3. Wprowadzenie do UserGate. Zasady sieciowe

Witamy czytelników w trzecim artykule z serii artykułów UserGate Getting Started, który omawia rozwiązanie NGFW firmy Brama użytkownika. W poprzednim artykule opisano proces instalacji firewalla oraz przeprowadzono jego wstępną konfigurację. Teraz przyjrzymy się bliżej tworzeniu reguł w sekcjach takich jak „Zapora sieciowa”, „NAT i routing” oraz „Przepustowość”.

Ideologia reguł UserGate polega na tym, że reguły są wykonywane od góry do dołu, do pierwszej, która zadziała. Z powyższego wynika, że ​​zasady bardziej szczegółowe powinny mieć wyższy priorytet niż zasady bardziej ogólne. Należy jednak zauważyć, że skoro zasady sprawdzane są w kolejności, to pod względem wydajności lepiej jest stworzyć zasady ogólne. Warunki przy tworzeniu dowolnej reguły stosowane są zgodnie z logiką „AND”. Jeśli konieczne jest użycie logiki „OR”, można to osiągnąć poprzez utworzenie kilku reguł. Zatem to, co opisano w tym artykule, ma zastosowanie do innych polityk UserGate.

Zapora

Po zainstalowaniu UserGate w sekcji „Firewall” dostępna jest już prosta polityka. Pierwsze dwie reguły blokują ruch do botnetów. Poniżej znajdują się przykłady reguł dostępu z różnych stref. Ostatnia reguła nosi zawsze nazwę „Zablokuj wszystko” i oznaczona jest symbolem kłódki (oznacza to, że reguły nie można usunąć, zmodyfikować, przenieść, wyłączyć, można jedynie włączyć dla niej opcję logowania). Zatem z powodu tej reguły cały ruch, który nie jest wyraźnie dozwolony, zostanie zablokowany przez ostatnią regułę. Jeśli chcesz zezwolić na cały ruch przez UserGate (choć zdecydowanie nie jest to zalecane), zawsze możesz utworzyć przedostatnią regułę „Zezwalaj na wszystko”.

Podczas edytowania lub tworzenia reguły zapory sieciowej należy najpierw Zakładka Ogólne, musisz wykonać na nim następujące kroki: 

• Użyj pola wyboru „Włącz”, aby włączyć lub wyłączyć regułę.

• wprowadź nazwę reguły.

• ustaw opis reguły.

• wybierz jedną z dwóch akcji:

  • Deny - blokuje ruch (gdy ten warunek jest ustawiony, możliwe jest wysłanie hosta ICMP jako nieosiągalnego, wystarczy zaznaczyć odpowiedni checkbox).

  • Zezwalaj — zezwala na ruch.

• Pozycja scenariusza - pozwala wybrać scenariusz, który jest dodatkowym warunkiem uruchomienia reguły. W ten sposób UserGate wdraża koncepcję SOAR (Security Orchestration, Automation and Response).

• Rejestrowanie — rejestruje informacje o ruchu po uruchomieniu reguły. Możliwe opcje:

  • Zarejestruj początek sesji. W takim przypadku w dzienniku ruchu zapisana zostanie jedynie informacja o rozpoczęciu sesji (pierwszego pakietu). Jest to zalecana opcja rejestrowania.

  • Rejestruj każdy pakiet. W takim przypadku rejestrowana będzie informacja o każdym przesłanym pakiecie sieciowym. W tym trybie zaleca się włączenie limitu rejestrowania, aby zapobiec dużemu obciążeniu urządzenia.

• Zastosuj regułę do:

  • Wszystkie pakiety

  • do pofragmentowanych pakietów

  • do niefragmentowanych pakietów

• Tworząc nową regułę, możesz wybrać lokalizację w profilu.

następny Zakładka „Źródło”.. Tutaj wskazujemy źródło ruchu, może to być strefa, z której pochodzi ruch, możesz też podać listę lub konkretny adres IP (Geoip). W prawie wszystkich regułach, które można ustawić w urządzeniu, obiekt można utworzyć z reguły, np. bez wchodzenia do sekcji „Strefy” możesz użyć przycisku „Utwórz i dodaj nowy obiekt”, aby utworzyć strefę potrzebujemy. Często spotykane jest również pole wyboru „Odwróć”, które zmienia działanie warunku reguły na odwrotne, co jest podobne do logicznego działania negacji. Zakładka Miejsce docelowe podobnie jak w zakładce Źródło, tyle że zamiast źródła ruchu ustawiamy miejsce docelowe ruchu. Zakładka Użytkownicy — w tym miejscu możesz dodać listę użytkowników lub grup, których dotyczy ta reguła. Zakładka Serwis — wybierz rodzaj usługi spośród już zdefiniowanych lub możesz ustawić własny. Zakładka aplikacji — tutaj wybierane są określone aplikacje lub grupy aplikacji. I Zakładka Czas wskazać czas, w którym ta reguła jest aktywna. 

Z ostatniej lekcji mamy regułę dostępu do Internetu ze strefy „Zaufanie”, teraz pokażę jako przykład, jak utworzyć regułę odmowy dla ruchu ICMP ze strefy „Zaufanie” do strefy „Niezaufana”.

Najpierw utwórz regułę, klikając przycisk „Dodaj”. W oknie, które zostanie otwarte, na zakładce Ogólne wpisz nazwę (Zablokuj ICMP z zaufanego na niezaufany), zaznacz pole wyboru „Włącz”, wybierz akcję do zablokowania i, co najważniejsze, wybierz poprawną lokalizację dla tej reguły. Zgodnie z moją polityką ta reguła powinna znajdować się nad regułą „Zezwalaj na zaufane na niezaufane”:

W zakładce „Źródło” dostępne są dwie opcje mojego zadania:

• Wybór strefy „Zaufane”.

• Zaznaczenie wszystkich stref oprócz „Zaufanych” i zaznaczenie pola wyboru „Odwróć”.

Zakładka „Miejsce docelowe” konfigurowana jest analogicznie do zakładki „Źródło”.

Następnie przechodzimy do zakładki „Usługa”, ponieważ UserGate posiada predefiniowaną usługę dla ruchu ICMP, następnie klikając przycisk „Dodaj” wybieramy z proponowanej listy usługę o nazwie „Any ICMP”:

Być może taki był zamysł twórców UserGate, ale udało mi się stworzyć kilka zupełnie identycznych reguł. Chociaż zostanie wykonana tylko pierwsza reguła z listy, myślę, że możliwość tworzenia reguł o różnej funkcjonalności o tej samej nazwie może powodować zamieszanie, gdy pracuje kilku administratorów urządzeń.

NAT i routing

Tworząc reguły NAT, widzimy kilka zakładek podobnych jak w przypadku zapory sieciowej. W zakładce „Ogólne” pojawiło się pole „Typ”, w którym możesz wybrać, za co będzie odpowiadać ta reguła:

• NAT – Tłumaczenie adresów sieciowych.

• DNAT - Przekierowuje ruch na podany adres IP.

• Przekierowanie portów - przekierowuje ruch na określony adres IP, ale umożliwia zmianę numeru portu publikowanej usługi

• Routing oparty na zasadach — umożliwia kierowanie pakietów IP w oparciu o zaawansowane informacje, takie jak usługi, adresy MAC lub serwery (adresy IP).

• Mapowanie sieci — umożliwia zastąpienie źródłowych lub docelowych adresów IP jednej sieci inną siecią.

Po wybraniu odpowiedniego typu reguły dostępne będą ustawienia dla niej.

W polu SNAT IP (adres zewnętrzny) jawnie wskazujemy adres IP, na który zostanie zastąpiony adres źródłowy. Pole to jest wymagane w przypadku, gdy do interfejsów strefy docelowej przypisanych jest kilka adresów IP. Jeżeli pozostawisz to pole puste, system użyje losowego adresu z listy dostępnych adresów IP przypisanych do interfejsów strefy docelowej. UserGate zaleca określenie adresu IP SNAT w celu poprawy wydajności zapory ogniowej.

Jako przykład opublikuję usługę SSH na serwerze Windows znajdującym się w strefie „DMZ” z wykorzystaniem reguły „port forwarding”. Aby to zrobić, kliknij przycisk „Dodaj” i wypełnij zakładkę „Ogólne”, podaj nazwę reguły „SSH do Windows” i wpisz „Przekierowanie portów”:

W zakładce „Źródło” wybierz strefę „Niezaufane” i przejdź do zakładki „Przekierowanie portów”. Tutaj musimy określić protokół „TCP” (dostępne są cztery opcje - TCP, UDP, SMTP, SMTPS). Oryginalny port docelowy to 9922 - numer portu, na który użytkownicy wysyłają żądania (nie można używać portów: 2200, 8001, 4369, 9000-9100). Nowy port docelowy (22) - numer portu, na który będą przekazywane żądania użytkowników do wewnętrznego opublikowanego serwera.

W zakładce „DNAT” ustaw adres IP komputera w sieci lokalnej, który jest publikowany w Internecie (192.168.3.2). Opcjonalnie możesz włączyć SNAT, wtedy UserGate będzie zmieniał adres źródłowy w pakietach z sieci zewnętrznej na swój adres IP.

Po wszystkich ustawieniach otrzymasz regułę, która pozwala uzyskać dostęp ze strefy „Niezaufane” do serwera o adresie IP 192.168.3.2 przez SSH, korzystając przy połączeniu z zewnętrznego adresu UserGate.

Przepustowość

W tej sekcji określono zasady zarządzania przepustowością. Można ich używać do ograniczania kanału niektórych użytkowników, hostów, usług, aplikacji.

Podczas tworzenia reguły warunki na zakładkach określają ruch, którego dotyczą ograniczenia. Możesz wybrać przepustowość spośród oferowanych lub ustawić własną. Podczas tworzenia przepustowości można określić etykietę priorytetyzacji ruchu DSCP. Przykład zastosowania etykiet DSCP: poprzez określenie w regule scenariusza, w którym ta reguła jest stosowana, wówczas reguła ta może automatycznie zmienić te etykiety. Kolejny przykład działania skryptu: reguła zadziała dla użytkownika tylko wtedy, gdy zostanie wykryty torrent lub natężenie ruchu przekroczy określony limit. Pozostałe zakładki wypełniamy analogicznie jak w pozostałych politykach w zależności od rodzaju ruchu, do którego ma zostać zastosowana reguła.

wniosek

W tym artykule przyjrzałem się tworzeniu reguł w sekcjach „Zapora sieciowa”, „NAT i routing” oraz „Przepustowość”. I już na samym początku artykułu opisałem zasady tworzenia polityk UserGate, a także zasadę działania warunków przy tworzeniu reguły. 

Bądź na bieżąco z aktualizacjami na naszych kanałach (Telegram, Facebook, VK, Blog rozwiązań TS)!

Źródło: www.habr.com