования ПО установленного на клиентских хостах сети.

В данной конфигурации, в малых сетях, шлюзом по умолчанию на конечных узлах сети указывается IP-адрес решения UTM. В более сложных сетях решение выступает шлюзом по умолчанию для маршрутизаторов Core уровня.

Так как в данном сценарии решение маршрутизирует трафик между различными интерфейсами, вам потребуется назначить IP-адрес на каждый интерфейс.

Для настройки работы решения в данном режиме вам потребуется произвести следующие настройки:

  • Задать IP-адреса для каждого из физически скоммутированого интерфейса

  • Задать настройки маршрутизации

  • Задать настройки Domain Name Services (DNS).

Для настройки IP-адресов, необходимо определить, какие физические интерфейсы скоммутированы. Номера интерфейсов на устройстве, либо в виртуальной машине напрямую соответствуют интерфейсам в консоли администратора. Например, интерфейс “0” на устройстве, будет соотнесен с интерфейсом “Eth0” в консоли администратора.

Подключите интерфейс eth0 UserGate к коммутатору локальной сети, к интерфейсу eth1 подключите кабель от провайдера, подключите монитор и клавиатуру (в случае аппаратной платформы) и включите питание.

При первом включении UserGate подтвердите начальную инициализацию.

При наличии в локальной сети DHCP-сервера выделенный адрес интерфейса будет отображён в веб-консоли, при отсутствии DHCP-сервера задайте адрес интерфейса командой CLI-консоли:

UTM> iface config -name eth0 -ipv4 A.B.C.D/M -enabled true -mode static

где A.B.C.D/М - выделенный адрес и маска локальной сети.

С компьютера локальной сети откройте в браузере в веб-консоль по ссылке https://A.B.C.D:8001/ где A.B.C.D - назначенный или выделенный адрес интерфейса UserGate.

При первом подключении к веб-консоли выберите язык, часовой пояс и задайте логин/пароль администратора (всё это можно будет позже изменить).

На странице Интерфейсы (Главная консоль - Сеть - Интерфейсы) в свойствах интерфейса eth1 задайте IP-адрес и маску и включите интерфейс, сконфигурируйте Шлюз по умолчанию и DNS (Главная консоль - Сеть - Шлюзы и DNS соответственно).

Примечание

Шлюз - это маршрут во внешнюю сеть, если в локальной сети есть сегменты, отделённые другими маршрутизаторами - создайте необходимые маршруты на странице Главная консоль - Сеть - Маршруты.

При наличии двух или более шлюзов возможны 2 варианта работы:

  • Балансировка трафика между шлюзами. Установить флажок Балансировка и указать Вес каждого шлюза. В этом случае весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами (чем больше вес, тем большая доля трафика идет через шлюз).

  • Основной шлюз с переключением на запасной. Выбрать один из шлюзов в качестве основного и настроить Проверку сети, нажав на одноименную кнопку в интерфейсе. Проверка сети проверяет доступность хоста в интернет с указанной в настройках периодичностью, и в случае, если хост перестает быть доступен, переводит весь трафик на запасные шлюзы в порядке их расположения в консоли.

Зарегистрируйте продукт для чего кликните по надписи "Незарегистрированная версия" в верхней части экрана и введите необходимую информацию.

Успешная регистрация является подтверждением правильных настроек параметров сети.

На странице Зоны веб-консоли (Главная консоль - Сеть - Зоны) откройте свойства зоны Trusted и на вкладке Контроль доступа отметьте чек-бокс Консоль администрирования, после чего в свойствах интерфейса eth0 на вкладке Общие выберите зону Trusted.

Перейдите на страницу Главная консоль - Политики сети - Межсетевой экран, включите предустановленное правило Allow trusted to untrusted.

Настройка параметров сети UserGate выполнена, на компьютерах пользователей вы можете указать адрес интерфейса локальной сети UserGate как HTTP-прокси (по умолчанию порт 8090) или как шлюз по умолчанию.

1.3. Router on a Stick

Router-on-a-stick — это термин, часто используемый для описания настройки, которая состоит из маршрутизатора (в нашем случае — устройства UserGate) и коммутатора, подключенных с помощью одного канала Ethernet, настроенного как TRUNK-канал. В этой настройке порты коммутатора принадлежат различным VLAN, и UserGate выполняет всю маршрутизацию между различными сетями/VLAN. Иными словами, на единственном порту UserGate настраиваются подинтерфейсы, которые принадлежат разным VLAN и имеют разные IP адреса. По сути это соответствует способу внедрения UserGate с двумя интерфейсами, описанному выше, только в качестве интерфейсов используются саб-интерфейсы.

image0

Для конфигурации данной архитектуры произведите следующие настройки.

  1. В веб-консоли администратора, зайдите в настройки сетевых интерфейсов. Главная консоль \\ Сеть \\ Интерфейсы.

  2. Нажмите на кнопку Добавить и из выпадающего меню выберите опцию Добавить VLAN.

  3. В открывшемся окне, в пункте Тип интерфейса, установите значение Layer 3.

  4. Укажите корректный номер VLAN в пункте Тег VLAN.

  5. Выберите интерфейс, который вы скоммутировали для работы.

  6. В пункте Зона укажите зону, к которой будет принадлежать создаваемый виртуальный интерфейса.

  7. Активируйте интерфейс, поставив галку в пункте Вкл.

Повторите описанные действия для других виртуальных интерфейсов.

1.4. прозрачный мост

Сетевой мост работает на канальном уровне сетевой модели OSI (L2), при получении из сети кадра сверяет MAC-адрес последнего и, если он не принадлежит данной подсети, передает (транслирует) кадр дальше в тот сегмент, которому предназначался данный кадр; если кадр принадлежит данной подсети, мост ничего не делает.

Интерфейс мост можно использовать в UserGate аналогично обычному интерфейсу. Кроме этого, через мост можно настроить фильтрацию передаваемого контента уровне L2 без внесения изменений в сетевую инфраструктуру компании. Простейшая схема использования UserGate в качестве решения, обеспечивающего контентную фильтрацию на уровне L2, выглядит следующим образом:

image1

При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила Контентной фильтрации и Mail security.

Если мост создается в ПАК UserGate, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо UserGate) в случаях если:

  • Электропитание ПАК UserGate отключено

  • Система внутренней диагностики обнаружила проблему в работе ПО UserGate.

Более подробно о сетевых интерфейсах, поддерживающих режим байпас смотрите в спецификации на оборудование ПАК UserGate.

Чтобы сконфигурировать UserGate, в режиме L2 прозрачного моста произведите следующие настройки.

  1. В веб-консоли администратора, зайдите в настройки сетевых интерфейсов. Главная консоль \\ Сеть \\ Интерфейсы.

  2. Нажмите на кнопку Добавить и из выпадающего меню выберите опцию Добавить мост.

  3. В открывшемся окне, в пункте Тип интерфейса, установите значение Layer 2.

  4. В пункте Зона укажите зону, к которой будет принадлежать создаваемый мост

  5. В разделе Интерфейсы моста выберите два интерфейса, которые вы скоммутировали для работы в данном режиме.

Если ваше оборудование поддерживает режим работы Байпас-моста, в разделе Интерфейсы байпас моста, выберите соответствующие интерфейсы

Активируйте мост, поставив галку в пункте Вкл.

1.5. прозрачный мост

При выборе режима Layer 3 создаваемому мосту необходимо назначить IP-адрес и указать маршруты в сети, подключенные к интерфейсам моста.

image2

В данном режиме могут быть использованы все механизмы фильтрации, доступные в UserGate.

Если мост создается в ПАК UserGate, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо UserGate) в случаях если:

  • Электропитание ПАК UserGate отключено

  • Система внутренней диагностики обнаружила проблему в работе ПО UserGate.

Более подробно о сетевых интерфейсах, поддерживающих режим байпас смотрите в спецификации на оборудование ПАК UserGate.

Чтобы сконфигурировать UserGate, в режиме L3 прозрачного моста произведите следующие настройки.

  1. В веб-консоли администратора, зайдите в настройки сетевых интерфейсов. Главная консоль \\ Сеть \\ Интерфейсы.

  2. Нажмите на кнопку Добавить и из выпадающего меню выберите опцию Добавить мост.

  3. В открывшемся окне, в пункте Тип интерфейса, установите значение Layer 3.

  4. В пункте Зона укажите зону, к которой будет принадлежать создаваемый мост

  5. В разделе Интерфейсы моста выберите два интерфейса, которые вы скоммутировали для работы в данном режиме.

  6. Если ваше оборудование поддерживает режим работы Байпас-моста, в разделе Интерфейсы байпас моста, выберите соответствующие интерфейсы

  7. В закладке Сеть, выберите предпочитаемый метод назначения сетевых параметров для моста – DHCP либо Статический. При выборе статического назначения параметров, задайте сетевые параметры вручную.

Активируйте мост, поставив галку в пункте Вкл.

1.6. WCCP, Виртуально в разрыв

Протокол Web Cache Communication Protocol (WCCP) является разработанным Cisco протоколом, который позволяет определенным маршрутизаторам Cisco и коммутаторам прозрачно перенаправлять трафик на кеширующее устройство (прокси), такое как устройство UserGate . В этой главе описываются концепции WCCP, которые необходимо понять для развертывания WCCP на устройствах UserGate.

Когда устройство UserGate не находится в физическом пути клиентов и серверов, оно должно полагаться на внешнее устройство—либо коммутатор уровня 4 (L4), либо маршрутизатор с поддержкой WCCP, для перенаправления пакетов к нему для прозрачного проксирования. Этот тип развертывания известен как развертывание виртуально в разрыв. WCCP рекомендуется использовать для схемы виртуально в разрыв, поскольку он обеспечивает следующие преимущества:

Масштабируемость и балансировка нагрузки — трафик может быть автоматически распределен на несколько устройств UserGate . Если один UserGate отключается, трафик автоматически перераспределяется между другими устройствами UserGate в группе.

Безопасность — вы можете защитить группу служб WCCP паролем, чтобы к ней могли присоединиться только авторизованные устройства. Кроме того, можно настроить списки управления доступом (ACL) на маршрутизаторе, чтобы ограничить доступ только к определенным устройствам UserGate.

Отказоустойчивость — в случае отсутствия устройств UserGate, доступных для перенаправления трафика, маршрутизатор перенаправляет трафик на исходный адрес назначения.

Гибкость — вы точно контролируете, какой трафик перенаправлять и как его перенаправлять. Вы можете перенаправить весь трафик, входящий или выходящий из интерфейса маршрутизатора; вы можете фильтровать трафик с помощью ACL или вы можете определить конкретный протокол и порты для перенаправления.

В развертываниях прозрачных прокси клиент не знает, что он взаимодействует с UserGate, а не с конечным сервером (КС). Таким образом, пакет от клиента адресован КС. Маршрутизатор проверяет трафик на интерфейсах с поддержкой WCCP (входящий или исходящий в зависимости от конфигурации) и определяет, следует ли перенаправлять его на основе правил, согласованных маршрутизатором и устройствами UserGate.

Процесс работает следующим образом:

  1. Клиент отправляет пакет, адресованный для КС.

  2. Маршрутизатор с поддержкой WCCP перенаправляет пакет на UserGate.

  3. UserGate определяет, что с ним делать на основе политик, настроенных для данного типа трафика. Если он не может обслуживать запрос локально (например, возвращая страницу из своего локального кэша), он отправляет запрос указанному КС от имени клиента.

  4. Ответ КС направляется (или перенаправляется в зависимости от конфигурации) обратно в UserGate.

  5. Затем UserGate пересылает ответ обратно клиенту.

image3

Для того, чтобы сконфигурировать WCCP на вашем маршрутизаторе, обратитесь к соответствующей документации. Для конфигурации WCCP на UserGate, произведите следующие шаги:

  1. В веб-консоли администратора, зайдите в настройки сетевых интерфейсов. Главная консоль \\ UserGate \\ Настройки.

  2. В разделе Настройка WCCP произведите следующие конфигурации:

    • Укажите IP-адрес WCCP-сервера в параметре Адрес сервера WCCP.

    • Укажите пароль для подключения к серверу в параметре Пароль сервера WCCP.

    • Если вам требуется инспектировать HTTPS трафик, активируйте передачу этого трафика установив параметр Поддержка WCCP в режим Вкл.

    • По умолчанию, клиент WCCP на устройстве UserGate сконфигурирован на прием сервис группы с индексом 0, что соответствуют HTTP трафику. Обратитесь к документации производителя вашего сетевого оборудования за дополнительной информацией.

    • Активируйте функцию WCCP клиента установив параметр WCCP в режим Вкл.

1.7. Policy Based Routing, виртуально в разрыв

Маршрутизация на основе политик (policy based routing, PBR) позволяет маршрутизировать трафик на основании заданных, на вашем сетевом оборудовании, политик. Когда пакеты достигают UserGate, используя PBR, IP-адрес назначения пакетов-это адрес целевого сервера, но MAC-адрес назначения-это адрес принимающего UserGate. В данной конфигурации UserGate выступает в качестве одного их последующих хопов маршрутизации на пути пакета от клиента к серверу в Интернете.

image4

Данная архитектура не требует специальных действий по конфигурации устройства, за исключением стандартных процедур определения IP-адресов сетевых портов, настроек DNS и маршрутов сети.

1.8. Явный веб-прокси

Вы можете настроить каждую клиентскую рабочую станцию в своей сети для направления веб-запросов на устройство UserGate. Этот тип развертывания называется явным прокси. После того как клиент настроен для явного прокси, все пользовательские веб-запросы отправляются на устройство, а не на целевой сервер. При этом клиентское ПО, в котором прокси сервер не настроен в явном виде, либо приложения не обладающие возможностью работать через прокси, будут отправлять запросы минуя Usergate – напрямую на шлюз по умолчанию. Затем UserGate определяет, разрешить или запретить запрос на основе политики веб-доступа.

image5

За исключением стандартных процедур определения IP-адресов сетевых портов, настроек DNS, маршрутов сети, необходимо обратить внимание на несколько следующих параметров:

  1. В стандартных настройках решения, единственное активированное правило Межсетевого экрана - «Блокировать все». Таким образом после первоначальной конфигурации устройства, трафик не будет отсылаться в сеть Интернет. Необходимо разрешить транзитный трафик.

  2. Порт прокси сервера по-умолчанию указываются в разделе UserGate \\ Настройки \\ HTTP(S)-прокси порт

  3. Зона, назначенная на интерфейс, который будет принимать запросы пользователей, должна быть настроена на прием HTTP(S)-запросов. Чтобы убедиться, в корректной конфигурации зоны необходимо перейти в раздел Сеть \\ Зоны, выбрать необходимую зону, перейти в закладку Контроль доступа и убедиться, что настройка HTTP(S)-прокси активирована.

1.9. Мониторинг Mirror-порта

image6

В данной конфигурации устройство получает копию трафика с какого-либо сетевого оборудования, обладающего возможностью отправить копию трафика на один из своих портов. В данной конфигурации, устройство может выполнять роль СОВ и L7.

Для настройки вашего сетевого оборудования в режиме Mirror-порта, обратитесь к соответствующей документации.

Чтобы сконфигурировать UserGate, в режиме СОВ на Mirror-порте, произведите следующие настройки:

  1. В веб-консоли администратора, зайдите в настройки сетевых интерфейсов. Главная консоль \\ Сеть \\ Интерфейсы.

  2. Выберите интерфейс, нажмите на кнопку Редактировать. В открывшемся окне, в закладке Общие, в пункте Тип интерфейса, установите значение Mirror.

  3. Активируйте интерфейс, поставив галку в пункте Вкл.

Конфигурация Зоны, для этого порта значения не имеет.

1.10. Настройка подключения отказоустойчивого кластера к двум провайдерам

Концептуальная схема подключения будет выглядеть следующим образом:

image7

В данной схеме, устройства Usergate настроены в режиме отказоустойчивого кластера по схеме active-pasive.

Для конфигурации автоматического переключения хостов на резервного оператора связи необходимо настроить несколько шлюзов. В нашем примере два. При этом один из шлюзов, указать как шлюз по-умолчанию:

image8

Далее нужно активировать подсистему “Проверка сети” и указать узел в интернете, который система будет периодически проверять на предмет доступности. Когда ресурс перестанет быть доступным, система переключится на следующий в списке шлюз и будет использовать его по-умолчанию:

image9

На следующем рисунке, обратите внимание, что основной шлюз по-умолчанию стал недоступен (красная точка – индикатор доступности адреса):

image10

Кластер переключился на запасной шлюз:

image11

2. Авторизация

2.1. Авторизация с помощью Kerberos

Авторизация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации через Kerberos сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.

Примечание

Для авторизации пользователей через Kerberos пользователи должны входить в группу Domain users (пользователи домена) в AD.

  1. Создадим DNS записи для сервера UserGate. Необходимо создавать записи типа A, не создавайте записи типа CNAME.

image12

Где 10.1.10.21 IP адрес интерфейса UserGate подключенного в зону Trusted.

  1. Создадим пользователя в домене AD, например kerb@kraftec.net с опцией password never expires (срок действия пароля не ограничен). Установим пароль пользователю kerb.

Примечание

Не использовать символы национальных алфавитов, например, кириллицу, в именах пользователя kerb или в организационных единицах AD, где вы планируете создать учетную запись kerb.

Примечание

Пользователь для Kerberos и пользователь для LDAP-коннектора должны отличаться. Не использовать одну и туже учетную запись.

  1. Создадим keytab файл на контроллере домена. Выполним следующую команду из-под администратора (команда в одну строку!):

ktpass.exe /princ HTTP/auth.kraftec.net@KRAFTEC.NET /mapuser kerb@KRAFTEC.NET /crypto ALL /ptype krb5_NT_PRINCIPAL /pass * /out C:\utm.keytab

Введем пароль пользователя kerb.

image13

Примечание

Команда чувствительна к регистру букв. В данном примере:

auth.kraftec.net — DNS — запись, созданная для сервера UserGate в пункте 1.

KRAFTEC.NET — Kerberos realm domain, обязательно большими буквами.

kerb@KRAFTEC.NET — имя пользователя в домене, созданное в пункте 2, имя realm-домена обязательно большими буквами.

  1. В разделе DNS — Системные DNS серверы укажем IP-адреса контроллеров домена.

  2. Настроим синхронизацию времени с контроллером домена.

В разделе НастройкиНастройка времени сервера, установим Основной NTP-сервер — IP адрес контроллера домена. В качестве запасного — опционально — укажем IP адрес другого контроллера домена.

image14

  1. Изменим адрес домена Auth Captive-портала.

В разделе Настройки →Модули, изменим названия Доменов на созданные доменные имена в пункте 1.

image15

  1. Создадим LDAP - коннектор для получения информации о пользователях и группах Active Directory и загрузим в него keytab - файл.

Перейдем в раздел Пользователи и устройства → Серверы авторизации, нажмем кнопку Добавить → Добавить LDAP коннектор.

В свойствах коннектора LDAP внесем следующие настройки:

Вкладка Настройки

Название: произвольное название LDAP - коннектора.

Доменное имя LDAP или IP-адрес: IP-адрес сервера контроллера домена.

Bind DN («логин»): внесем доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

Пароль: пароль пользователя для подключения к домену.

image16

Вкладка Домены LDAP

Нажмем кнопку Добавить и внесем доменное имя LDAP

image17

Вкладка Домены LDAP

Нажмем кнопку Загрузить keytab файл и выберем файл, созданный в пункте 3.

image18

После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе.

image19

Сохраним настройки LDAP коннектора нажав на кнопку Сохранить.

  1. Создадим профиль авторизации для Kerberos.

В разделе Пользователи и устройства → Профили авторизации, нажмем кнопку Добавить.

Вкладке Общие.

Название: произвольное название профиля авторизации.

image20

Вкладка Методы аутентификации

Нажмем кнопку Добавить и выберем Аутентификация Kerberos.

image21

Сохраним настройки профиля авторизации нажав на кнопку Сохранить.

  1. Создадим Captive-профиль.

В разделе Пользователи и устройства → Captive-профили, нажмем кнопку Добавить.

Вкладка Общие

Название: произвольное название captive — профиля.

Профиль авторизации: выберем ранее созданный профиль авторизации.

image22

Сохраним настройки Captive-профиля нажав на кнопку Сохранить.

  1. Создадим правило Captive-портала для авторизации Kerberos.

В разделе Пользователи и устройства → Captive-портал, нажмем кнопку Добавить.

Вкладка Общие

Название: произвольное название правила captive-портала.

Captive-профиль: выберем ранее созданный captive-профиль.

image23

Сохраним настройки правила Captive-портала нажав на кнопку Сохранить.

  1. Разрешить доступ к сервису HTTP(S) для зоны.

В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью Kerberos.

image24

  1. Произведем настройки на компьютере пользователя.

Настройка прокси-сервера для авторизации в стандартном режиме.

Панель управленияСвойства браузераПодключенияНастройка сетиПрокси-сервер и указать FQDN (полное имя) и порт интерфейса UserGate, к которому будут подключены пользователи.

image25

Настройка авторизации в прозрачном режиме.

Панель управления → Свойства браузера →безопасность → выберите зону Интернет → Уровень безопасности → Другой → Проверка подлинности пользователя и установите Автоматический вход в сеть с текущим именем пользователя и пароля.

image26

2.2. Проверка корректности выпуска keytab-файла для Kerberos авторизации

В случае не корректной работы Keytab файла или Kerberos в целом, необходимо выполнить проверку по следующей инструкции:

  1. Необходимо установить Ubuntu 14.04.5

  2. Необходимо выполнить обновления - в терминале выполнить:

sudo apt-get update

  1. Установить необходимый пакет для использования команды kinit - в терминале выполнить:

sudo apt-get install krb5-user

  1. Переименовать созданный на контроллере домена Keytab файл в krb5.keytab

  2. Поместить данный krb5.keytab файл в директорию /etc/

  3. Выполнить проверку Keytab файла следующей командой - в терминале выполнить

kinit -k HTTP/example_utm.entensys.ru

где example_utm.example.ru - DNS-запись сервера UserGate), ошибок быть не должно (пустая строка

  1. Получить результат можно выполнив команду klist в терминале, пример вывода ниже

Ticket cache: FILE:/tmp/krb5cc_1000Default principal: HTTP/example_utm.example.loc@EXAMPLE.LOC

Valid starting Expires Service principal08/08/2017 00:53:02 08/08/2017 10:53:02 krbtgt/EXAMPLE.LOC@EXAMPLE.LOC renew until 08/09/2017 00:53:02

  1. На этом проверка закончена Keytab файл создан корректно.

Дополнительно:

На контроллере домена команда: "setspn.exe -X" проверяет уникальность PRINCIPAL-записей.

2.3. Авторизация с помощью NTLM

Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.

  1. Создадим LDAP - коннектор для получения информации о пользователях и группах Active Directory.

Перейдем в раздел Пользователи и устройства → Серверы авторизации, нажмем кнопку Добавить → Добавить LDAP коннектор.

В свойствах коннектора LDAP внесем следующие настройки:

Вкладка Настройки

Название: произвольное название LDAP - коннектора.

Доменное имя LDAP или IP-адрес: IP-адрес сервера контроллера домена.

Bind DN («логин»): внесем доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

Пароль: пароль пользователя для подключения к домену.

image27

Вкладка Домены LDAP

Нажмем кнопку Добавить и внесем доменное имя LDAP

image28

После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе.

image29

Сохраним настройки LDAP коннектора нажав на кнопку Сохранить.

  1. Создадим NTLM — сервер авторизации.

В разделе Пользователи и устройства → Серверы авторизации, нажмем кнопку Добавить → Добавить NTLM-сервер.

Название: произвольное название сервера авторизации.

IP-адрес: IP адрес контроллера домена.

Домен Windows: доменное имя.

image30

Сохраним настройки NTLM сервера нажав на кнопку Сохранить.

  1. Создадим профиль авторизации для NTLM сервера.

В разделе Пользователи и устройства → Профили авторизации, нажмем кнопку Добавить.

Вкладке Общие.

Название: произвольное название профиля авторизации.

image31

Вкладка Методы аутентификации

image32

Нажмем кнопку Добавить и выберем ранее созданный NTLM сервер.

Сохраним настройки профиля авторизации нажав на кнопку Сохранить.

  1. Создадим Captive-профиль.

В разделе Пользователи и устройства → Captive-профили, нажмем кнопку Добавить.

Вкладка Общие

Название: произвольное название captive — профиля.

Профиль авторизации: выберем ранее созданный NTLM профиль.

image33

Сохраним настройки Captive-профиля нажав на кнопку Сохранить.

  1. Создадим правило Captive-портала для NTLM авторизации.

В разделе Пользователи и устройства → Captive-портал, нажмем кнопку Добавить.

Вкладка Общие

Название: произвольное название правила captive-портала.

image34

Captive-профиль: выберем ранее созданный captive-профиль.

Сохраним настройки правила Captive-портала нажав на кнопку Сохранить.

  1. Настроим синхронизацию времени с контроллером домена.

В разделе НастройкиНастройка времени сервера, установим Основной NTP-сервер — IP адрес контроллера домена.

image35

  1. Создадим DNS записи для сервера UserGate.

image36

Где 10.1.10.21 IP адрес интерфейса UserGate подключенного в зону Trusted.

  1. Изменим адрес домена Auth Captive-портала.

В разделе Настройки →Модули, изменим названия Доменов на созданные доменные имена в предыдущем разделе.

image37

  1. Разрешить доступ к сервису HTTP(S) для зоны.

В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM.

image38

  1. Произведем настройки на компьютере пользователя.

Настройка прокси-сервера для авторизации в стандартном режиме.

Панель управленияСвойства браузераПодключенияНастройка сетиПрокси-сервер и указать IP адрес и порт интерфейса UserGate, к которому будут подключены пользователи.

image39

Настройка авторизации в прозрачном режиме.

Панель управления → Свойства браузера →безопасность → выберите зону Интернет → Уровень безопасности → Другой → Проверка подлинности пользователя и установите Автоматический вход в сеть с текущим именем пользователя и пароля.

image40

Панель управления → Свойства браузера →Безопасность → установить. Разрешить встроенную проверку подлинности Windows.

image41

2.4. Настройка браузера Firefox для авторизации Kerberos

Для корректной авторизации пользователей, использующих браузер Firefox, с помощью Kerberos необходимо в браузере перейти по адресу about:config и указать значение вашего домена Active Directory в следующих конфигурационных параметрах:

network.negotiate-auth.trusted-uris

network.negotiate-auth.delegation-uris

На картинке ниже показаны измененные значения этих параметров для домена AD lab.demo:

image42

2.5. Настройка браузера Firefox для авторизации NTLM

Для корректной авторизации пользователей, использующих браузер Firefox, с помощью NTLM необходимо в браузере перейти по адресу about:config и указать значение вашего домена Active Directory в следующих конфигурационных параметрах:

network.automatic-ntlm-auth.trusted-uris

На картинке ниже показаны измененные значения этих параметров для домена AD lab.demo:

image43

2.6. Настройка браузера Chrome на Linux для авторизации Kerberos/Captive portal

Для авторизации пользователей доменных компьютеров удобно использовать автоматическую авторизацию Kerberos. Для пользователей, чьи компьютеры не входят в домен, авторизация Kerberos работать не будет. Удобным вариантом в этом случае будет использование двух методов авторизации - в качестве первого метода авторизации Kerberos, а в качестве второго - Captive portal. На компьютерах с ОС Windows такой вариант работает хорошо, пользователям, не сумевшим пройти авторизацию Kerberos, будет предложено ввести авторизационные данные на странице Captive-портала. Для пользователей Linux с установленным браузером Chrome необходима дополнительная настройка.

Проблема:

В браузере Chrome (и его вариациях) не отображается портал авторизации. Пользователь только видит пустое окно со следующим содержимым:

Заголовок:

HTTP/1.1 407 Authorization Required

Содержимое страницы

<html> <!-- please auth via kerberos/NTLM --> </html>

Решение:

Для подробной информации по работе с политиками в браузере, обратитесь к документации по адресу: https://www.chromium.org/administrators/linux-quick-start

  1. В соответствии с инструкцией, нужно создать json-файл в директории managed:

touch /etc/opt/chrome/policies/managed/test_policy.json

Содержимое файла должно быть следующего вида:

{

"AuthServerWhitelist": "*.usergate.demo",

"AuthSchemes": "ntlm,negotiate"

}

“usergate.demo” необходимо заменить на доменное имя вашего домена.

  1. В браузере Chrome открыть страницу политик about:policy.

Вы должны увидеть настройки прописанные в файле на открытой странице:

image44

Если этих строк нет, значит браузеру не удалось загрузить политики из созданного файла. Проверьте права доступа, и другие возможные причины. Обратите внимание, различные браузеры имеют особенности в загрузке политик. Например браузер Chromium на Kali Linux автоматически не загружает описанные политики.

После проведенных манипуляций, браузер не способный произвести прозрачную Kerberos аутентификацию, будет перенаправлять пользователя на портал авторизации.

2.7. Мультифакторная аутентификация с подтверждением через email

Рассмотрим пример настройки двухфакторной аутентификации с подтверждением (второй фактор аутентификации), отсылаемым пользователю на его email адрес.

  1. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в UserGate или в доменной учетной записи в Active Directory.

Для локального пользователя UserGate необходимо зайти в раздел Пользователи и устройства - Пользователи выбрать пользователя, нажать кнопку Редактировать, перейти во вкладку Почтовые адреса и добавить почтовый адрес.

image45

Для доменной учетной записи добавить адрес электронной почты необходимо в свойствах пользователя во вкладке Общие.

image46

  1. Создадим профиль оповещения по электронной почте, для этого перейдем в Библиотеки - Профили оповещения, нажмем кнопку Добавить - Добавить профиль оповещения SMTP и в свойствах профиля SMTP внесем следующие настройки:

image47

Проверить настройки можно нажав на кнопку Проверить профиль, где можно создать и отправить проверочное письмо.

Если проверочное письмо дошло на указанный адрес, сохраним настройки нажав на кнопку Сохранить.

  1. Для примера авторизации мы будем использовать авторизацию пользователей домена AD.

Добавим сервер авторизации.

Перейдем в раздел Пользователи и устройства - Серверы авторизации, нажмем кнопку Добавить - Добавить LDAP коннектор.

В свойствах коннектора LDAP внесем следующие настройки:

Вкладка Настройки

Название - произвольное название сервера авторизации.

Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

Bind DN («логин») - внесем доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

Пароль - пароль пользователя для подключения к домену.

image48

Вкладка Домены LDAP

Нажмем кнопку Добавить и внесем доменное имя LDAP:

image49

После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе:

image50

Сохраним настройки LDAP коннектора нажав на кнопку Сохранить.

  1. Создадим профиль для мультифакторной аутентификации.

Перейдем в раздел Пользователи и устройства - Профили MFA нажмем на кнопку Добавить - MFA через email и в свойствах профиля MFA внесем следующие настройки:

Название - произвольное название профиля MFA.

Профиль отправки MFA - выберем ранее созданный профиль оповещения по электронной почте.

От - внесем адрес электронной почты пользователя, указанного в профиле оповещения MFA

Тема - Тема в письме

Содержимое - Тело письма.

image51

Сохраним настройки профиля MFA нажав на кнопку Сохранить.

  1. Создадим профиль авторизации.

Перейдем в раздел Пользователи и устройства - Профили авторизации, нажмем на кнопку Добавить и в свойствах профиля авторизации внесем следующие настройки:

Название - внесем произвольное название профиля авторизации.

Профиль MFA - Выберем ранее созданный профиль MFA.

image52

Добавим ранее созданный LDAP коннектор, нажмем на кнопку Добавить - Сервер LDAP/Active Directory: kraftech.ru

image53

Сохраним настройки профиля авторизации нажав на кнопку Сохранить.

  1. Создадим профиль для Captive-портала.

Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации kerberos и NTLM.

Перейдем в раздел Пользователи и устройства - Captive-профили, нажмем на кнопку Добавить и в свойствах captive-профиля внесем следующие настройки:

Название - внесем произвольное название captive-профиля.

Шаблон страницы авторизации - Выберем шаблон «Captive portal user auth (RU)».

Метод идентификации - Выберем запоминать IP-адрес.

Профиль авторизации - Выберем ранее созданный профиль авторизации.

Если для авторизации пользователей мы используем LDAP коннектор, можно активировать свойство «Предлагать выбор домена AD/LDAP на странице авторизации».

image54

Сохраним настройки captive-профиля нажав на кнопку Сохранить.

  1. Создадим правило Captive-портала.

Перейдем в раздел Пользователи и устройства - Captive-портал, нажмем на кнопку Добавить и в свойствах правила captive-портала внесем следующие настройки:

Название - внесем произвольное название captive-портала.

Captive-профиль - выберем ранее созданный Captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время, можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

image55

Сохраним настройки правила captive-портал нажав на кнопку Сохранить.

  1. Настоим DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

  1. Проверим работу мультифакторной авторизации.

В браузере пользователя перейдем на сайт ya.ru. Появилась страница авторизации captive-портала:

image56

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации, который придет на электронную почту, указанную в свойстве профиля пользователя:

image57

image58

После ввода кода в окне авторизации, откроется запрошенный сайт - ya.ru

2.8. Мультифакторная аутентификация с подтверждением через одноразовые временные пароли (TOTP)

Рассмотрим пример настройки двухфакторной аутентификации с подтверждением (второй фактор аутентификации) кодом TOTP.

  1. Для примера авторизации мы будем использовать авторизацию пользователей домена AD.

Добавим сервер авторизации.

Перейдем в раздел Пользователи и устройства - Серверы авторизации, нажмем кнопку Добавить - Добавить LDAP коннектор.

В свойствах коннектора LDAP внесем следующие настройки:

Вкладка Настройки

Название - произвольное название сервера авторизации.

Доменное имя LDAP или IP-адрес - IP-адрес сервера контроллера домена.

Bind DN («логин») - внесем доменного пользователя в формате DOMAIN\username или username@domain для подключения к серверу LDAP. Данный пользователь уже должен быть заведен в домене.

Пароль - пароль пользователя для подключения к домену.

image59

Вкладка Домены LDAP

Нажмем кнопку Добавить и внесем доменное имя LDAP:

image60

После внесения настроек нажмем на кнопку Проверить соединение. Если настройки внесены верно, получим сообщение об успехе:

image61

Сохраним настройки LDAP коннектора нажав на кнопку Сохранить.

  1. Создадим профиль для мультифакторной аутентификации.

Перейдем в раздел Пользователи и устройства - Профили MFA нажмем на кнопку Добавить - MFA через TOTP и в свойствах профиля MFA внесем следующие настройки:

Название - произвольное название профиля MFA.

Инициализация TOTP - выберем для примера Показать ключ на странице captive-портала

Показывать QR-код - для возможности сканирования кода.

image62

Сохраним настройки профиля MFA нажав на кнопку Сохранить.

  1. Создадим профиль авторизации.

Перейдем в раздел Пользователи и устройства - Профили авторизации, нажмем на кнопку Добавить и в свойствах профиля авторизации внесем следующие настройки:

Название - внесем произвольное название профиля авторизации.

Профиль MFA - Выберем ранее созданный профиль MFA.

image63

Добавим ранее созданный LDAP коннектор, нажмем на кнопку Добавить - Сервер LDAP/Active Directory: kraftech.ru

image64

Сохраним настройки профиля авторизации нажав на кнопку Сохранить.

  1. Создадим профиль для Captive-портала.

Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации kerberos и NTLM.

Перейдем в раздел Пользователи и устройства - Captive-профили, нажмем на кнопку Добавить и в свойствах captive-профиля внесем следующие настройки:

Название - внесем произвольное название captive-профиля.

Шаблон страницы авторизации - Выберем шаблон «Captive portal user auth (RU)».

Метод идентификации - Выберем запоминать IP-адрес.

Профиль авторизации - Выберем ранее созданный профиль авторизации.

Если для авторизации пользователей мы используем LDAP коннектор, можно активировать свойство «Предлагать выбор домена AD/LDAP на странице авторизации».

image65

Сохраним настройки captive-профиля нажав на кнопку Сохранить.

  1. Создадим правило Captive-портала.

Перейдем в раздел Пользователи и устройства - Captive-портал, нажмем на кнопку Добавить и в свойствах правила captive-портала внесем следующие настройки:

Название - внесем произвольное название captive-портала.

Captive-профиль - выберем ранее созданный Captive-профиль.

Вкладки Источник, Назначение, Категории, URL, Время, можно настраивать для задания дополнительных условий выполнения правила. Правила применяются сверху вниз в том порядке, в котором совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

image66

Сохраним настройки правила captive-портал нажав на кнопку Сохранить.

  1. Настоим DNS для доменов auth.captive и logout.captive.

Служебные доменные имена auth.captive и logout.captive используется UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть.

  1. Проверим работу мультифакторной авторизации.

В браузере пользователя перейдем на сайт ya.ru. Появилась страница авторизации captive-портала:

image67

После ввода логина и пароля появится окно для ввода дополнительного кода аутентификации:

image68

Получить этот код можно установив специальное приложение либо расширение в браузер, которое умеет генерировать код на основе алгоритма TOTP. Для примера мы установим расширение «Авторизация» в браузер Google Chrome:

image69

Добавим в расширение ключ инициализации TOTP:

image70

Расширение браузера Chrome «Авторизация» нам выдаст временный код для авторизации на портале.

После ввода кода в окне авторизации, откроется запрошенный сайт ya.ru

Для повторной авторизации на Captive портале необходимо снова воспользоваться расширением «Авторизация» где будет уже сгенерированный новый код для нашего TOTP.

2.9. Авторизация пользователей SSL VPN портала по сертификату

Дополнительно к авторизации пользователей SSL VPN портала по логину и паролю существует возможность настроить "прозрачную" авторизацию этих пользователей по SSL сертификату.

Для этого, в дополнение к базовой настройке SSL VPN портала, необходимо проделать следующие шаги:

  1. Для каждого пользователя выпустить SSL сертификат, в котором указаны следующие параметры применения ключа - Digital Signature, Key Encipherment и Data Encipherment.

Если для выпуска сертификата используется приложение XCA, достаточно выбрать в нём и применить шаблон HTTPS_client.

Удостоверяющий центр, которым подписан сертификат пользователя не имеет значения.

В том числе работают и самоподписанные сертификаты.

  1. Импортировать в браузер каждого пользователя, выписанный для него сертификат вместе с закрытым ключём (обычно, формат файла .p12).

  2. Импортировать в UserGate сертификаты всех пользователей (без закрытого ключа, обычно, формат файла .cer).

Для каждого импортированного ключа установить тип использования Пользовательский сертификат и указать ассоциированного с сертификатом пользователя (возможно указывать как локальных пользователей, так и пользователей из LDAP).

  1. В настройках SSL VPN портала произвести следующие изменения:

  • поставить галочку напротив настройки Авторизация пользователя по сертификату;

  • убедиться, что Имя хоста SSL VPN портала указано в виде FQDN, а не IP адреса;

  • использовать для самого SSL VPN портала сертификат "Автоматически", либо любой другой, зарегистрированный на UserGate и имеющий базовый тип использования Центр Сертификации.

2.10. Установка и настройка агента терминального сервера UserGate

Для пользователей, работающих на операционной системе Windows, существует еще один

способ идентификации - использовать специальный агент авторизации. Агент представляет

собой сервис, который передает на сервер UserGate информацию о пользователе, его имя и

IP-адрес, соответственно, UserGate будет однозначно определять все сетевые подключения

данного пользователя, и идентификация другими методами не требуется.

2.10.1. Дистрибутив агента терминального сервера UserGate

Файлы дистрибутива агента терминального сервера UserGate доступны в личном кабинете клиента UserGate по адресу https://my.usergate.com, в разделе “Все загрузки”.

Перейдите в раздел загрузок и найдите ссылку “Скачать агент авторизации для терминального сервера”. В скачанном архиве находятся две версии ПО – для 32-битных систем и для 64-битных. Выберите для установки подходящую вам версию дистрибутива.

Программное обеспечение устанавливается в каталог “C:\Program Files\Entensys\TerminalServerAgent”.

В каталоге, вы можете найти два исполняемы файла – tsagent.exe и config.exe. Файл tsagent.exe регистрируется в системе, в качестве службы, которую можно наблюдать в оснастке управления службами. В описании службы сказано “UserGate Terminal Server Agent”. Агент не отправляет на устройство UserGate никаких пользовательских данных, кроме информации о имени пользователя, которые ассоциируются на устройстве с сетевыми коммуникациями производимыми в рамках терминальных сессий.

Используя файл config.exe можно перенастроить параметры соединения с сервером UserGate заданные при первоначальной установке ПО и так же параметры периодичности отправки данных.

Конфигурации подключения к серверу UserGate хранятся в файле C:\ProgramData\Entensys\Terminal Server Agent\tsagent.cfg. В этом же каталоге хранится лог файл работы сервиса. При диагностике проблем с работой сервиса рекомендуется сопровождать обращения в техническую поддержку данным файлом, а также самостоятельно можно диагностировать возможные причины проблем в работе ПО.

2.10.2. Подготовка устройства UserGate к подключению терминальных агентов

Для того, чтобы успешно подключить агент терминального сервера к устройству UserGate необходимо выполнить несколько простых шагов:

  1. Убедиться, что в зоне подключения терминального сервера разрешен трафик агента.

  2. Задать пароль для подключения агента.

Настройка зоны подключения терминального сервера

Для настройки параметров зоны войдите в консоль администрирования устройства. Перейдите в раздел Сеть \\ Зоны и выберите соответствующую вашим конфигурациям зону. По умолчанию, считается, что внутренний трафик поступает на устройство из зоны Trusted. Откройте параметры зоны и убедитесь, что в закладке Контроль доступа активировано поле “Агент авторизации”.

image71

Установка пароля для подключения агента

Для конфигурации пароля агентов перейдите в раздел Пользователи и устройства \\ Терминальные серверы. В данном разделе в будущем будут отображаться все подключенные агенты терминальных серверов. Так же в данном разделе можно управлять подключениями агентов.

Чтобы задать пароль для подключения агентов, нажмите на кнопку Настройки и установите пароль.

2.10.3. Установка агента терминального сервера UserGate

Агентское ПО может быть установлено как в ручном режиме, так и при помощи различных средств автоматизации.

Для установки ПО в ручном режиме, запустите установочный файл, подходящий для вашей системы. Во время установки запустится мастер настройки агента, который предложит ввести настройки подключения к устройству UserGate.

Минимальные достаточные для установки агента данные составляют IP-адрес устройства и пароль для подключения к устройству.

Так как ПО распространяется в виде MSI пакета, его возможно установить и сконфигурировать в автоматическом режиме. Например, ПО можно распространить применяя групповые политики Microsoft Active Directory.

Так же ПО можно установить и сконфигурировать запустив утилиту Windows Installer msexec.exe.

Пример команды для скрытой автоматической установки ПО:

msiexec.exe /log install.log -i \\file-server\TerminalServerAgent-x64.msi /quiet SERVER_ADDRESS=[ip-address] UTM_PASSWORD=[password]

Ключ /log является опциональным и позволяет создать журнал установки процесса установки ПО и убедиться, что установка прошла корректно.

Ключ /quiet скрывает графический интерфейс установщика ПО. Иными словами установка ПО произойдет в скрытом режиме.

Далее указываются два обязательных параметра конфигурации в формате КЛЮЧ=ЗНАЧЕНИЕ. Таким образом мы сообщаем установщику IP-адрес устройства UserGate и регистрационный пароль.

После успешной установки и регистрации ПО, в административном интерфейсе UserGate появится запись о зарегистрированном агенте. Обратите внимание, агент находится в отключенном состоянии. Необходимо активировать подключение со стороны устройства:

image72

После установки, регистрации и активации клиента, может понадобиться немного подождать синхронизации данных прежде чем в журналах отобразится информация о пользователях работающих через терминальные сервера.

image73

3. Виртуализация

3.1. Развертывание образа UserGate на Hyper-V

К нам часто обращаются с вопросами по настройке UserGate для среды виртуализации Microsoft Hyper-V, надеюсь, что эта статья снимет множество вопросов по развертыванию нашего продукта для этой системы.

  1. Первым делом необходимо скачать образ с нашего официального сайта.

image74

  1. Затем распакуем файл utm-hyperv.zip.

extract_zip

  1. Проверим сетевые интерфейсы на хостовой машине с Hyper-V.

Network_adapters

  1. После чего создадим виртуальные коммутаторы для интерфейсов, которые нам нужны.

Virt_sw_add

По умолчанию в UserGate имеются четыре зоны Management, Trusted, Untrusted и DMZ.

Virt_sw_4

  1. Для примера сделаем четыре виртуальных коммутатора по одному на каждый интерфейс с такими же названиями как у зон.

Virt_sw_4

Часто на сервере один или два сетевых интерфейса, тогда достаточно будет создать один или два виртуальных коммутатора и подключить их к требуемым интерфейсам.

  1. Создадим новую виртуальную машину.

New_VM

VM_create_p1

  1. Задаем имя виртуальной машины и папку, в которой будут храниться данные.

Create_VM_p2

  1. Увеличьте размер оперативной памяти виртуальной машины. Используя свойства виртуальной машины, установите минимум 8Gb и добавьте по 1Gb на каждые 100 пользователей.

Create_VM_p4

  1. Указываем подключение к первому созданному нами виртуальному коммутатору.

  2. Выбираем виртуальный жесткий диск из папки, в которую мы распаковали скачанный файл utm-hyperv.zip.

VM_VHD

  1. Виртуальная машина создана осталось ее настроить.

VM_summary

  1. Установим два виртуальных процессора (Количество процессоров определяем в зависимости от количества пользователей и ресурсов вашего сервера)

V_CPU

  1. Создадим четыре сетевых адаптера и подключим их к созданным ранее виртуальным коммутаторам.

Net_2

Net_2_1

Net_3

Net_4

  1. Увеличьте размер диска виртуальной машины. Размер диска по умолчанию составляет 20Gb, что недостаточно для хранения всех журналов и настроек. Используя свойства виртуальной машины, установите размер диска в 100Gb или более. Рекомендованный размер - 300Gb.

  2. Отключите службы интеграции в настройках созданной виртуальной машины.

  3. Теперь виртуальная машина настроена, и мы запускаем ее, нажав на Start.

Start_VM

За стартом можно наблюдать, подключившись к виртуальной консоли.

CLI_1

  1. Во время первой загрузки выполнится процедура Factory reset. Во время этого шага UserGate настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска, увеличенного в предыдущих пунктах.

  2. После перезагрузки, если в сети, подключенной к первому виртуальному коммутатору (Management) и соответственно интерфейсу eth0 есть DHCP сервер, в приглашении мы увидим адрес и порт, для управления через веб-консоль.

image92

  1. Если DHCP сервера нет, то необходимо через консоль в командной строке задать адрес для интерфейса. Заходим под логином Admin, пароль utm. С помощью команды

iface config -name eth0 -ipv4 192.168.30.66/24 -enabled true -mode static

присваиваем адрес интерфейсу eth0, который подключен первому виртуальному коммутатору (Management) и соответственно к первому сетевому адаптеру.

image93

  1. Дальнейшую настройку производим, подключившись через веб консоль по заданному адресу. На предупреждение о небезопасном соединении нажимаем на ADVANCED. Здесь приведен пример для браузера Chrome английская версия, для других браузеров картинка немного измениться.

HTTPS_1

Затем нажимаем на Proceed.

HTTPS_2

  1. Выбираем язык установки и часовой пояс

Lang_choice

Timezone

  1. Принимаем Лицензионное соглашение.

image98

  1. Задаем логин и пароль для администратора.

Passwd_set

И перед нами открывается веб-консоль продукта.

Web_console

  1. Настраиваем доступ в интернет для последующей регистрации и работы продукта.

Интерфейс eth0 у нас уже имеет IP-адрес и ему назначена зона Management.

  1. Назначаем IP-адрес для интерфейса eth1, устанавливаем зону Trusted и включаем интерфейс eth1.

eth1_page2

eth1_p1

  1. Назначаем IP-адрес для интерфейса eth2, устанавливаем зону Untrusted и включаем интерфейс eth2. Для интерфейса eth2 укажем получение адреса по DHCP

eth2_page1

eth2_page2

  1. Назначаем IP-адрес для интерфейса eth3, устанавливаем зону DMZ и включаем интерфейс eth3.

eth3_page1

eth3_page2

  1. Задаем шлюз по умолчанию для интерфейса, через который будет выход в интернет. В нашем случае для выхода в интернет будет использоваться интерфейс eth2, адрес которому и шлюз присвоены по DHCP.

Для интерфейса eth0 также адрес и шлюз выданы DHCP сервером. В итоге мы видим, что у нас два шлюза.

Two gateway

  1. Чтобы была возможность подключаться через интерфейс eth0 для управления UserGate с компьютеров в сети 192.168.30.0/24 необходимо сначала добавить маршрут в эту сеть через шлюз, который был выдан для интерфейса eth0 DHCP сервером.

Route

  1. Оставляем один шлюз по умолчанию для выхода в интернет.

Gateway_1

  1. Устанавливаем адрес DNS сервера.

DNS

  1. Проверяем корректность сетевых настроек подключившись через виртуальную CLI консоль и набрав команду ping ya.ru. Если команда выполняется ping проходит, значит мы все правильно настроили и можно приступать к регистрации продукта.

test_ping

  1. Регистрируем продукт, для этого нажимаем на "незарегистрированная версия", вводим Пин-код продукта и заполняем регистрационные данные (латинскими буквами).

registration1

registration2

registration3

После регистрации начнется обновление баз данных контентной фильтрации, антивирусных и т. д.

  1. Посмотреть версию баз и ход обновления можно на вкладке Дашборд. Нажмем кнопку проверить обновления.

image115

После обновления баз продукт готов к работе.

4. Управление сертификатами

Рассмотрим 2 примера создания удостоверяющего центра (УЦ) компании и необходимых для корректной работы UserGate сертификатов. В качестве примеров будем использовать бесплатное программное обеспечение XCA и Open SSL.

Примечание

Сертификат УЦ компании является конфиденциальной информацией вашей компании. Применяйте необходимые меры для защиты файлов сертификата от постороннего доступа.

4.1. Создание сертификатов компании с помощью программы XCA

Для создания сертификатов будем использовать бесплатную программу управления сертификатами XCA.

Скачать данную программу можно с сайта https://www.hohnstaedt.de/xca/

Запустим XCA и создадим базу данных для хранения наших сертификатов Файл → Новая база данных.

  1. Создадим сертификат удостоверяющего центра (УЦ) нашей компании.

Создадим закрытый ключ для сертификата УЦ нашей компании. Вкладка Закрытые ключи → Новый ключ.

image116

Заполняем параметры ключа и нажимаем кнопку создать.

image117

Создали закрытый ключ. Теперь перейдем во вкладку Сертификаты и создадим сертификат УЦ нашей компании.

Нажмем кнопку новый сертификат

Вкладка Первоисточник

Алгоритм подписи — SHA 256

Шаблон для нового сертификата — выберем шаблон по умолчанию для УЦ (CA – Certificate authority)

image118

Нажимаем кнопку Применить всё.

Вкладка Субъект.

Заполняем данные на сертификат, выбираем закрытый ключ.

image119

Вкладка Расширение.

Выберем тип базового контейнера — Центр Сертификации.

image120

Вкладка Область применения ключа.

В разделе X509v3 Key Usage должны быть включены параметры Certificate Sign и CRL Sign

image121

Вкладка Netscape.

Можно убрать выбранные типы шаблона CA

image122

Нажимаем кнопку Ok для создания сертификата.

Во вкладке Сертификаты появился сертификат УЦ.

image123

Экспортируем данный сертификат для импорта в UserGate.

image124

Экспортируем закрытый ключ.

image125

Импортируем сертификат CA в UserGate. Для этого перейдем в UserGate → вкладка Сертификаты и нажмем кнопку импорт.

В окне импорта сертификата запишем название сертификата, загрузим сертификат и закрытый ключ УЦ. Затем нажмем кнопку сохранить.

Назначим сертификату роль SSL дешифрование.

image126

Импортируем на рабочих станциях сертификат УЦ в доверенные корневые центры сертификации.

  1. Создадим SSL сертификат captive-портала.

Создадим новый закрытый ключ. Процесса создания закрытого ключа аналогичен созданию ключа для УЦ.

Создадим запрос на получение сертификата, во вкладке Запрос на получение сертификата → Новый запрос.

Вкладка Первоисточник.

Шаблон для нового сертификата — HTTPS_server.

Алгоритм подписи — SHA 256.

Нажмем на кнопку - Применить Всё.

image127

Вкладка Субъект

Заполним персональные данные субъекта и выберем закрытый ключ созданный для этого сертификата. В поле commonName введем одно из имен домена captive.

image128

Вкладка Расширение.

В поле X509v3 Subject Alternative Name нажмем кнопку Редактировать.

Добавим записи с типом DNS доменов captive-портала.

image129

Check box Copy Common Name скопирует в альтернативные имена домен auth.kraftech.ru

Для сохранения введенных имен нажмем кнопку Применить.

image130

Вкладка Область применения ключа.

В разделе X509v3 Key Usage должны быть включены параметры Digital Signature, Non Repudiation и Key Encipherment.

image131

Вкладка Netscape.

Оставляем значения пустыми.

image132

После введенных значений для создания сертификат нажмем кнопку ОК.

У нас появился запрос

image133

Выберем запрос и в контекстном меню нажмем Подписать.

Во вкладке Первоисточник → Подписание → Использовать этот сертификат для подписи выберем наш сертификат УЦ.

image134

Для подписания сертификата нажмем кнопку ОК.

Во вкладке Сертификаты появился новый сертификат подписанный нашим УЦ.

image135

Экспортируем этот сертификат и его закрытый ключ.

Импортируем в UserGate данный сертификат и его закрытый ключ по аналогии с импортом сертификата УЦ и назначим ему роль SSL captive-портала.

  1. Создадим SSL сертификат веб-консоли.

Создадим новый закрытый ключ. Процесса создания закрытого ключа аналогичен созданию ключа для УЦ.

Создадим запрос на получение сертификата, во вкладке Запрос на получение сертификата → Новый запрос.

Вкладка Первоисточник.

Шаблон для нового сертификата — HTTPS_server.

Алгоритм подписи — SHA 256.

Нажмем на кнопку - Применить Всё.

image136

Вкладка Субъект

Заполним персональные данные субъекта и выберем закрытый ключ созданный для этого сертификата. В поле commonName введем FQDN имя сервера UserGate.

image137

Вкладка Расширение.

Многие браузеры сертификат сайта и доменное имя сопоставляют по Subject Alternative Name для этого устанавливаем значение DNS:copycn в Subject Alternative Name

image138

Вкладка Область применения ключа.

В разделе X509v3 Key Usage должны быть включены параметры Digital Signature, Non Repudiation и Key Encipherment.

image139

Вкладка Netscape.

Оставляем значения пустыми.

image140

После введенных значений для создания сертификат нажмем кнопку ОК.

У нас появился запрос

image141

Выберем запрос и в контекстном меню нажмем Подписать.

Во вкладке Первоисточник → Подписание → Использовать этот сертификат для подписи выберем наш сертификат УЦ.

image142

Для подписания сертификата нажмем кнопку ОК.

Во вкладке Сертификаты появился новый сертификат подписанный нашим УЦ.

Экспортируем этот сертификат и его закрытый ключ.

image143

Импортируем в UserGate данный сертификат и его закрытый ключ по аналогии с импортом сертификата УЦ и назначим ему роль SSL веб-консоли.

4.2. Создание сертификатов с помощью программы OpenSSL

  1. Выберем каталог для хранения ключей и сертификатов и назначим необходимый уровень доступа.

# mkdir /root/ca

# cd /root/ca

# mkdir certs crl newcerts private

# chmod 700 private

# touch index.txt

  1. Сгенерируем приватный ключ.

# openssl genrsa -out /root/ca/private/ca_key.pem 2048

  1. Создадим сертификат CA для этого приватного ключа

# openssl req -new -x509 -days 3650 -key /root/ca/private/ca_key.pem -out /root/ca/certs/ca.crt

Вывод команды

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.


Country Name (2 letter code) [AU]:RU

State or Province Name (full name) [Some-State]:NSO

Locality Name (eg, city) []:Novosibirsk

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Kraftec

Organizational Unit Name (eg, section) []:

Common Name (e.g. server FQDN or YOUR name) []:www.kraftec.net

Email Address []:dit@kraftec.net

Для создания сертификата SSL для Captive портала и Веб-консоли необходимо создать файл конфигурации

Создадим конфигурационный файл для OpenSSL.

# touch /root/ca/openssl.cnf

Добавим в данный файл следующие блоки


[ ca ]

default_ca = CA_default

[ CA_default ]

dir = /root/ca

certs = $dir/certs

crl_dir = $dir/crl

database = $dir/index.txt

new_certs_dir = $dir/newcerts

certificate = $certs/ca.crt

private_key = $dir/private/ca_key.pem

serial = $dir/serial

crlnumber = $dir/crlnumber

crl = $dir/crl/crl.pem

RANDFILE = $dir/private/.rand

x509_extensions = usr_cert

name_opt = ca_default

cert_opt = ca_default

crl_extensions = crl_ext

default_days = 365

default_crl_days= 30

default_md = sha256

preserve = no

policy = policy_match

[ policy_match ]

countryName = match

stateOrProvinceName = match

organizationName = match

organizationalUnitName = optional

commonName = supplied

emailAddress = optional

[ req ]

default_bits = 2048

distinguished_name = req_distinguished_name

x509_extensions = v3_ca

string_mask = utf8only

[ req_distinguished_name ]

countryName = Country Name (2 letter code)

countryName_default = RU

countryName_min = 2

countryName_max = 2

stateOrProvinceName = State or Province Name (full name)

stateOrProvinceName_default = NSO

localityName = Locality Name (eg, city)

localityName_default = Novosibirsk

0.organizationName = Organization Name (eg, company)

0.organizationName_default = Kraftec

organizationalUnitName = Organizational Unit Name (eg, section)

#organizationalUnitName_default =

commonName = Common Name (e.g. server FQDN or YOUR name)

commonName_max = 64

emailAddress = Email Address

emailAddress_max = 64

[ usr_cert ]

basicConstraints=CA:FALSE

nsCertType = server

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid,issuer

subjectAltName=DNS:auth.kraftec.net, DNS:logout.kraftec.net, DNS:block.kraftec.net, DNS:ftpclient.kraftec.net, DNS:sslvpn.kraftec.net

[ v3_ca ]

subjectKeyIdentifier=hash

authorityKeyIdentifier=keyid:always,issuer

basicConstraints = critical,CA:true

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ crl_ext ]

authorityKeyIdentifier=keyid:always


Сгенерируем ключ для SSL сертификата Captive портала

# openssl genrsa -out /root/ca/private/Captiv_key.pem 2048

Сгенерируем ключ для SSL сертификата Веб-консоли

# openssl genrsa -out /root/ca/private/Web_key.pem 2048

Сгенерируем запрос на SSL сертификат Captive портала

# openssl req -new -key /root/ca/private/Captiv_key.pem -config /root/ca/openssl.cnf -out /root/ca/Captive.csr

Вывод команды

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.


Country Name (2 letter code) [RU]:

State or Province Name (full name) [NSO]:

Locality Name (eg, city) [Novosibirsk]:

Organization Name (eg, company) [Kraftec]:

Organizational Unit Name (eg, section) []:

Common Name (e.g. server FQDN or YOUR name) []:auth.kraftec.net

Email Address []:dit@kraftec.net

Подпишем полученный запрос с помощью сертификата УЦ.

# openssl x509 -req -days 365 -CA /root/ca/certs/ca.crt -CAkey /root/ca/private/ca_key.pem -extfile /root/ca/openssl.cnf -extensions usr_cert -in Captive.csr -out Captive.crt

Вывод команды

Signature ok

subject=/C=RU/ST=NSO/L=Novosibirsk/O=Kraftec/CN=auth.kraftec.net/emailAddress=dit@kraftec.net

Getting CA Private Key

Сгенерируем запрос на SSL сертификат Веб-консоли

Предварительно исправим конфигурационный файл в расширении usr_cert изменим параметр на subjectAltName=DNS:utm.kraftec.net

# openssl req -new -key /root/ca/private/Web_key.pem -config /root/ca/openssl.cnf -out /root/ca/Web.csr

Вывод команды

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.


Country Name (2 letter code) [RU]:

State or Province Name (full name) [NSO]:

Locality Name (eg, city) [Novosibirsk]:

Organization Name (eg, company) [Kraftec]:

Organizational Unit Name (eg, section) []:

Common Name (e.g. server FQDN or YOUR name) []:utm.kraftec.net

Email Address []:dit@kraftec.net

Подпишем полученные запросы с помощью сертификата УЦ.

# openssl x509 -req -days 365 -CA /root/ca/certs/ca.crt -CAkey /root/ca/private/ca_key.pem -extfile /root/ca/openssl.cnf -extensions usr_cert -in Web.csr -out Web.crt

Вывод команды

Signature ok

subject=/C=RU/ST=NSO/L=Novosibirsk/O=Kraftec/CN=utm.kraftec.net/emailAddress=dit@kraftec.net

Getting CA Private Key

Импортируем данные сертификаты и приватные ключи в UserGate в раздел сертификаты.

Сертификату ca.crt назначим роль SSL дешифрование

Сертификату Captive.crt назначим роль SSL captive-портала

Сертификату Web.crt назначим роль SSL веб-консоли

На компьютеры пользователей установим сертификат ca.crt в хранилище Доверенные корневые центры сертификации.

4.3. Создание сертификата, подписанного в Active Directory Certification Authority

  1. B консоли Usergate Создать Новый CSR

image144

  1. С помощью кнопки Экспорт скачать файл запроса

image145

  1. В Microsoft CA создать сертификат на основе полученного на предыдущем шаге CSR-файла с помощью утилиты certreq:

В качестве последнего параметра укажите файл CSR, который вы создали в консоли usergate.

image146

Файл будет создан в формате PEM – PKCS#7.

Альтернативный вариант - создать этот файл через web-приложение центра сертификации Microsoft Active Directory:

image147

image148

image149

Тип сертификата может быть любой – DER или PEM.

image150

  1. В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. Загрузить файл сертификата и нажать Сохранить:

image151

  1. В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. Указать в поле ИспользуетсяSSL-инспектирование

image152

  1. В веб-консоли Microsoft CA выбрать и скачать сертификаты (публичные ключи) для самого Удостоверяющего Центра:

image153image154

  1. С помощью кнопки Импорт загрузить скачанные на предыдущем шаге сертификаты Удостоверяющего Центра:

image155

Процедура закончена.

4.4. Распространение сертификатов UserGate на клиентские компьютеры с помощью групповой политики

Следующую процедуру можно использовать для принудительной отправки соответствующих SSL (сертификатов SSL) (или эквивалентных сертификатов, связанных с доверенным корневым) на каждый клиентский компьютер в лесу.

Минимальным требованием для выполнения этой процедуры является членство в группе "Администраторы домена" или "Администраторы предприятия" или аналогичным образом в домен Active Directory Services (AD DS). Просмотрите сведения об использовании соответствующих учетных записей и членства в группах в локальной среде и группах домена по умолчанию (http://go.Microsoft.com/fwlink/? LinkId=83477).

4.4.1. Получение сертификата корневого центра сертификации UserGate

Откройте консоль администратора UserGate

Перейдите в раздел Usergate \\ сертификаты

Выберите сертификат, который отмечен, как используемый для SSL Инспектирования. по умолчанию это сертификат “СА (Default)”

Нажмите кнопку Экспорт и выберите пункт Экспорт сертификата.

Сохраните файл. Далее можно приступать к настройки групповых политик Active Directory.

4.4.2. Распространение сертификатов на клиентские компьютеры с помощью групповой политики

На контроллере домена в лесу организации партнера по учетным записям запустите оснастку Управление групповыми политиками.

Найдите существующий объект групповой политики или создайте новый объект , содержащий параметры сертификата. Убедитесь, что объект групповой политики связан с доменом, сайтом или подразделением (подразделения), где находятся соответствующие учетные записи пользователей и компьютеров.

Щелкните правой кнопкой мыши-объект групповой политики и выберите команду изменить.

В дереве консоли откройте Конфигурация компьютера\политики\параметры Windows\параметры безопасности\политики публичных ключей, выберите Доверенные корневые центры сертификации, а затем в контекстном меню выберите пункт Импорт.

На странице Добро пожаловать на страницу мастера импорта сертификатов нажмите кнопку Далее.

На странице импортируемый файл введите путь к соответствующим файлам сертификатов (например C:\c.cer), а затем нажмите кнопку Далее.

На странице хранилище сертификатов щелкните поместить все сертификаты в следующее хранилище, а затем нажмите кнопку Далее.

На странице Завершение работы мастера импорта сертификатов убедитесь, что предоставлены правильные сведения, и нажмите кнопку Готово.

5. Межсетевое экранирование и правила пропускной способности

5.1. Пример настройки пропускной способности для разных зон и пользователей

Особенность настройки заключается в том, что правила пропускной способности работают только для зоны назначения, но не работают для зоны источника, поэтому в правилах используются Адрес источника и Зона назначения.

Пример реализации.

В компании настроена зона Trusted, назначенная для интерфейса, через который пользователи локальной сети получают доступ в интернет.

Есть зона DMZ, в которой расположены различные сервера компании, используемые для предоставления ресурсов пользователям

локальной сети.

Необходимо ограничить группе пользователей локальной сети полосу пропускания для доступа к видеоконтенту из сети интернет и не ограничивать полосу пропускания для доступа к серверам компании, расположенным в зоне DMZ.

  1. Создаем правило с полосой пропускания 100Kbps для требуемой группы пользователей и в качестве Зоны назначения указываем Trusted.

Весь трафик, как из зоны Untrusted, так из зоны DMZ в зону Trusted будет ограничиваться данным правилом.

  1. Для того, чтобы трафик от серверов компании в зоне DMZ к данной группе пользователей из зоны Trusted не ограничивался, в данном правиле в качестве Адреса источника указываем список IP-адресов серверов и в правиле ставим галочку инвертировать.

6. Контентная фильтрация

6.1. Как разрешить работу клиента Yandex.Disk.

Для организации работы клиента Яндекс.Диск необходимо создать новое правило дешифрования (например, "Не расшифровывать Яндеск.Диск") и установить его в начало списка правил дешифрования.

В поле Действие этого правила необходимо указать Не расшифровывать, а в поле Домены создать и добавить новый список URL, содержащий следующие сайты:

clck.yandex.ru

push.yandex.ru

webdav.yandex.ru

downloader.disk.yandex.ru

cloud-api.yandex.ru

cloud-api.yandex.net

*storage.yandex.net

*.disk.yandex.net

report.appmetrica.yandex.net

oauth.yandex.ru

6.2. Как разрешить работу клиента Dropbox.

Для организации работы клиента Dropbox необходимо создать новое правило дешифрования (например, "Не расшифровывать Dropbox") и установить его в начало списка правил дешифрования.
В поле Действие этого правила необходимо указать Не расшифровывать, а в поле Домены создать и добавить новый список URL, содержащий следующие сайты:
www.dropbox.com
client.dropbox.com
client-web.dropbox.com
d.dropbox.com
block-edge-1.dropbox.com
dl-debug.dropbox.com
bolt.dropbox.com
api.dropboxapi.com
clientupdates.dropboxstatic.com
cfl.dropboxstatic.com
www.google.com
www.gstatic.com
Последние 2 URL требуются только для возможности первоначально авторизоваться в клиенте Dropbox с реквизитами учётной записи из Google.
Если их не указывать, то первичная авторизация, независимо от типа учётной записи, будет произведена не в клиенте Dropbox, а в браузере по-умолчанию.
Для последующей работы клиента Dropbox эти 2 URL не требуются.

6.3. Как настроить обновление "нового" Microsoft Edge (на базе Chromium) через

Для того, что бы браузер Mocrosoft Edge (версия на базе Chromium) мог получать обновления при доступе в Интернет через UserGate, необходимо создать дополнительное правило дешифрования.

Например "No decrypt for MS Edge (Chromium-based) updates".

В поле Действие этого правила необходимо указать Не расшифровывать, а в поле Домены создать и добавить новый список URL, содержащий сайт msedge.api.cdp.microsoft.com .

Правило следует расположить как можно ближе к началу списка.

6.4. Исправление авторизации на сайте Авито (разблокировка гугл-капча)

Проблема проявляется при входе на сайт avito.ru.

  1. Нажимаем Вход и Регистрация, вводим имя и пароль, нажимаем войти, ноничего не происходит.

  2. В журнале веб-доступа находим сработавшее правило Веб-безопасности, вносим в исключения URL www.avito.ru из поля Реферер (отмечен на скриншоте):

image156

  1. Повторяем п.1

  2. В журнале веб-доступа находим сработавшее правило Веб-безопасности, вносим в исключения URL www.google.com/recaptcha/ из поля Реферер:

GCaptcha2.png

  1. Повторяем п.1 - вход успешный.

Исключение из правила блокировки рекламы делается в самом правиле, пример на присоединённом скриншоте, названия листов соответствуют содержимому:

image158

7. Публикация ресурсов с помощью UserGate

7.1. Публикация FTP-сервера

Данная статья описывает перечень шагов, необходимых для публикации FTP-сервера с помощью DNAT.

Предварительные условия - в конфигурации FTP-сервера указан внешний IP-адрес и диапазон TCP-портов для работы в пассивном режиме.

  1. В разделе Библиотеки - Сервисы создаём сервис FTP_PASV в настойках которого указываем протокол TCP и диапазон портов назначения соответствующий диапазону TCP-портов пассивного режима, указанных в конфигурации FTP-сервера (диапазон портов задаётся через дефис), поле порты источника оставляем пустым.

  2. Создаём в разделе NAT и маршрутизация правило типа DNAT со следующими параметрами:

а. Источник - зона откуда будет устанавливаться входящее соединение - если доступ нужен как для внешних клиентов, так и для клиентов из локальной сети - отметьте две зоны.

б. Назначение - если на внешнем интерфейсе UserGate несколько белых адресов и доступ к FTP нужен не через все, то в поле адрес назначения укажите список содержащий внешние адреса по которым будет доступен сервер, иначе можно оставить пустым.

в. Сервис - укажите сервисы FTP (предустановленный) и FTP_PASV, созданный на шаге 1.

г. DNAT - укажите локальный IP-адрес публикуемого сервера. Если нужен доступ к серверу из локальной сети, то отметьте чек-бокс SNAT.

Публикация завершена.

7.2. Публикация сервиса с помощью портмаппинга (изменение порта публикуемого сервиса)

Допустим, есть задача предоставить доступ к серверу, который подключен к Интернету через UserGate. Пусть это будет сервер SSH, который надо опубликовать, изменяя при этом порт сервиса с TCP 22 на 2222.

Имеем сервер UserGate с интерфейсами:

image159

Сервер в локальной сети, к которому нужно предоставить доступ:

IP адрес 10.1.10.15/24

gateway 10.1.10.1

сервер DNS 10.1.10.1

Компьютер, с которого мы будем подключаться к серверу

IP адрес 192.168.110.17

gateway 192.168.110.1

Создадим правило порт-форвардинга. Для этого нажмем кнопку Добавить в разделе Политики сети - NAT и маршрутизация и в свойствах правила выставим следующие настройки:

image160

Во вкладке Источник выберем Зону, в которой UserGate будет обрабатывать запросы на подключение к Серверу.

В Адресе источника можно указать список доверенных IP-адресов, которым будет разрешен доступ.

image161

Во вкладке Назначение можно выбрать IP адрес интерфейса UserGate на котором будет предоставляться доступ на подключение к серверу, для этого в Адресе назначения добавим список с таким IP-адресом. Это необходимо, например, если UserGate подключен к нескольким провайдерам и подключение к Серверу нужно предоставлять через одного из них.

image162

Во вкладке Порт-форвардинг нажмем кнопку Добавить и укажем следующие настройки:

image163

Для установки соединения с сервером по протоколу SSH мы будем использовать порт 2222, его будет слушать UserGate и перенаправлять на сервер на стандартный порт 22.

image164

Во вкладке DNAT необходимо указать ip адрес сервера, к которому нам необходимо предоставить доступ.

Если на сервере разрешен доступ по протоколу SSH с IP адресов только из локальной сети, необходимо включить SNAT.

image165

После завершения настройки правила, необходимо нажать кнопку Сохранить.

Пробуем подключиться к серверу

image166

В качестве IP-адреса необходимо указать IP-адрес UserGate, назначенному интерфейсу зоны Untrusted, и порт 2222, указанный для перенаправления во вкладке Порт-форвардинг.

После установки соединения получаем приглашение аутентификации удаленного сервера – публикация работает.

image167

8. Удаленный доступ

8.1. Настройка Remote Access VPN на ОС Linux

Чтобы настроить VPN на ОС Linux, вам потребуется установить пакеты для поддержки L2TP VPN. На примере Ubuntu, выполните следующие команды:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp

sudo apt update

sudo apt install network-manager-l2tp network-manager-l2tp-gnome

После этого в вашем интерфейсе для работы с сетевыми подключениями появится возможность добавлять L2TP VPN-подключения:

image168

Далее настройте параметры подключения и укажите данные для аутентификации:

image169

В настройках IPSec укажите Preshared ключ, а параметры конфигурации Phase1 и Phase2 укажите, как

Phase1 algorithms: aes128-sha1-modp1024!

Phase2 algorithm: aes128-sha1!

image170

В настройках PPP, в качестве метода аутентификации укажите PAP, и отключите все виды компрессии:

image171

9. Взаимодействие со сторонними системами

9.1. Перенос учетных данных пользователей с UserGate Proxy & Firewall на UserGate 5.0.

Для переноса учетных данных пользователей с UserGate Proxy & Firewall на продукт UserGate, нами был разработан скрипт, облегчающий данную задачу. Скачать скрипт можно по следующей ссылке:

Скрипт написан на языке Python, поэтому для его запуска, необходимо скачать и установить интерпретатор с официального сайта https://python.org/downloads/ (в среде Windows)

В среде Linux откройте консоль (ctrl+alt+t). Введите в консоли:

python3

Если увидите приветствие вида:

Python 3.4.3 (default, Nov 17 2016, 01:08:31)

[GCC 4.8.4] on linux

Type "help", "copyright", "credits" or "license" for more information.

>>> 

значит пакет уже установлен. Если же нет, то необходимо его установить, для этого выполните команду:

sudo apt-get install python3

Для корректной работы скрипта, приложенного к данной заметке, в него необходимо внести изменения. Откройте файл любым текстовым редактором.

В самом начале файла, необходимо указать корректные данные вашего UserGate устройства, на которое планируется перенести учетные данные пользователей: IP адрес, логин и пароль администратора.

!Внимание: часть скрипта ниже только пример.

configuration options ####################################

UTM_SERVER = '192.168.30.134' - ip адрес

UTM_ADMIN = 'Admin' - логин

UTM_PASSWORD = 'хххххх' - пароль

STOP_LOGINS = ['NETWORK SERVICE', 'LOCAL SERVICE', 'SYSTEM']


После внесения изменений, сохраните скрипт. В ту же директорию необходимо положить файл "C:\programdata\entensys\usergate6\config.cfg", который необходимо скопировать с компьютера, на котором установлен UserGate Proxy & Firewall.

Перед запуском скрипта необходимо открыть разрешение для управления доступом к XML-RPC на зонах

Для этого подключаемся к веб-консоли с параметром :

После этого в свойствах зоны назначенной интерфейсу, адрес которого указываем в скрипте открываем доступ XML-RPC

Selection_404.jpg

Запускаем скрипт:

root@nn:~/temp$ python3 users-migration.py

В случае успешной работы скрипта:

Skipping user NETWORK SERVICE

Skipping user LOCAL SERVICE

Skipping user SYSTEM

All done.

root@nn:~/temp$

После выполнения скрипта необходимо на зоне запретить доступ к XML-RPC

Если в скрипт были внесены не корректные данные, то будут ошибки вида:

FATAL: XML-RPC error: <Fault 3: 'Invalid method format'> - не корректные данные пользователя, либо

OSError: [Errno 113] No route to host - не корректный IP адрес хоста UserGate.

9.2. Настройка SNMP мониторинга с помощью ZABBIX

9.2.1. Мониторинг UserGate с помощью SNMP запросов.

  1. В Веб-консоли UserGate для интерфейса, к которому будет осуществляться подключение по протоколу SNMP, в свойствах сетевой зоны, во вкладке Контроль доступа активируем SNMP

image173

  1. В Веб-консоли UserGate в разделе Диагностика и мониторинг - SNMP создадим SNMP правило, в котором укажем требуемые параметры мониторинга.

image174

image175

  1. В элементах данных Zabbix мы будет использовать текстовое представление OID'а. Для этого необходимо установить MIB файлы. Следующие действия необходимо проделать на сервере ZABBIX.

# mkdir -p /usr/local/share/snmp/mibs

Переместим файл UTM-MIB.mib в созданную папку. Скачать этот файл можно в Веб-консоли в разделе Диагностика и мониторинг - SNMP - Скачать MIBs.

Следующей командой пропишем путь к файлам mib:

# grep -q '^mibdirs +/usr/local/share/snmp/mibs' /etc/snmp/snmp.conf 2>/dev/null || echo "mibdirs +/usr/local/share/snmp/mibs" >> /etc/snmp/snmp.conf

Установим стандартные mibs в систему из репозитария.

# apt-get install snmp-mibs-downloader

Проверим что SNMP агент включен и отвечает на интерфейсе с IP адресом 192.168.110.74 (это адрес сервера UserGate).

Проверять будем с помощью утилиты snmpwalk входящей в пакет snmp:

# snmpwalk -v 2c -c public 192.168.110.74 UTM-MIB::entensys

В результате выполнения команды получим возможные доступные объекты для SNMP запросов.

Перезапустим сервисы

# service snmpd restart

# service zabbix-server start

  1. Следующие настройки будем производить в Веб-интерфейсе ZABBIX. Создадим группу узлов сети.

В разделе Настройка - Группы узлов сети Создать группу узлов сети

image176

  1. Создадим Узел сети.

В разделе Настройка - Узлы сети Создать узел сети.

Во вкладке Узел сети внесем следующие настройки:

image177

Где 192.168.110.74 IP — адрес интерфейса UserGate.

  1. Создадим шаблон.

В разделе Настройка - Шаблоны - Создать шаблон

image178

  1. Откроем шаблон Template UserGate для создания элементов.

Создадим элементы в разделе Элементы данных → Создать элемент данных.

image179

image180image181

Если используется ПАК UserGate с 2 блоками питания можно получать информацию о состоянии блоков питания.

Создадим элемент для получения информации о первом блоке питании:

image182

По аналогии создаем для второго блока питания.

Создадим элемент для получения информации о состоянии RAID:

image183

Для получении информации с интерфейсов о прохождении трафика необходимо преобразовать название интерфейса из типа string в byte. Рассмотрим пример для интерфейса eth0.

Воспользуемся таблицей символов ASCII.

Нам необходимо преобразовать каждый символ «e» «t» «h» «0». Для этих символов будут следующие числовые значения 101.116.104.48

Для получения значения входящего трафика в kBytes/sec с интерфейса eth0 SNMP OID для запроса будет следующий:

UTM-MIB::rxKBPs.4.101.116.104.48

где 4 после rxKBPs. - это количество символов в названии eth0, а 101.116.104.48 результат преобразования.

Аналогично создадим для других параметров

UTM-MIB::txKBPs .4.101.116.104.48 — количество исходящего трафика в kBytes/sec на интерфейсе eth0.

UTM-MIB::rxPktPs.4.101.116.104.48 — количество входящих пакетов в секунду на интерфейсе eth0.

UTM-MIB::txPktPs.4.101.116.104.48 — количество исходящих пакетов в секунду на интерфейсе eth0.

9.2.2. Настройка SNMP Traps в ZABBIX

Для передачи трапов в Zabbix будем использовать snmptt.

Установим необходимые сервисы:

# apt-get install snmptt snmptrapd snmp snmpd

Отредактируем конфигурационные файлы /etc/default/snmpd.conf или файл /etc/default/snmptrapd.conf

Заменим параметр TRAPDRUN на yes.

Отредактируем конфигурационный файл /etc/snmp/snmptrapd.conf

Укажем имя сообщества для трапов public и укажем обработчик трапов:

authCommunity log,execute,net public

traphandle default snmptthandler

Отредактируем конфигурационный файл /etc/snmp/snmptt.ini

mode = daemon

net_snmp_perl_enable = 1

mibs_environment = ALL

date_time_format = %H:%M:%S %Y/%m/%d

log_enable = 1

log_file = /var/log/snmptt/snmptt.log

unknown_trap_log_enable = 1

unknown_trap_log_file = /var/log/snmptt/snmpttunknown.log

В конце файла пропишем путь к конфигурационном файлу с описание трапов UserGate.

Пример:

[TrapFiles]

snmtt_conf_files = <<END

/etc/snmp/snmptt.conf

/usr/local/etc/snmp/UG.conf

END

Теперь известные трапы будут логироваться в файл /var/log/snmptt/snmptt.log

Неизвестные трапы в файл /var/log/snmptt/snmpttunknown.log

Отредактируем конфигурационный файл /etc/zabbix/zabbix_server.conf

StartSNMPTrapper=1

SNMPTrapperFile=/var/log/snmptt/snmptt.log

Создадим каталоги (если не были установлены ранее)

# mkdir /usr/local/etc/snmp/

# mkdir -p /usr/local/share/snmp/mibs

Переместим файл UTM-TRAPS-MIB.mib в каталог /usr/local/share/snmp/mibs. Скачать этот файл можно в Веб-консоли в разделе Диагностика и мониторинг - SNMP - Скачать MIBs.

Установим стандартные mibs в систему из репозитария (если не было установлено ранее).

# apt-get install snmp-mibs-downloader

Выполним конвертацию из mib в conf

# snmpttconvertmib --in=/usr/local/share/snmp/mibs/UTM-TRAPS-MIB.mib --out=/usr/local/etc/snmp/UG.conf -debug

Должны получить результат

Done

Total translations: 19

Successful translations: 19

Failed translations: 0

Отформатируем трапы, чтобы они распознавались ZABBIX'ом. Изменим /usr/local/etc/snmp/UG.conf

Заменяем FORMAT на FORMAT ZBXTRAP $aA

Если в системе используется iptables, то разрешим указанной ниже командой прием udp пакетов на порт 162 и сохраним добавленное правило чтобы оно не сбросилось после перезапуска системы:

# iptables -A INPUT -p udp -m udp -s 192.168.110.0/24 --dport 162 -j ACCEPT

# iptables-save

Перезапустим службы чтобы применить изменения:

# /etc/init.d/snmpd restart

# /etc/init.d/snmptt restart

# /etc/init.d/snmptrapd restart

# /etc/init.d/zabbix-server restart

Проверим, что snmptrapd слушает на порту 162

# netstat -tulpan | grep snmptrapd

В Веб-консоли UserGate в разделе Диагностика и мониторинг - SNMP создадим SNMP правило

image184

Где 192.168.110.68 IP адрес сервера ZABBIX. Во вкладке События добавим необходимые трапы.

В Веб-интерфейсе ZABBIX создадим для примера элемент данных с типом SNMP trap

(высокая нагрузка процессора).

image185

Получаем трапы

image186