Bienvenue aux lecteurs dans le troisième article de la série d'articles UserGate Getting Started, qui parle de la solution NGFW de la société. . L'article précédent décrivait le processus d'installation d'un pare-feu et effectuait sa configuration initiale. Nous allons maintenant examiner de plus près la création de règles dans des sections telles que « Pare-feu », « NAT et routage » et « Bande passante ».
L’idéologie des règles UserGate est que les règles sont exécutées de haut en bas, jusqu’à la première qui fonctionne. Sur la base de ce qui précède, il s’ensuit que les règles plus spécifiques devraient être plus strictes que les règles plus générales. Mais il faut noter que puisque les règles sont vérifiées dans l'ordre, en termes de performances il vaut mieux créer des règles générales. Les conditions lors de la création d'une règle sont appliquées selon la logique « ET ». S'il est nécessaire d'utiliser la logique « OU », cela se fait en créant plusieurs règles. Ainsi, ce qui est décrit dans cet article s’applique aux autres politiques UserGate.
Pare-feu
Après avoir installé UserGate, il existe déjà une politique simple dans la section « Pare-feu ». Les deux premières règles refusent le trafic vers les botnets. Voici des exemples de règles d'accès de différentes zones. La dernière règle est toujours appelée « Tout bloquer » et est marquée d'un symbole de cadenas (cela signifie que la règle ne peut pas être supprimée, modifiée, déplacée, désactivée, vous ne pouvez activer que l'option de journalisation pour celle-ci). Ainsi, du fait de cette règle, tout le trafic qui n'est pas explicitement autorisé sera bloqué par la dernière règle. Si vous souhaitez autoriser tout le trafic via UserGate (bien que cela soit fortement déconseillé), vous pouvez toujours créer l'avant-dernière règle « Autoriser tout ».
Lors de la modification ou de la création d'une règle de pare-feu, le premier Onglet Général, vous devez effectuer les étapes suivantes :
-
Utilisez la case à cocher « Activé » pour activer ou désactiver la règle.
-
entrez le nom de la règle.
-
définir une description de la règle.
-
choisissez parmi deux actions :
-
Refuser - bloque le trafic (lorsque cette condition est définie, il est possible d'envoyer un hôte ICMP inaccessible, il vous suffit de cocher la case appropriée).
-
Autoriser : autorise le trafic.
-
-
Élément de scénario - vous permet de sélectionner un scénario, qui est une condition supplémentaire pour que la règle soit déclenchée. C'est ainsi que UserGate met en œuvre le concept SOAR (Security Orchestration, Automation and Response).
-
Journalisation : enregistre les informations sur le trafic lorsqu'une règle est déclenchée. Options possibles :
-
Enregistrez le début de la session. Dans ce cas, seules les informations sur le début de la session (le premier paquet) seront enregistrées dans le journal de trafic. Il s'agit de l'option de journalisation recommandée.
-
Enregistrez chaque paquet. Dans ce cas, les informations sur chaque paquet réseau transmis seront enregistrées. Pour ce mode, il est recommandé d'activer la limite de journalisation afin d'éviter une charge élevée de l'appareil.
-
-
Appliquez la règle à :
-
Tous les forfaits
-
aux paquets fragmentés
-
aux paquets non fragmentés
-
-
Lors de la création d'une nouvelle règle, vous pouvez sélectionner un emplacement dans la stratégie.
la prochaine Onglet « Sources ». Ici, nous indiquons la source du trafic ; cela peut être la zone d'où provient le trafic, ou vous pouvez spécifier une liste ou une adresse IP spécifique (Geoip). Dans presque toutes les règles paramétrables dans un appareil, un objet peut être créé à partir d'une règle, par exemple, sans passer par la section « Zones », vous pouvez utiliser le bouton « Créer et ajouter un nouvel objet » pour créer la zone nous avons besoin. La case à cocher « Inverser » est également souvent rencontrée ; elle modifie l'action dans la condition de règle en l'opposant, ce qui est similaire à l'action logique de négation. Onglet Destination similaire à l'onglet source, mais au lieu de la source du trafic, nous définissons la destination du trafic. Onglet Utilisateurs — à cet endroit, vous pouvez ajouter une liste d'utilisateurs ou de groupes pour lesquels cette règle s'applique. Onglet Services — sélectionnez le type de service parmi celui déjà prédéfini ou vous pouvez définir le vôtre. Onglet Application — ici des applications spécifiques ou des groupes d'applications sont sélectionnés. ET Onglet Heure indiquer l'heure à laquelle cette règle est active.
De la dernière leçon, nous avons une règle pour accéder à Internet depuis la zone « Confiance », je vais maintenant montrer, à titre d'exemple, comment créer une règle de refus pour le trafic ICMP de la zone « Confiance » vers la zone « Non fiable ».
Tout d’abord, créez une règle en cliquant sur le bouton « Ajouter ». Dans la fenêtre qui s'ouvre, dans l'onglet général, remplissez le nom (Ban ICMP de fiable à non fiable), cochez la case « On », sélectionnez l'action à bloquer et, surtout, sélectionnez le bon emplacement pour cette règle. Selon ma politique, cette règle doit être située au-dessus de la règle « Autoriser les niveaux de confiance à non approuvé » :
Dans l'onglet « Source », il existe deux options pour ma tâche :
-
Sélection de la zone « de confiance »
-
En sélectionnant toutes les zones sauf « de confiance » et en cochant la case « Inverser »
L'onglet « Destination » est configuré de la même manière que l'onglet « Source ».
Ensuite, on va dans l'onglet « Service », puisque UserGate dispose d'un service prédéfini pour le trafic ICMP, puis en cliquant sur le bouton « Ajouter », on sélectionne dans la liste proposée un service appelé « Any ICMP » :
C'est peut-être ce que voulaient les créateurs de UserGate, mais j'ai pu créer plusieurs règles complètement identiques. Bien que seule la première règle de la liste soit exécutée, je pense que la possibilité de créer des règles de fonctionnalités différentes portant le même nom peut prêter à confusion lorsque plusieurs administrateurs de périphériques travaillent.
NAT et routage
Lors de la création de règles NAT, nous voyons plusieurs onglets similaires à ceux du pare-feu. Sur l'onglet « Général », le champ « Type » est apparu ; il permet de sélectionner de quoi cette règle sera chargée :
-
NAT - Traduction d'adresses réseau.
-
DNAT - Redirige le trafic vers l'adresse IP spécifiée.
-
Redirection de port - Redirige le trafic vers une adresse IP spécifiée, mais vous permet de modifier le numéro de port du service publié
-
Routage basé sur des politiques : permet aux paquets IP d'être acheminés en fonction d'informations avancées, telles que les services, les adresses MAC ou les serveurs (adresses IP).
-
Mappage réseau - Vous permet de remplacer les adresses IP source ou de destination d'un réseau par un autre réseau.
Après avoir sélectionné le type de règle approprié, ses paramètres seront disponibles.
Dans le champ SNAT IP (adresse externe), nous indiquons explicitement l'adresse IP à laquelle l'adresse source sera remplacée. Ce champ est obligatoire s'il y a plusieurs adresses IP attribuées aux interfaces de la zone de destination. Si vous laissez ce champ vide, le système utilisera une adresse aléatoire parmi la liste des adresses IP disponibles attribuées aux interfaces de la zone de destination. UserGate recommande de spécifier SNAT IP pour améliorer les performances du pare-feu.
A titre d'exemple, je publierai un service SSH sur un serveur Windows situé dans la zone « DMZ » en utilisant la règle « port forwarding ». Pour cela, cliquez sur le bouton « Ajouter » et remplissez l'onglet « Général », précisez le nom de la règle « SSH vers Windows » et le type « Redirection de port » :
Dans l'onglet « Source », sélectionnez la zone « Non fiable » et allez dans l'onglet « Redirection de port ». Ici, nous devons spécifier le protocole « TCP » (quatre options sont disponibles - TCP, UDP, SMTP, SMTPS). Le port de destination d'origine est 9922 - le numéro de port auquel les utilisateurs envoient des requêtes (les ports ne peuvent pas être utilisés : 2200, 8001, 4369, 9000-9100). Nouveau port de destination (22) : numéro de port vers lequel les demandes des utilisateurs adressées au serveur interne publié seront transmises.
Dans l'onglet « DNAT », définissez l'adresse IP de l'ordinateur sur le réseau local, qui est publiée sur Internet (192.168.3.2). Et éventuellement, vous pouvez activer SNAT, puis UserGate changera l'adresse source des paquets du réseau externe en son adresse IP.
Après tous les réglages, vous obtenez une règle qui vous permet d'accéder depuis la zone « Non fiable » à un serveur avec l'adresse IP 192.168.3.2 via SSH, en utilisant l'adresse UserGate externe lors de la connexion.
Bande passante
Cette section spécifie les règles de gestion de la bande passante. Ils peuvent être utilisés pour limiter le canal de certains utilisateurs, hôtes, services, applications.
Lors de la création d'une règle, les conditions des onglets déterminent le trafic auquel les restrictions s'appliquent. Vous pouvez sélectionner la bande passante parmi celles proposées ou définir la vôtre. Lors de la création de bande passante, vous pouvez spécifier une étiquette de priorisation du trafic DSCP. Un exemple d'application des étiquettes DSCP : en spécifiant dans une règle le scénario dans lequel cette règle est appliquée, cette règle peut alors modifier automatiquement ces étiquettes. Autre exemple du fonctionnement du script : la règle ne fonctionnera pour l'utilisateur que lorsqu'un torrent est détecté ou que la quantité de trafic dépasse une limite spécifiée. Nous remplissons les onglets restants de la même manière que dans les autres politiques, en fonction du type de trafic auquel la règle doit être appliquée.
Conclusion
Dans cet article, j'ai examiné la création de règles dans les sections « Pare-feu », « NAT et routage » et « Bande passante ». Et au tout début de l'article, j'ai décrit les règles de création des politiques UserGate, ainsi que le principe de fonctionnement des conditions lors de la création d'une règle.
Restez à l'affût des mises à jour sur nos chaînes (, , , )!
Source: habr.com