Doy la bienvenida a los lectores al tercer artículo de la serie de artículos UserGate Getting Started, que habla sobre la solución NGFW de la empresa. . En el último artículo se describió el proceso de instalación de un firewall y se realizó su configuración inicial. Por ahora, analizaremos más de cerca la creación de reglas en secciones como Cortafuegos, NAT y enrutamiento, y Ancho de banda.
La ideología de las reglas de UserGate, de manera que las reglas se ejecutan de arriba a abajo, hasta la primera que funciona. Con base en lo anterior, se deduce que las reglas más específicas deben ser superiores a las reglas más generales. Pero debe tenerse en cuenta que, dado que las reglas se verifican en orden, es mejor en términos de rendimiento crear reglas generales. Al crear cualquier regla, las condiciones se aplican de acuerdo con la lógica "Y". Si es necesario usar la lógica "O", esto se logra creando varias reglas. Entonces, lo que se describe en este artículo también se aplica a otras políticas de UserGate.
cortafuegos
Después de instalar UserGate, ya existe una política simple en la sección "Firewall". Las dos primeras reglas prohíben el tráfico de botnets. Los siguientes son ejemplos de reglas de acceso desde diferentes zonas. La última regla siempre se llama "Bloquear todo" y está marcada con un símbolo de candado (significa que la regla no se puede eliminar, modificar, mover, deshabilitar, solo se puede habilitar para la opción de registro). Por lo tanto, debido a esta regla, todo el tráfico no permitido explícitamente será bloqueado por la última regla. Si desea permitir todo el tráfico a través de UserGate (aunque esto se desaconseja encarecidamente), siempre puede crear la penúltima regla "Permitir todo".
Al editar o crear una regla de firewall, la primera Pestaña General, necesitas hacer lo siguiente:
-
Casilla de verificación "Activada" para habilitar o deshabilitar la regla.
-
introduzca el nombre de la regla.
-
establecer la descripción de la regla.
-
elegir entre dos acciones:
-
Denegar: bloquea el tráfico (al configurar esta condición, es posible enviar un host ICMP inalcanzable, solo necesita configurar la casilla de verificación adecuada).
-
Permitir: permite el tráfico.
-
-
Elemento de escenario: le permite seleccionar un escenario, que es una condición adicional para que se active la regla. Así es como UserGate implementa el concepto de SOAR (Security Orchestration, Automation and Response).
-
Registro: escribe información sobre el tráfico en el registro cuando se activa la regla. Posibles opciones:
-
Registrar el inicio de la sesión. En este caso, solo se escribirá en el registro de tráfico la información sobre el comienzo de la sesión (el primer paquete). Esta es la opción de registro recomendada.
-
Registra cada paquete. En este caso, se registrará información sobre cada paquete de red transmitido. Para este modo, se recomienda habilitar el límite de registro para evitar una carga alta del dispositivo.
-
-
Aplicar regla a:
-
Todos los paquetes
-
a paquetes fragmentados
-
a paquetes no fragmentados
-
-
Al crear una nueva regla, puede elegir un lugar en la política.
el próximo Pestaña Fuente. Aquí indicamos la fuente del tráfico, puede ser la zona de donde proviene el tráfico, o puede especificar una lista o una dirección IP específica (Geoip). En casi todas las reglas que se pueden configurar en el dispositivo, se puede crear un objeto a partir de una regla, por ejemplo, sin ir a la sección "Zonas", puede usar el botón "Crear y agregar un nuevo objeto" para crear la zona nosotros necesitamos. La casilla de verificación "Invertir" también se encuentra a menudo, invierte la acción en la condición de la regla, que es similar a la negación de la acción lógica. Pestaña Destino similar a la pestaña de fuente, pero en lugar de la fuente de tráfico, establecemos el destino del tráfico. Pestaña Usuarios - en este lugar puede agregar una lista de usuarios o grupos para los que se aplica esta regla. Pestaña de servicio - seleccione el tipo de servicio del ya predefinido o puede configurar el suyo propio. Pestaña de aplicación - Aquí se seleccionan aplicaciones específicas o grupos de aplicaciones. Y Pestaña de tiempo especifique la hora en que esta regla está activa.
Desde la última lección, tenemos una regla para acceder a Internet desde la zona "Confianza", ahora mostraré como ejemplo cómo crear una regla de denegación para el tráfico ICMP desde la zona "Confianza" a la zona "No confiable".
Primero, cree una regla haciendo clic en el botón "Agregar". En la ventana que se abre, en la pestaña general, complete el nombre (Restringir ICMP de confiable a no confiable), marque la casilla de verificación "Activado", seleccione la acción de deshabilitar y, lo más importante, seleccione correctamente la ubicación de esta regla. De acuerdo con mi política, esta regla debe colocarse sobre la regla "Permitir de confianza a no confiable":
En la pestaña "Fuente" de mi tarea, hay dos opciones:
-
Al seleccionar la zona "Confiable"
-
Seleccionando todas las zonas excepto "Confiable" y marcando la casilla de verificación "Invertir"
La pestaña Destino está configurada de manera similar a la pestaña Origen.
A continuación, vaya a la pestaña "Servicio", ya que UserGate tiene un servicio predefinido para el tráfico ICMP, luego, al hacer clic en el botón "Agregar", seleccionamos un servicio con el nombre "Cualquier ICMP" de la lista propuesta:
Quizás esta fue la intención de los creadores de UserGate, pero logré crear varias reglas completamente idénticas. Aunque solo se ejecutará la primera regla de la lista, creo que la capacidad de crear reglas con el mismo nombre que tienen una funcionalidad diferente puede causar confusión cuando trabajan varios administradores de dispositivos.
NAT y enrutamiento
Al crear reglas NAT, vemos varias pestañas similares, como para el firewall. El campo "Tipo" apareció en la pestaña "General", le permite elegir de qué será responsable esta regla:
-
NAT - Traducción de direcciones de red.
-
DNAT: redirige el tráfico a la dirección IP especificada.
-
Reenvío de puertos: redirige el tráfico a la dirección IP especificada, pero le permite cambiar el número de puerto del servicio publicado
-
Enrutamiento basado en políticas: le permite enrutar paquetes IP en función de información extendida, como servicios, direcciones MAC o servidores (direcciones IP).
-
Mapeo de red: le permite reemplazar las direcciones IP de origen o destino de una red con otra red.
Después de seleccionar el tipo de regla apropiado, la configuración estará disponible.
En el campo SNAT IP (dirección externa), especificamos explícitamente la dirección IP a la que se reemplazará la dirección de origen. Este campo es obligatorio si hay varias direcciones IP asignadas a las interfaces en la zona de destino. Si deja este campo en blanco, el sistema utilizará una dirección aleatoria de la lista de direcciones IP disponibles asignadas a las interfaces de la zona de destino. UserGate recomienda especificar la IP de SNAT para mejorar el rendimiento del cortafuegos.
Por ejemplo, publicaré el servicio SSH de un servidor Windows ubicado en la zona “DMZ” usando la regla de “reenvío de puertos”. Para hacer esto, haga clic en el botón "Agregar" y complete la pestaña "General", especifique el nombre de la regla "SSH a Windows" y el tipo "Reenvío de puertos":
En la pestaña "Fuente", seleccione la zona "No confiable" y vaya a la pestaña "Reenvío de puertos". Aquí debemos especificar el protocolo "TCP" (hay cuatro opciones disponibles: TCP, UDP, SMTP, SMTPS). Puerto de destino original 9922: número de puerto al que los usuarios envían solicitudes (no se pueden usar los puertos: 2200, 8001, 4369, 9000-9100). El nuevo puerto de destino (22) es el número de puerto al que se reenviarán las solicitudes de los usuarios al servidor interno publicado.
En la pestaña "DNAT", configure la dirección IP de la computadora en la red local, que se publica en Internet (192.168.3.2). Y opcionalmente puede habilitar SNAT, luego UserGate cambiará la dirección de origen en paquetes de la red externa a su propia dirección IP.
Después de todas las configuraciones, se obtiene una regla que permite el acceso desde la zona "No confiable" al servidor con la dirección IP 192.168.3.2 a través del protocolo SSH, utilizando la dirección UserGate externa al conectarse.
Ancho de banda
Esta sección define las reglas para el control del ancho de banda. Se pueden usar para restringir el canal de ciertos usuarios, hosts, servicios, aplicaciones.
Al crear una regla, las condiciones en las pestañas determinan el tráfico al que se aplican las restricciones. El ancho de banda se puede seleccionar entre los propuestos o establecer uno propio. Al crear ancho de banda, puede especificar una etiqueta de priorización de tráfico DSCP. Un ejemplo de cuándo se aplican las etiquetas DSCP: al especificar en una regla el escenario en el que se aplica esta regla, esta regla puede cambiar automáticamente estas etiquetas. Otro ejemplo de cómo funciona el script: la regla funcionará para el usuario solo cuando se detecte un torrente o la cantidad de tráfico exceda el límite especificado. Las pestañas restantes se rellenan de la misma forma que en otras políticas, en función del tipo de tráfico al que se debe aplicar la regla.
Conclusión
En este artículo, cubrí la creación de reglas en las secciones Firewall, NAT y enrutamiento y Ancho de banda. Y al comienzo del artículo, describió las reglas para crear políticas de UserGate, así como el principio de las condiciones al crear una regla.
Estén atentos a las actualizaciones en nuestros canales (, , , )!
Fuente: habr.com