Olá, este é o segundo artigo sobre a solução NGFW da empresa . O objetivo deste artigo é mostrar como instalar o firewall UserGate em um sistema virtual (utilizarei o software de virtualização VMware Workstation) e realizar sua configuração inicial (permitir acesso da rede local através do gateway UserGate à Internet).
1. 1. Introdução
Para começar, descreverei as diversas maneiras de implementar esse gateway na rede. Gostaria de ressaltar que dependendo da opção de conexão selecionada, determinadas funcionalidades do gateway podem não estar disponíveis. A solução UserGate suporta os seguintes modos de conexão:
-
Firewall L3-L7
-
Ponte transparente L2
-
Ponte transparente L3
-
Praticamente na brecha, usando o protocolo WCCP
-
Praticamente na brecha, usando roteamento baseado em políticas
-
Roteador em uma vara
-
Proxy WEB especificado explicitamente
-
UserGate como gateway padrão
-
Monitoramento de porta espelhada
UserGate suporta 2 tipos de clusters:
-
Configuração de cluster. Os nós combinados em um cluster de configuração mantêm configurações consistentes em todo o cluster.
-
Cluster de failover. Até 4 nós de cluster de configuração podem ser combinados em um cluster de failover que suporta operação no modo Ativo-Ativo ou Ativo-Passivo. É possível montar vários clusters de failover.
2. Instalação
Conforme mencionado no artigo anterior, UserGate é fornecido como um pacote de hardware e software ou implantado em um ambiente virtual. Da sua conta pessoal no site baixe a imagem em OVF (Open Virtualization Format), este formato é adequado para fornecedores VMWare e Oracle Virtualbox. Imagens de disco de máquina virtual são fornecidas para Microsoft Hyper-v e KVM.
Segundo o site UserGate, para que a máquina virtual funcione corretamente, é recomendado utilizar pelo menos 8 Gb de RAM e um processador virtual de 2 núcleos. O hipervisor deve suportar sistemas operacionais de 64 bits.
A instalação começa importando a imagem para o hipervisor selecionado (VirtualBox e VMWare). No caso do Microsoft Hyper-v e KVM, você precisa criar uma máquina virtual e especificar a imagem baixada como o disco e, em seguida, desabilitar os serviços de integração nas configurações da máquina virtual criada.
Por padrão, após a importação para o VMWare, uma máquina virtual é criada com as seguintes configurações:
Como foi escrito acima, deve haver pelo menos 8 Gb de RAM e além disso é necessário adicionar 1 Gb para cada 100 usuários. O tamanho padrão do disco rígido é 100 Gb, mas geralmente não é suficiente para armazenar todos os registros e configurações. O tamanho recomendado é 300 Gb ou mais. Portanto, nas propriedades da máquina virtual, alteramos o tamanho do disco para o desejado. Inicialmente, o UserGate UTM virtual vem com quatro interfaces atribuídas às zonas:
Gerenciamento - a primeira interface da máquina virtual, uma zona para conectar redes confiáveis a partir da qual é permitido o gerenciamento do UserGate.
Confiável é a segunda interface da máquina virtual, uma zona para conectar redes confiáveis, por exemplo, redes LAN.
Não confiável é a terceira interface da máquina virtual, uma zona para interfaces conectadas a redes não confiáveis, por exemplo, à Internet.
DMZ é a quarta interface da máquina virtual, uma zona para interfaces conectadas à rede DMZ.
A seguir, iniciamos a máquina virtual, embora o manual diga que você precisa selecionar Ferramentas de Suporte e realizar o reset de fábrica do UTM, mas como você pode ver, há apenas uma opção (UTM First Boot). Durante esta etapa, o UTM configura os adaptadores de rede e aumenta o tamanho da partição do disco rígido para o tamanho total do disco:
Para se conectar à interface web UserGate é necessário efetuar login através da zona de Gerenciamento, isso é responsabilidade da interface eth0, que está configurada para obter um endereço IP automaticamente (DHCP). Se não for possível atribuir um endereço para a interface de gerenciamento automaticamente usando DHCP, então ele pode ser definido explicitamente usando a CLI (Command Line Interface). Para fazer isso, você precisa fazer login na CLI usando um nome de usuário e senha com direitos totais de administrador (Admin com letra maiúscula por padrão). Se o dispositivo UserGate não passou pela inicialização inicial, para acessar a CLI você deve usar Admin como nome de usuário e utm como senha. E digite um comando como iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Mais tarde, vamos para o console web UserGate no endereço especificado, deve ser algo assim:https://UserGateIPaddress:8001:
No console web continuamos a instalação, precisamos selecionar o idioma da interface (no momento é russo ou inglês), fuso horário, depois ler e concordar com o contrato de licença. Defina o login e a senha para fazer login na interface de gerenciamento web.
3. Configuração
Após a instalação, a janela da interface web de gerenciamento da plataforma se parece com isso:
Então você precisa configurar as interfaces de rede. Para fazer isso, na seção “Interfaces” você precisa habilitá-los, definir os endereços IP corretos e atribuir as zonas apropriadas.
A seção “Interfaces” exibe todas as interfaces físicas e virtuais disponíveis no sistema, permite alterar suas configurações e adicionar interfaces VLAN. Também mostra todas as interfaces de cada nó do cluster. As configurações da interface são específicas de cada nó, ou seja, não são globais.
Nas propriedades da interface:
-
Habilite ou desabilite a interface
-
Especifique o tipo de interface - Camada 3 ou Espelho
-
Atribuir uma zona a uma interface
-
Atribuir um perfil do Netflow para enviar dados estatísticos ao coletor do Netflow
-
Altere os parâmetros físicos da interface - endereço MAC e tamanho do MTU
-
Selecione o tipo de atribuição de endereço IP - sem endereço, endereço IP estático ou obtido via DHCP
-
Configure o relé DHCP na interface selecionada.
O botão “Adicionar” permite adicionar os seguintes tipos de interfaces lógicas:
-
VLAN
-
Bond
-
Ponte
-
PPPoE
-
VPN
-
Túnel
Além das zonas listadas anteriormente que acompanham a imagem Usergate, existem mais três tipos predefinidos:
Cluster - zona para interfaces usadas para operação de cluster
VPN para Site-to-Site - uma zona na qual todos os clientes Office-Office conectados ao UserGate via VPN são colocados
VPN para acesso remoto - uma zona que inclui todos os usuários móveis conectados ao UserGate via VPN
Os administradores do UserGate podem alterar as configurações das zonas padrão e também criar zonas adicionais, mas conforme indicado no manual da versão 5, um máximo de 15 zonas podem ser criadas. Para alterá-los ou criá-los, você precisa ir para a seção de zonas. Para cada zona, você pode definir um limite de queda de pacotes; SYN, UDP, ICMP são suportados. O controle de acesso aos serviços Usergate também está configurado e a proteção contra falsificação está habilitada.
Após configurar as interfaces, é necessário configurar a rota padrão na seção “Gateways”. Aqueles. Para conectar o UserGate à Internet, você deve especificar o endereço IP de um ou mais gateways. Se você usar vários provedores para se conectar à Internet, deverá especificar vários gateways. A configuração do gateway é exclusiva para cada nó do cluster. Se dois ou mais gateways forem especificados, duas opções serão possíveis:
-
Balanceamento de tráfego entre gateways.
-
O gateway principal com a mudança para um sobressalente.
O status do gateway (disponível – verde, indisponível – vermelho) é determinado da seguinte forma:
-
A verificação de rede está desabilitada – um gateway é considerado acessível se o UserGate puder obter seu endereço MAC usando uma solicitação ARP. Não há verificação de acesso à Internet através deste gateway. Se o endereço MAC do gateway não puder ser determinado, o gateway será considerado inacessível.
-
A verificação de rede está habilitada - o gateway é considerado acessível se:
-
UserGate pode obter seu endereço MAC usando uma solicitação ARP.
-
A verificação do acesso à Internet através deste gateway foi concluída com êxito.
Caso contrário, o gateway será considerado indisponível.
Na seção “DNS” você precisa adicionar os servidores DNS que o UserGate usará. Essa configuração é especificada na área Servidores DNS do Sistema. Abaixo estão as configurações para gerenciar solicitações de DNS dos usuários. UserGate permite que você use um proxy DNS. O serviço de proxy DNS permite interceptar solicitações de DNS dos usuários e alterá-las dependendo das necessidades do administrador. As regras de proxy DNS podem ser usadas para especificar os servidores DNS para os quais as solicitações de domínios específicos são encaminhadas. Além disso, usando um proxy DNS, você pode definir registros estáticos do tipo de host (registro A).
Na seção “NAT e roteamento” você precisa criar as regras NAT necessárias. Para o acesso à Internet por parte dos utilizadores da rede Trusted, já foi criada a regra NAT – “Trusted->Untrusted”, resta apenas habilitá-la. As regras são aplicadas de cima para baixo na ordem em que são listadas no console. Somente a primeira regra para a qual as condições especificadas na correspondência de regras são sempre executadas. Para que a regra seja acionada, todas as condições especificadas nos parâmetros da regra devem corresponder. UserGate recomenda a criação de regras NAT gerais, por exemplo, uma regra NAT de uma rede local (geralmente uma zona confiável) para a Internet (geralmente uma zona não confiável) e restringir o acesso de usuários, serviços e aplicativos usando regras de firewall.
Também é possível criar regras DNAT, encaminhamento de porta, roteamento baseado em políticas, mapeamento de rede.
Depois disso, na seção “Firewall” você precisa criar regras de firewall. Para acesso ilimitado à Internet para usuários da rede Confiável, uma regra de firewall também já foi criada - “Internet para Confiáveis” e deve estar habilitada. Usando regras de firewall, o administrador pode permitir ou negar qualquer tipo de tráfego de rede de trânsito que passe pelo UserGate. As condições de regra podem incluir zonas e endereços IP de origem/destino, usuários e grupos, serviços e aplicativos. As regras se aplicam da mesma forma que na seção “NAT e roteamento”, ou seja, careca. Se nenhuma regra tiver sido criada, qualquer tráfego de trânsito através do UserGate será proibido.
4. Conclusão
Isso conclui o artigo. Instalamos o firewall UserGate em uma máquina virtual e fizemos as configurações mínimas necessárias para que a Internet funcione na rede Confiável. Consideraremos configurações adicionais nos artigos a seguir.
Fique atento às atualizações em nossos canais (, , , )!
Fonte: habr.com