Bonjour, ceci est le deuxième article sur la solution NGFW de l'entreprise . Le but de cet article est de montrer comment installer le pare-feu UserGate sur un système virtuel (j'utiliserai le logiciel de virtualisation VMware Workstation) et effectuer sa configuration initiale (autoriser l'accès depuis le réseau local via la passerelle UserGate à Internet).
1. Introduction
Pour commencer, je décrirai les différentes manières d'implémenter cette passerelle dans le réseau. Je tiens à noter qu'en fonction de l'option de connexion sélectionnée, certaines fonctionnalités de la passerelle peuvent ne pas être disponibles. La solution UserGate prend en charge les modes de connexion suivants :
-
Pare-feu L3-L7
-
Pont transparent L2
-
Pont transparent L3
-
Pratiquement dans la brèche, en utilisant le protocole WCCP
-
Pratiquement dans l'écart, grâce au routage basé sur des politiques
-
Routeur sur bâton
-
Proxy WEB explicitement spécifié
-
UserGate comme passerelle par défaut
-
Surveillance du port miroir
UserGate prend en charge 2 types de clusters :
-
Configuration des clusters. Les nœuds combinés dans un cluster de configuration conservent des paramètres cohérents dans l'ensemble du cluster.
-
Cluster de basculement. Jusqu'à 4 nœuds de cluster de configuration peuvent être combinés dans un cluster de basculement qui prend en charge le fonctionnement en mode actif-actif ou actif-passif. Il est possible d'assembler plusieurs clusters de basculement.
2. Installation
Comme mentionné dans l'article précédent, UserGate est fourni sous forme de package matériel et logiciel ou déployé dans un environnement virtuel. Depuis votre compte personnel sur le site téléchargez l'image au format OVF (Open Virtualization Format), ce format convient aux fournisseurs VMWare et Oracle Virtualbox. Des images de disque de machine virtuelle sont fournies pour Microsoft Hyper-v et KVM.
Selon le site UserGate, pour que la machine virtuelle fonctionne correctement, il est recommandé d'utiliser au moins 8 Go de RAM et un processeur virtuel à 2 cœurs. L'hyperviseur doit prendre en charge les systèmes d'exploitation 64 bits.
L'installation commence par l'importation de l'image dans l'hyperviseur sélectionné (VirtualBox et VMWare). Dans le cas de Microsoft Hyper-v et KVM, vous devez créer une machine virtuelle et spécifier l'image téléchargée comme disque, puis désactiver les services d'intégration dans les paramètres de la machine virtuelle créée.
Par défaut, après l'importation dans VMWare, une machine virtuelle est créée avec les paramètres suivants :
Comme indiqué ci-dessus, il doit y avoir au moins 8 Go de RAM et en plus vous devez ajouter 1 Go pour 100 utilisateurs. La taille par défaut du disque dur est de 100 Go, mais cela n'est généralement pas suffisant pour stocker tous les journaux et paramètres. La taille recommandée est de 300 Go ou plus. Par conséquent, dans les propriétés de la machine virtuelle, nous modifions la taille du disque à celle souhaitée. Initialement, le UserGate UTM virtuel est livré avec quatre interfaces affectées aux zones :
Gestion - la première interface de la machine virtuelle, une zone de connexion aux réseaux de confiance à partir de laquelle la gestion UserGate est autorisée.
Trusted est la deuxième interface de la machine virtuelle, une zone de connexion aux réseaux de confiance, par exemple les réseaux LAN.
Non fiable est la troisième interface de la machine virtuelle, une zone pour les interfaces connectées à des réseaux non fiables, par exemple à Internet.
DMZ est la quatrième interface de la machine virtuelle, une zone pour les interfaces connectées au réseau DMZ.
Ensuite, nous lançons la machine virtuelle, bien que le manuel indique que vous devez sélectionner les outils de support et effectuer une réinitialisation d'usine UTM, mais comme vous pouvez le voir, il n'y a qu'un seul choix (UTM First Boot). Au cours de cette étape, UTM configure les cartes réseau et augmente la taille de la partition du disque dur jusqu'à la taille totale du disque :
Pour vous connecter à l'interface web UserGate, vous devez vous connecter via la zone de gestion ; cela relève de la responsabilité de l'interface eth0, qui est configurée pour obtenir automatiquement une adresse IP (DHCP). S'il n'est pas possible d'attribuer automatiquement une adresse à l'interface de gestion via DHCP, elle peut être définie explicitement à l'aide de la CLI (Command Line Interface). Pour ce faire, vous devez vous connecter à la CLI en utilisant un nom d'utilisateur et un mot de passe avec des droits d'administrateur complets (Admin avec une lettre majuscule par défaut). Si le périphérique UserGate n'a pas subi l'initialisation initiale, pour accéder à la CLI, vous devez utiliser Admin comme nom d'utilisateur et utm comme mot de passe. Et tapez une commande comme iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Plus tard, nous allons à la console Web UserGate à l'adresse spécifiée, elle devrait ressembler à ceci :https://UserGateIPaddress:8001:
Dans la console Web, nous poursuivons l'installation, nous devons sélectionner la langue de l'interface (pour le moment c'est le russe ou l'anglais), le fuseau horaire, puis lire et accepter le contrat de licence. Définissez le login et le mot de passe pour vous connecter à l'interface de gestion Web.
3. Configuration
Après l'installation, voici à quoi ressemble la fenêtre de l'interface web de gestion de la plateforme :
Ensuite, vous devez configurer les interfaces réseau. Pour ce faire, dans la section « Interfaces », vous devez les activer, définir les adresses IP correctes et attribuer les zones appropriées.
La section « Interfaces » affiche toutes les interfaces physiques et virtuelles disponibles dans le système, vous permet de modifier leurs paramètres et d'ajouter des interfaces VLAN. Il montre également toutes les interfaces de chaque nœud du cluster. Les paramètres d'interface sont spécifiques à chaque nœud, c'est-à-dire qu'ils ne sont pas globaux.
Dans les propriétés de l'interface :
-
Activer ou désactiver l'interface
-
Spécifiez le type d'interface - Couche 3 ou Miroir
-
Attribuer une zone à une interface
-
Attribuez un profil Netflow pour envoyer des données statistiques au collecteur Netflow
-
Modifier les paramètres physiques de l'interface - adresse MAC et taille MTU
-
Sélectionnez le type d'attribution d'adresse IP - aucune adresse, adresse IP statique ou obtenue via DHCP
-
Configurez le relais DHCP sur l'interface sélectionnée.
Le bouton « Ajouter » permet d'ajouter les types d'interfaces logiques suivants :
-
VLAN
-
Bond
-
Pont
-
PPPoE
-
VPN
-
Tunnel
En plus des zones précédemment répertoriées avec lesquelles l'image Usergate est livrée, il existe trois autres types prédéfinis :
Cluster - zone pour les interfaces utilisées pour le fonctionnement du cluster
VPN pour Site-to-Site - une zone dans laquelle sont placés tous les clients Office-Office connectés à UserGate via VPN
VPN pour accès à distance - une zone qui inclut tous les utilisateurs mobiles connectés à UserGate via VPN
Les administrateurs UserGate peuvent modifier les paramètres des zones par défaut et également créer des zones supplémentaires, mais comme indiqué dans le manuel de la version 5, un maximum de 15 zones peuvent être créées. Pour les modifier ou les créer, vous devez vous rendre dans la section zone. Pour chaque zone, vous pouvez définir un seuil d'abandon de paquets ; SYN, UDP, ICMP sont pris en charge. Le contrôle d'accès aux services Usergate est également configuré et la protection contre l'usurpation d'identité est activée.
Après avoir configuré les interfaces, vous devez configurer la route par défaut dans la section « Passerelles ». Ceux. Pour connecter UserGate à Internet, vous devez spécifier l'adresse IP d'une ou plusieurs passerelles. Si vous utilisez plusieurs fournisseurs pour vous connecter à Internet, vous devez spécifier plusieurs passerelles. La configuration de la passerelle est unique pour chaque nœud de cluster. Si deux passerelles ou plus sont spécifiées, 2 options sont possibles :
-
Équilibrer le trafic entre les passerelles.
-
La passerelle principale avec passage à une passerelle de rechange.
L'état de la passerelle (disponible - vert, indisponible - rouge) est déterminé comme suit :
-
La vérification du réseau est désactivée – une passerelle est considérée comme accessible si UserGate peut obtenir son adresse MAC à l'aide d'une requête ARP. Il n'y a aucun contrôle pour l'accès à Internet via cette passerelle. Si l'adresse MAC de la passerelle ne peut pas être déterminée, la passerelle est considérée comme inaccessible.
-
La vérification du réseau est activée - la passerelle est considérée comme accessible si :
-
UserGate peut obtenir son adresse MAC à l'aide d'une requête ARP.
-
La vérification de l'accès à Internet via cette passerelle a été effectuée avec succès.
Dans le cas contraire, la passerelle est considérée comme indisponible.
Dans la section « DNS », vous devez ajouter les serveurs DNS que UserGate utilisera. Ce paramètre est spécifié dans la zone Serveurs DNS système. Vous trouverez ci-dessous les paramètres de gestion des requêtes DNS des utilisateurs. UserGate vous permet d'utiliser un proxy DNS. Le service proxy DNS vous permet d'intercepter les requêtes DNS des utilisateurs et de les modifier en fonction des besoins de l'administrateur. Les règles de proxy DNS peuvent être utilisées pour spécifier les serveurs DNS vers lesquels les demandes de domaines spécifiques sont transmises. De plus, à l'aide d'un proxy DNS, vous pouvez définir des enregistrements statiques du type d'hôte (enregistrement A).
Dans la section « NAT et routage », vous devez créer les règles NAT nécessaires. Pour l'accès à Internet par les utilisateurs du réseau Trusted, la règle NAT a déjà été créée - « Trusted->Untrusted », il ne reste plus qu'à l'activer. Les règles sont appliquées de haut en bas dans l'ordre dans lequel elles sont répertoriées dans la console. Seule la première règle pour laquelle les conditions spécifiées dans la règle correspondent est toujours exécutée. Pour que la règle soit déclenchée, toutes les conditions spécifiées dans les paramètres de la règle doivent correspondre. UserGate recommande de créer des règles NAT générales, par exemple une règle NAT d'un réseau local (généralement une zone de confiance) vers Internet (généralement une zone non fiable) et de restreindre l'accès des utilisateurs, des services et des applications à l'aide de règles de pare-feu.
Il est également possible de créer des règles DNAT, une redirection de port, un routage basé sur des politiques et un mappage réseau.
Après cela, dans la section « Pare-feu », vous devez créer des règles de pare-feu. Pour un accès illimité à Internet pour les utilisateurs du réseau Trusted, une règle de pare-feu a également déjà été créée - « Internet for Trusted » et doit être activée. À l'aide de règles de pare-feu, l'administrateur peut autoriser ou refuser tout type de trafic réseau de transit transitant par UserGate. Les conditions des règles peuvent inclure des zones et des adresses IP source/destination, des utilisateurs et des groupes, des services et des applications. Les règles s'appliquent de la même manière que dans la section « NAT et Routage », c'est-à-dire : de haut en bas. Si aucune règle n'a été créée, tout trafic de transit via UserGate est interdit.
4. Заключение
Ceci conclut l’article. Nous avons installé le pare-feu UserGate sur une machine virtuelle et effectué les paramètres minimaux nécessaires pour qu'Internet fonctionne sur le réseau de confiance. Nous examinerons une configuration plus approfondie dans les articles suivants.
Restez à l'affût des mises à jour sur nos chaînes (, , , )!
Source: habr.com