Hola, este es el segundo artículo sobre la solución NGFW de la empresa. . El propósito de este artículo es mostrar cómo instalar el firewall UserGate en un sistema virtual (usaré el software de virtualización VMware Workstation) y realizar su configuración inicial (permitir el acceso desde la red local a través de la puerta de enlace UserGate a Internet).
1 Introduccion
Para empezar describiré las distintas formas de introducir esta puerta de enlace en la red. Me gustaría señalar que, según la opción de conexión seleccionada, es posible que determinadas funciones de la puerta de enlace no estén disponibles. La solución UserGate admite los siguientes modos de conexión:
-
cortafuegos L3-L7
-
Puente transparente L2
-
Puente transparente L3
-
Prácticamente en línea, utilizando el protocolo WCCP
-
Prácticamente en la brecha, utilizando el enrutamiento basado en políticas
-
Enrutador en un palo
-
Establecer explícitamente el proxy WEB
-
UserGate como puerta de enlace predeterminada
-
Monitoreo de puerto espejo
UserGate admite 2 tipos de clústeres:
-
grupo de configuración. Los nodos que se agrupan en un clúster de configuración mantienen configuraciones uniformes en todo el clúster.
-
Clúster de conmutación. Se pueden combinar hasta 4 nodos del clúster de configuración en un clúster de conmutación por error que admita el funcionamiento en modo Activo-Activo o Activo-Pasivo. Es posible crear varios clústeres de conmutación por error.
2. Instalación
Como se mencionó en el artículo anterior, UserGate se entrega como un complejo de hardware y software o se implementa en un entorno virtual. Desde su cuenta personal en el sitio descargue la imagen en formato OVF (Open Virtualization Format), este formato es adecuado para proveedores de VMWare y Oracle Virtualbox. Para Microsoft Hyper-v y KVM, se proporcionan imágenes de disco de máquinas virtuales.
Según el sitio web UserGate, para el correcto funcionamiento de la máquina virtual se recomienda utilizar al menos 8Gb de RAM y un procesador virtual de 2 núcleos. El hipervisor debe admitir sistemas operativos de 64 bits.
La instalación comienza importando la imagen al hipervisor seleccionado (VirtualBox y VMWare). En el caso de Microsoft Hyper-v y KVM, debe crear una máquina virtual y especificar la imagen descargada como un disco y luego deshabilitar los servicios de integración en la configuración de la máquina virtual creada.
De forma predeterminada, después de importar a VMWare, se crea una máquina virtual con la siguiente configuración:
Como se escribió anteriormente, la RAM debe ser de al menos 8 Gb y además es necesario agregar 1 Gb por cada 100 usuarios. El tamaño predeterminado del disco duro es 100 Gb, pero normalmente no es suficiente para almacenar todos los registros y configuraciones. El tamaño recomendado es de 300Gb o más. Por lo tanto, en las propiedades de la máquina virtual, cambie el tamaño del disco al deseado. Inicialmente, el UserGate UTM virtual viene con cuatro interfaces asignadas a zonas:
Administración: la primera interfaz de la máquina virtual, una zona para conectar redes confiables desde donde se permite la administración de UserGate.
Confiable: la segunda interfaz de la máquina virtual, una zona para conectar redes confiables, por ejemplo, redes LAN.
No confiable: la tercera interfaz de la máquina virtual, una zona para interfaces conectadas a redes que no son de confianza, como Internet.
DMZ: la cuarta interfaz de la máquina virtual, una zona para interfaces conectadas a la red DMZ.
A continuación, iniciamos la máquina virtual, aunque el manual dice que es necesario seleccionar Herramientas de soporte y realizar un restablecimiento de fábrica UTM, pero como puede ver, solo hay una opción (Primer arranque UTM). Durante este paso, UTM configura los adaptadores de red y aumenta la partición en el disco duro al tamaño completo del disco:
Para conectarse a la interfaz web de UserGate, debe pasar por la zona de Administración, de esto es responsable la interfaz eth0, que está configurada para recibir una dirección IP en modo automático (DHCP). Si no es posible asignar una dirección para la interfaz de administración automáticamente usando DHCP, entonces se puede configurar explícitamente usando la CLI (Interfaz de línea de comando). Para hacer esto, debe iniciar sesión en la CLI utilizando el nombre de usuario y la contraseña con derechos de administrador completos (de forma predeterminada, Administrador con letra mayúscula). Si el dispositivo UserGate no ha pasado la inicialización inicial, para acceder a la CLI, debe usar Admin como nombre de usuario y utm como contraseña. Y escriba un comando como iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Posteriormente vamos a la consola web de UserGate en la dirección especificada, debería verse algo como esto:https://UserGateIPaddress:8001:
En la consola web continuamos con la instalación, debemos seleccionar el idioma de la interfaz (actualmente es ruso o inglés), la zona horaria, luego leemos y aceptamos el acuerdo de licencia. Configure el nombre de usuario y la contraseña para ingresar a la interfaz de administración web.
3. Personalización
Después de la instalación, la ventana de la interfaz web de administración de la plataforma tiene este aspecto:
Luego necesita configurar las interfaces de red. Para hacer esto, en la sección "Interfaces", debe habilitarlas, configurar las direcciones IP correctas y asignar las zonas apropiadas.
La sección "Interfaces" muestra todas las interfaces físicas y virtuales disponibles en el sistema, le permite cambiar su configuración y agregar interfaces VLAN. También muestra todas las interfaces de cada nodo del clúster. La configuración de la interfaz es específica de cada uno de los nodos, es decir, no es global.
En propiedades de interfaz:
-
Activar o desactivar la interfaz
-
Especifique el tipo de interfaz: Capa 3 o Espejo
-
Asignar una zona a una interfaz
-
Asignar perfil de Netflow para enviar datos estadísticos al recopilador de Netflow
-
Cambie los parámetros físicos de la interfaz: dirección MAC y tamaño de MTU
-
Seleccione el tipo de asignación de dirección IP: sin dirección, dirección IP estática u obtenida a través de DHCP
-
Configure el funcionamiento del relé DHCP en la interfaz seleccionada.
El botón Agregar le permite agregar los siguientes tipos de interfaces lógicas:
-
VLAN
-
Vínculo
-
Puente
-
PPPoE
-
VPN
-
El túnel
Además de las zonas enumeradas anteriormente con las que viene la imagen de Usergate, hay tres tipos más de zonas predefinidas:
Clúster: zona para interfaces utilizadas para la operación del clúster
VPN para sitio a sitio: zona en la que se ubican todos los clientes de oficina a oficina conectados a UserGate a través de VPN
VPN para acceso remoto: zona en la que se ubican todos los usuarios móviles conectados a UserGate a través de VPN
Los administradores de UserGate pueden cambiar la configuración de las zonas creadas de forma predeterminada, así como crear zonas adicionales, pero como se indica en el manual de la versión 5, no puede crear más de 15 zonas. Para editarlos o crearlos, accede al apartado de zona. Para cada zona, puede establecer el umbral para descartar paquetes; se admiten SYN, UDP e ICMP. También se configura el control de acceso a los servicios de Usergate y se habilita la protección contra suplantación de identidad.
Después de configurar las interfaces, debe configurar la ruta predeterminada en la sección "Puertas de enlace". Aquellos. Para conectar UserGate a Internet, debe especificar la dirección IP de una o más puertas de enlace. Si se utilizan varios proveedores para conectarse a Internet, se deben especificar varias puertas de enlace. La configuración de la puerta de enlace es única para cada uno de los nodos del clúster. Si se especifican dos o más puertas de enlace, existen 2 opciones para trabajar:
-
Equilibrar el tráfico entre puertas de enlace.
-
La puerta de enlace principal con cambio a repuesto.
El estado de la puerta de enlace (disponible - verde, no disponible - rojo) se define de la siguiente manera:
-
Verificación de red deshabilitada: una puerta de enlace se considera disponible si UserGate puede obtener su dirección MAC mediante una solicitud ARP. El acceso a Internet a través de esta puerta de enlace no está verificado. Si no se puede determinar la dirección MAC de la puerta de enlace, la puerta de enlace se considera inalcanzable.
-
Comprobación de red habilitada: la puerta de enlace se considera disponible si:
-
UserGate puede obtener su dirección MAC mediante una solicitud ARP.
-
La verificación del acceso a Internet a través de esta puerta de enlace fue exitosa.
De lo contrario, la puerta de enlace se considera inalcanzable.
En la sección "DNS", debe agregar los servidores DNS que utilizará UserGate. Esta configuración se especifica en el área de servidores DNS del sistema. A continuación se muestran las configuraciones para administrar las consultas DNS de los usuarios. UserGate le permite utilizar servidores proxy DNS. El servicio de proxy DNS le permite interceptar solicitudes DNS de los usuarios y modificarlas según las necesidades del administrador. Al utilizar reglas de proxy DNS, puede especificar los servidores DNS a los que se reenvían las consultas para dominios específicos. Además, utilizando un proxy DNS, puede establecer registros estáticos del tipo de host (registro A).
En la sección "NAT y enrutamiento", debe crear las reglas NAT necesarias. Para que los usuarios de la red de confianza accedan a Internet, ya se ha creado la regla NAT: "Confiable-> No confiable", solo queda habilitarla. Las reglas se aplican de arriba a abajo en el orden en que aparecen en la consola. Siempre solo se ejecuta la primera regla para la cual coinciden las condiciones especificadas en la regla. Para que se active la regla, deben coincidir todas las condiciones especificadas en los parámetros de la regla. UserGate recomienda crear reglas NAT generales, por ejemplo, una regla NAT desde la red local (generalmente la zona de confianza) a Internet (generalmente la zona no confiable) y restringir el acceso de usuarios, servicios y aplicaciones mediante reglas de firewall.
También es posible crear reglas DNAT, reenvío de puertos, enrutamiento basado en políticas y mapeo de red.
Después de eso, en la sección "Firewall", debe crear reglas de firewall. Para que los usuarios de la red Trusted tengan acceso ilimitado a Internet, también se ha creado una regla de firewall: "Internet para Trusted" y debe estar habilitada. Utilizando reglas de firewall, el administrador puede permitir o denegar cualquier tipo de tráfico de red de tránsito que pase por UserGate. Las condiciones de las reglas pueden ser zonas y direcciones IP de origen/destino, usuarios y grupos, servicios y aplicaciones. Las reglas se aplican de la misma manera que en la sección "NAT y enrutamiento", es decir. De arriba hacia abajo. Si no se crean reglas, se prohíbe cualquier tráfico de tránsito a través de UserGate.
4. Заключение
Este artículo ha llegado a su fin. Instalamos el firewall UserGate en la máquina virtual y realizamos las configuraciones mínimas necesarias para que Internet funcione en la red de confianza. Se considerarán más configuraciones en los siguientes artículos.
Estén atentos a las actualizaciones en nuestros canales (, , , )!
Fuente: habr.com