Dou as boas-vindas aos leitores ao terceiro artigo da série de artigos UserGate Getting Started, que fala sobre a solução NGFW da empresa
A ideologia das regras do UserGate, de forma que as regras sejam executadas de cima para baixo, até a primeira que funcionar. Com base no que precede, conclui-se que regras mais específicas devem ser superiores às regras mais gerais. Mas deve-se notar que, uma vez que as regras são verificadas em ordem, é melhor em termos de desempenho criar regras gerais. Ao criar qualquer regra, as condições são aplicadas de acordo com a lógica “AND”. Caso seja necessário utilizar a lógica “OR”, isso é conseguido através da criação de diversas regras. Portanto, o que está descrito neste artigo também se aplica a outras políticas do UserGate.
Firewall
Após instalar o UserGate, já existe uma política simples na seção “Firewall”. As duas primeiras regras proíbem o tráfego para botnets. A seguir estão exemplos de regras de acesso de diferentes zonas. A última regra é sempre chamada de “Bloquear tudo” e é marcada com um símbolo de cadeado (significa que a regra não pode ser excluída, modificada, movida, desabilitada, só pode ser habilitada para a opção de registro). Assim, devido a esta regra, todo o tráfego explicitamente não permitido será bloqueado pela última regra. Se você deseja permitir todo o tráfego através do UserGate (embora isso seja fortemente desencorajado), você sempre pode criar a penúltima regra “Permitir tudo”.
Ao editar ou criar uma regra de firewall, o primeiro Guia geral, você precisa fazer o seguinte:
-
Caixa de seleção "Ativado" habilita ou desabilita a regra.
-
insira o nome da regra.
-
defina uma descrição da regra.
-
escolha entre duas ações:
-
Negar - bloqueia o tráfego (ao definir esta condição, é possível enviar host ICMP inacessível, basta marcar a caixa de seleção apropriada).
-
Permitir - permite tráfego.
-
-
Item Cenário - permite selecionar um cenário, que é uma condição adicional para a regra ser acionada. É assim que UserGate implementa o conceito de SOAR (Security Orchestration, Automation and Response).
-
Registro em log — registre informações sobre o tráfego quando uma regra é acionada. Opções possíveis:
-
Registre o início da sessão. Neste caso, apenas as informações sobre o início da sessão (o primeiro pacote) serão gravadas no log de tráfego. Esta é a opção de registro recomendada.
-
Registre cada pacote. Neste caso, serão registradas informações sobre cada pacote de rede transmitido. Para este modo, é recomendado ativar o limite de registro para evitar alta carga do dispositivo.
-
-
Aplicar regra a:
-
Todos os pacotes
-
para pacotes fragmentados
-
para pacotes não fragmentados
-
-
Ao criar uma nova regra, você pode escolher um local na política.
o próximo Guia Fonte. Aqui indicamos a origem do tráfego, pode ser a zona de onde vem o tráfego, ou pode especificar uma lista ou um endereço IP específico (Geoip). Em quase todas as regras que podem ser definidas no dispositivo, um objeto pode ser criado a partir de uma regra, por exemplo, sem ir para a seção “Zonas”, você pode usar o botão “Criar e adicionar um novo objeto” para criar a zona nós precisamos. A caixa de seleção “Inverter” também é comum, ela inverte a ação na condição da regra, que é semelhante à negação da ação lógica. Guia Destino semelhante à guia origem, mas em vez da origem do tráfego, definimos o destino do tráfego. Aba Usuários - neste local você pode adicionar uma lista de usuários ou grupos aos quais esta regra se aplica. Guia Serviço - selecione o tipo de serviço já predefinido ou você pode definir o seu próprio. Guia Aplicativo - aplicações específicas ou grupos de aplicações são selecionados aqui. E Aba Hora especifique o horário em que esta regra está ativa.
Desde a última lição, temos uma regra para acessar a Internet da zona “Confiável”, agora vou mostrar como exemplo como criar uma regra de negação para tráfego ICMP da zona “Confiável” para a zona “Não confiável”.
Primeiro, crie uma regra clicando no botão “Adicionar”. Na janela que se abre, na aba geral, preencha o nome (Banir ICMP de confiável para não confiável), marque a caixa de seleção “Ativado”, selecione a ação a ser bloqueada e, o mais importante, selecione o local correto para esta regra. De acordo com minha política, esta regra deve estar localizada acima da regra “Permitir confiável para não confiável”:
Na guia “Fonte” da minha tarefa, existem duas opções:
-
Selecionando a zona “Confiável”
-
Selecionando todas as zonas exceto “Confiável” e marcando a caixa de seleção “Inverter”
A guia Destino é configurada de forma semelhante à guia Origem.
A seguir, vá até a aba “Serviço”, já que o UserGate possui um serviço predefinido para tráfego ICMP, a seguir clicando no botão “Adicionar”, selecionamos um serviço com o nome “Qualquer ICMP” da lista proposta:
Talvez essa fosse a intenção dos criadores do UserGate, mas consegui criar várias regras completamente idênticas. Embora apenas a primeira regra da lista seja executada, acho que a capacidade de criar regras com o mesmo nome e com funcionalidade diferente pode causar confusão quando vários administradores de dispositivos trabalham.
NAT e roteamento
Ao criar regras NAT, vemos várias abas semelhantes, como para o firewall. O campo “Tipo” apareceu na aba “Geral”, permite escolher pelo que esta regra será responsável:
-
NAT - Tradução de endereços de rede.
-
DNAT – Redireciona o tráfego para o endereço IP especificado.
-
Encaminhamento de porta - Redireciona o tráfego para o endereço IP especificado, mas permite alterar o número da porta do serviço publicado
-
Roteamento baseado em políticas - Permite rotear pacotes IP com base em informações estendidas, como serviços, endereços MAC ou servidores (endereços IP).
-
Mapeamento de rede - Permite substituir os endereços IP de origem ou destino de uma rede por outra rede.
Depois de selecionar o tipo de regra apropriado, as configurações estarão disponíveis.
No campo SNAT IP (endereço externo), especificamos explicitamente o endereço IP para o qual o endereço de origem será substituído. Este campo será obrigatório se houver vários endereços IP atribuídos a interfaces na zona de destino. Se você deixar este campo em branco, o sistema usará um endereço aleatório da lista de endereços IP disponíveis atribuídos às interfaces da zona de destino. UserGate recomenda especificar o IP SNAT para melhorar o desempenho do firewall.
Por exemplo, publicarei o serviço SSH de um servidor Windows localizado na zona “DMZ” usando a regra “encaminhamento de porta”. Para isso, clique no botão “Adicionar” e preencha a aba “Geral”, especifique o nome da regra “SSH para Windows” e o tipo “Encaminhamento de porta”:
Na aba “Fonte”, selecione a zona “Não confiável” e vá para a aba “Encaminhamento de porta”. Aqui devemos especificar o protocolo “TCP” (quatro opções estão disponíveis - TCP, UDP, SMTP, SMTPS). Porta de destino original 9922 - número da porta para a qual os usuários enviam solicitações (portas: 2200, 8001, 4369, 9000-9100 não podem ser usadas). A nova porta de destino (22) é o número da porta para a qual as solicitações do usuário serão encaminhadas para o servidor interno publicado.
Na aba “DNAT”, defina o endereço IP do computador na rede local, que está publicado na Internet (192.168.3.2). E você pode opcionalmente habilitar o SNAT, então o UserGate alterará o endereço de origem dos pacotes da rede externa para seu próprio endereço IP.
Após todas as configurações, é obtida uma regra que permite o acesso da zona “Não confiável” ao servidor com o endereço IP 192.168.3.2 via protocolo SSH, utilizando o endereço UserGate externo na conexão.
Largura de banda
Esta seção define as regras para controle de largura de banda. Eles podem ser usados para restringir o canal de determinados usuários, hosts, serviços, aplicativos.
Ao criar uma regra, as condições nas guias determinam o tráfego ao qual as restrições são aplicadas. A largura de banda pode ser selecionada entre as propostas ou você pode definir a sua própria. Ao criar largura de banda, você pode especificar um rótulo de priorização de tráfego DSCP. Um exemplo de quando os rótulos DSCP são aplicados: ao especificar em uma regra o cenário em que esta regra é aplicada, esta regra pode alterar automaticamente esses rótulos. Outro exemplo de como o script funciona: a regra funcionará para o usuário somente quando um torrent for detectado ou a quantidade de tráfego exceder o limite especificado. As demais abas são preenchidas da mesma forma que nas demais políticas, de acordo com o tipo de tráfego ao qual a regra deve ser aplicada.
Conclusão
Neste artigo, abordei a criação de regras nas seções Firewall, NAT e Roteamento e Largura de Banda. E logo no início do artigo ele descreveu as regras para a criação de políticas UserGate, bem como o princípio das condições para a criação de uma regra.
Fique atento às atualizações em nossos canais (
Fonte: habr.com