2. UserGate Lehen urratsak. Baldintzak, instalazioa

Kaixo, hau da konpainiaren NGFW irtenbideari buruzko bigarren artikulua UserGate. Artikulu honen helburua da sistema birtual batean UserGate suebakia nola instalatu erakustea (VMware Workstation birtualizazio softwarea erabiliko dut) eta hasierako konfigurazioa egitea (UserGate atebidearen bidez sare lokaletik Internetera sartzeko baimena ematea).   

1. Sarrera

Hasteko, atebide hau sarean ezartzeko hainbat modu deskribatuko ditut. Kontuan izan nahi nuke aukeratutako konexio-aukeraren arabera, baliteke atebidearen zenbait funtzionaltasun erabilgarri ez egotea. UserGate irtenbideak konexio modu hauek onartzen ditu: 

• L3-L7 suebakia

• L2 zubi gardena

• L3 zubi gardena

• Ia linean, WCCP protokoloa erabiliz

• Ia hutsunean sartuta, Policy Based Routing erabiliz

• Routerra Stick batean

• Esplizituki ezarri WEB proxy

• UserGate atebide lehenetsi gisa

• Ispilu portuen monitorizazioa

UserGate-k 2 kluster mota onartzen ditu:

1. konfigurazio-kluster. Konfigurazio-kluster batean taldekatzen diren nodoek ezarpen uniformeak mantentzen dituzte kluster osoan.

2. Hutsegiteko klusterra. Konfigurazio-klusterreko 4 nodo gehienez konbina daitezke Aktibo-aktibo edo aktibo-pasibo moduan funtzionatzea onartzen duen hutsegite-kluster batean. Posible da hutsegite-kluster anitz eraikitzea.

2. Instalazioa

Aurreko artikuluan esan bezala, UserGate hardware-software konplexu gisa entregatzen da edo ingurune birtualean zabaltzen da. Zure webguneko kontu pertsonaletik UserGate deskargatu irudia OVF formatuan (Open Virtualization Format), formatu hau egokia da VMWare eta Oracle Virtualbox saltzaileentzat. Microsoft Hyper-v eta KVM-rako, makina birtualeko disko-irudiak eskaintzen dira.

UserGate webgunearen arabera, makina birtualaren funtzionamendu egokia lortzeko, gutxienez 8Gb RAM eta 2 nukleoko prozesadore birtuala erabiltzea gomendatzen da. Hipervisorak 64 biteko sistema eragileak onartu behar ditu.

Instalazioa aukeratutako hipervisorean (VirtualBox eta VMWare) irudia inportatuz hasten da. Microsoft Hyper-v eta KVM-ren kasuan, makina birtual bat sortu eta deskargatutako irudia disko gisa zehaztu behar duzu, eta, ondoren, integrazio-zerbitzuak desgaitu sortutako makina birtualaren ezarpenetan.

Lehenespenez, VMWare-ra inportatu ondoren, makina birtual bat sortzen da ezarpen hauekin:

Goian idatzi zen bezala, RAMak gutxienez 8Gb izan behar du eta, gainera, 1 erabiltzaile bakoitzeko 100Gb gehitu behar duzu. Disko gogorren tamaina lehenetsia 100Gb da, baina normalean ez da nahikoa erregistro eta ezarpen guztiak gordetzeko. Gomendatutako tamaina 300 Gb edo gehiago da. Hori dela eta, makina birtualaren propietateetan, aldatu diskoaren tamaina nahi duzunera. Hasieran, UserGate UTM birtuala zonei esleitutako lau interfaze ditu:

Kudeaketa - makina birtualeko lehen interfazea, sare fidagarriak konektatzeko gunea, eta bertatik UserGate kudeaketa onartzen da.

Fidagarria - makina birtualeko bigarren interfazea, sare fidagarriak konektatzeko gunea, adibidez, LAN sareak.

Fidagarririk gabekoa - makina birtualeko hirugarren interfazea, fidagarritasunik gabeko sareetara, hala nola Internetera, konektatutako interfazeetarako gunea.

DMZ - Makina birtualeko laugarren interfazea, DMZ sarera konektatuta dauden interfazeentzako gunea.

Jarraian, makina birtuala abiarazten dugu, eskuliburuak Laguntza-tresnak hautatu eta Factory berrezarri UTM bat egin behar duzula dioen arren, baina ikus dezakezun bezala, aukera bakarra dago (UTM First Boot). Urrats honetan, UTM-k sare-egokitzaileak konfiguratzen ditu eta disko gogorreko partizioa hazten du diskoaren tamaina osora:

UserGate web interfazera konektatzeko, Kudeaketa eremutik pasatu behar duzu, eth0 interfazea arduratzen da honen arduraduna, IP helbide bat modu automatikoan (DHCP) jasotzeko konfiguratuta dagoena. DHCP erabiliz Kudeaketa interfazeari helbide bat automatikoki esleitzea ezinezkoa bada, orduan esplizituki ezar daiteke CLI (Command Line Interface) erabiliz. Horretarako, CLI-n saioa hasi behar duzu erabiltzaile-izena eta pasahitza erabiliz Administratzaile eskubide osoekin (lehenespenez, Admin letra larriz). UserGate gailuak hasierako hasierakoa gainditu ez badu, CLIra sartzeko, Admin erabili behar duzu erabiltzaile-izen gisa eta utm pasahitz gisa. Eta idatzi komando bat iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Geroago UserGate web kontsolara joango gara zehaztutako helbidean, honelako itxura izan beharko luke: https://UserGateIPaddress:8001:

Web kontsolan, instalazioarekin jarraitzen dugu, interfazearen hizkuntza aukeratu behar dugu (gaur egun errusiera edo ingelesa da), ordu-eremua, ondoren lizentzia-hitzarmena irakurri eta onartzen dugu. Ezarri saio-hasiera eta pasahitza web kudeaketa interfazean sartzeko.

3. Konfigurazioa

Instalatu ondoren, plataforma kudeatzeko web interfazearen leihoak itxura hau du:

Ondoren, sareko interfazeak konfiguratu behar dituzu. Horretarako, "Interfazeak" atalean, horiek gaitu behar dituzu, IP helbide zuzenak ezarri eta eremu egokiak esleitu behar dituzu.

"Interfazeak" atalean sisteman eskuragarri dauden interfaze fisiko eta birtual guztiak bistaratzen ditu, haien ezarpenak aldatzeko eta VLAN interfazeak gehitzeko aukera ematen du. Era berean, cluster nodo bakoitzaren interfaze guztiak erakusten ditu. Interfazearen ezarpenak nodo bakoitzaren espezifikoak dira, hau da, ez dira globalak.

Interfazearen propietateetan:

• Gaitu edo desgaitu interfazea 

• Zehaztu interfaze mota - 3. geruza edo ispilua

• Esleitu zona bat interfaze bati

• Esleitu Netflow profila Netflow biltzaileari datu estatistikoak bidaltzeko

• Aldatu interfazearen parametro fisikoak - MAC helbidea eta MTU tamaina

• Hautatu IP helbidea esleitzeko mota: helbiderik ez, IP helbide estatikoa edo DHCP bidez lortutakoa

• Konfiguratu DHCP errelearen funtzionamendua hautatutako interfazean.

Gehitu botoiak interfaze logiko mota hauek gehitzeko aukera ematen du:

• VLANak

• lotura

• zubi

• PPPoE

• VPN

• Tunel

Usergate irudiak dakarren aldez aurretik zerrendatutako zonez gain, aurrez zehaztutako beste hiru mota daude:

Cluster - Cluster funtzionatzeko erabiltzen diren interfazeetarako gunea

Gunetik gunerako VPNa - VPN bidez UserGate-ra konektatuta dauden Bulegotik Bulegoko bezero guztiak kokatzen diren eremua

Urruneko sarbiderako VPN - VPN bidez UserGate-ra konektatutako erabiltzaile mugikor guztiak kokatzen diren eremua

UserGate-ren administratzaileek lehenespenez sortutako zonen ezarpenak alda ditzakete, baita zona osagarriak ere sor ditzakete, baina 5. bertsiorako eskuliburuan adierazi bezala, ezin dituzu 15 zona baino gehiago sortu. Horiek editatzeko edo sortzeko, zoaz zona atalera. Zona bakoitzerako, paketeak uzteko atalasea ezar dezakezu, SYN, UDP, ICMP onartzen dira. Usergate zerbitzuetarako sarbide-kontrola ere konfiguratuta dago eta spoofing babesa gaituta dago.

Interfazeak konfiguratu ondoren, ibilbide lehenetsia konfiguratu behar duzu "Gateways" atalean. Horiek. UserGate Internetera konektatzeko, atebide baten edo gehiagoren IP helbidea zehaztu behar duzu. Internetera konektatzeko hainbat hornitzaile erabiltzen badira, hainbat atebide zehaztu behar dira. Atebidearen ezarpena bakarra da klusterreko nodo bakoitzeko. Bi atebide edo gehiago zehazten badira, 2 aukera daude lan egiteko:

1. Atebideen arteko trafikoa orekatzea.

2. Ordezko batera aldatzeko atebide nagusia.

Atebidearen egoera (eskuragarri - berdea, erabilgarri ez - gorria) honela definitzen da:

1. Sarearen egiaztapena desgaituta - atebide bat erabilgarritzat jotzen da UserGate-k bere MAC helbidea lor dezakeen ARP eskaera erabiliz. Atebide honen bidez Interneteko sarbidea ez da egiaztatu. Atebidearen MAC helbidea zehaztu ezin bada, atebidera iristezina da.

2. Sarearen egiaztapena gaituta - Gateway erabilgarritzat jotzen da:

• UserGate-k bere MAC helbidea lor dezake ARP eskaera baten bidez.

• Atebide honen bidez Interneteko sarbidea egiaztatzen da.

Bestela, atebidea eskuraezina da.

"DNS" atalean, UserGate-k erabiliko dituen DNS zerbitzariak gehitu behar dituzu. Ezarpen hau Sistema DNS zerbitzarien eremuan zehazten da. Jarraian, erabiltzaileen DNS kontsultak kudeatzeko ezarpenak daude. UserGate-k DNS proxyak erabiltzeko aukera ematen du. DNS proxy zerbitzuak erabiltzaileen DNS eskaerak atzemateko eta administratzailearen beharren arabera aldatzeko aukera ematen du. DNS proxy arauak erabiliz, domeinu zehatzetarako kontsultak zein DNS zerbitzarietara bidaltzen diren zehaztu dezakezu. Horrez gain, DNS proxy bat erabiliz, ostalari motako erregistro estatikoak ezar ditzakezu (A-record).

"NAT eta bideratzea" atalean, beharrezko NAT arauak sortu behar dituzu. Konfiantzazko sareko erabiltzaileek Internetera sartzeko, dagoeneko sortu da NAT araua - "Fidagarria-> Fidagarria ez", hura gaitu baino ez da geratzen. Arauak goitik behera aplikatzen dira kontsolan agertzen diren ordenan. Lehen araua bakarrik exekutatzen da beti, eta horretarako arauan zehaztutako baldintzak bat datoz. Araua abiarazteko, arauaren parametroetan zehaztutako baldintza guztiek bat egin behar dute. UserGate-k NAT arau orokorrak sortzea gomendatzen du, adibidez, NAT arau bat sare lokaletik (normalean Konfiantzazko eremua) Internetera (normalean Fidagarririk gabeko eremua), eta erabiltzaileek, zerbitzuek, aplikazioek suebaki-arauak erabiltzen dituzten sarbidea mugatzea.

Halaber, DNAT arauak, portuak birbidaltzea, Politikan oinarritutako bideratzea, sarearen mapak sortzea ere posible da.

Horren ostean, "Suebakia" atalean, suebaki-arauak sortu behar dituzu. Trusted sareko erabiltzaileek Interneterako sarbide mugagabea lortzeko, suebaki-arau bat ere sortu da dagoeneko - "Fidagarrientzako Internet" eta gaituta egon behar da. Suebaki-arauak erabiliz, administratzaileak UserGatetik igarotzen den edozein garraio-sareko trafikoa baimendu edo ukatu dezake. Arau-baldintzak eremuak eta iturri/helmuga IP helbideak, erabiltzaileak eta taldeak, zerbitzuak eta aplikazioak izan daitezke. Arauak "NAT eta bideratzea" atalean bezala aplikatzen dira, hau da. goitik behera. Araurik sortzen ez bada, debekatuta dago UserGate bidezko edozein garraio-trafikoa.

4. Ondorioa

Artikulu hau amaitu da. UserGate suebakia instalatu genuen makina birtualean eta Internetek konfiantzazko sarean funtzionatzeko beharrezko gutxieneko ezarpenak egin genituen. Konfigurazio gehiago hurrengo artikuluetan aztertuko dira.

Egon adi gure kanaletako eguneraketak (Telegrama, Facebook, VK, TS Solution Bloga)!

Iturria: www.habr.com