Vítam čitateľov pri treťom článku zo série článkov UserGate Getting Started, ktorý hovorí o riešení NGFW od spol.
Ideológia pravidiel UserGate, ktorá spočíva v tom, že pravidlá sa vykonávajú zhora nadol až po prvé, ktoré funguje. Na základe vyššie uvedeného vyplýva, že konkrétnejšie pravidlá by mali byť vyššie ako všeobecnejšie pravidlá. Treba však poznamenať, že keďže sa pravidlá kontrolujú v poriadku, z hľadiska výkonu je lepšie vytvárať všeobecné pravidlá. Pri vytváraní akéhokoľvek pravidla sa podmienky aplikujú podľa logiky „AND“. Ak je potrebné použiť logiku „ALEBO“, dosiahne sa to vytvorením niekoľkých pravidiel. Takže to, čo je popísané v tomto článku, platí aj pre ostatné pravidlá UserGate.
POŽARNE DVERE
Po nainštalovaní UserGate už existuje jednoduchá politika v sekcii „Firewall“. Prvé dve pravidlá zakazujú návštevnosť botnetov. Nasledujú príklady pravidiel prístupu z rôznych zón. Posledné pravidlo sa vždy volá „Blokovať všetko“ a je označené symbolom zámku (to znamená, že pravidlo nie je možné vymazať, upraviť, presunúť, zakázať, je možné ho povoliť iba pre možnosť logovania). To znamená, že kvôli tomuto pravidlu bude všetka explicitne nepovolená komunikácia zablokovaná posledným pravidlom. Ak chcete povoliť všetku komunikáciu cez UserGate (hoci to dôrazne neodporúčame), môžete vždy vytvoriť predposledné pravidlo „Povoliť všetko“.
Pri úprave alebo vytváraní pravidla brány firewall, prvý Karta Všeobecné, musíte urobiť nasledovné:
-
Začiarkavacie políčko „Zapnuté“ povoľuje alebo zakazuje pravidlo.
-
zadajte názov pravidla.
-
nastavte popis pravidla.
-
vyberte si z dvoch akcií:
-
Zakázať - blokuje komunikáciu (pri nastavení tejto podmienky je možné poslať ICMP hostiteľa ako nedostupného, stačí nastaviť príslušný checkbox).
-
Povoliť – povolí premávku.
-
-
Položka Scenár – umožňuje vybrať scenár, čo je dodatočná podmienka pre spustenie pravidla. Takto UserGate implementuje koncept SOAR (Security Orchestration, Automation and Response).
-
Protokolovanie — protokolovanie informácií o premávke pri spustení pravidla. Možné možnosti:
-
Zapíšte si začiatok relácie. V tomto prípade sa do dopravného denníka zapíše iba informácia o začiatku relácie (prvý paket). Toto je odporúčaná možnosť protokolovania.
-
Zaznamenajte každý paket. V tomto prípade sa zaznamenajú informácie o každom prenášanom sieťovom pakete. Pre tento režim sa odporúča povoliť limit protokolovania, aby sa zabránilo vysokému zaťaženiu zariadenia.
-
-
Použiť pravidlo na:
-
Všetky balíčky
-
na fragmentované pakety
-
do nefragmentovaných balíkov
-
-
Pri vytváraní nového pravidla si môžete vybrať miesto v politike.
ďalším Záložka Zdroj. Tu uvádzame zdroj návštevnosti, môže to byť zóna, z ktorej návštevnosť prichádza, alebo môžete zadať zoznam alebo konkrétnu IP adresu (Geoip). Takmer vo všetkých pravidlách, ktoré je možné v zariadení nastaviť, je možné vytvoriť objekt z pravidla, napríklad bez prechodu do sekcie „Zóny“ môžete na vytvorenie zóny použiť tlačidlo „Vytvoriť a pridať nový objekt“. potrebujeme. Zaškrtávacie políčko „Invertovať“ sa tiež často nachádza, obráti akciu v podmienke pravidla, ktorá je podobná negácii logickej akcie. Tab podobne ako na karte Zdroj, ale namiesto zdroja návštevnosti nastavíme cieľ návštevnosti. Karta Používatelia - na tomto mieste môžete pridať zoznam používateľov alebo skupín, pre ktoré platí toto pravidlo. Služba Tab - vyberte si typ služby z už preddefinovaného alebo si môžete nastaviť vlastný. Karta aplikácie - tu sa vyberajú konkrétne aplikácie alebo skupiny aplikácií. A Karta Čas zadajte čas, kedy je toto pravidlo aktívne.
Od minulej lekcie máme pravidlo pre prístup na internet zo zóny „Dôvera“, teraz ukážem ako príklad, ako vytvoriť pravidlo odmietnutia pre prevádzku ICMP zo zóny „Dôvera“ do zóny „Nedôveryhodná“.
Najprv vytvorte pravidlo kliknutím na tlačidlo „Pridať“. V okne, ktoré sa otvorí, na karte Všeobecné vyplňte názov (Obmedziť ICMP z dôveryhodného na nedôveryhodné), začiarknite políčko „Zapnuté“, vyberte akciu vypnutia a čo je najdôležitejšie, vyberte správne umiestnenie tohto pravidla. Podľa mojich zásad by toto pravidlo malo byť umiestnené nad pravidlom „Povoliť dôveryhodné pre nedôveryhodné“:
Na karte „Zdroj“ pre moju úlohu sú dve možnosti:
-
Výberom zóny „Dôveryhodné“.
-
Výberom všetkých zón okrem „Dôveryhodné“ a začiarknutím políčka „Invertovať“.
Karta Cieľ je nakonfigurovaná podobne ako karta Zdroj.
Ďalej prejdite na kartu „Služba“, pretože UserGate má preddefinovanú službu pre prenos ICMP, potom stlačením tlačidla „Pridať“ vyberieme službu s názvom „Akýkoľvek ICMP“ z navrhovaného zoznamu:
Možno to bol zámer tvorcov UserGate, no mne sa podarilo vytvoriť niekoľko úplne identických pravidiel. Hoci sa vykoná iba prvé pravidlo zo zoznamu, myslím si, že možnosť vytvárať pravidlá s rovnakým názvom, ktoré sa líšia funkčnosťou, môže spôsobiť zmätok, keď pracuje viacero správcov zariadení.
NAT a smerovanie
Pri vytváraní pravidiel NAT vidíme niekoľko podobných záložiek, ako pri firewalle. Pole „Typ“ sa objavilo na karte „Všeobecné“ a umožňuje vám vybrať, za čo bude toto pravidlo zodpovedné:
-
NAT - Network Address Translation.
-
DNAT – Presmeruje prevádzku na zadanú IP adresu.
-
Presmerovanie portov – presmeruje prevádzku na zadanú IP adresu, ale umožní vám zmeniť číslo portu publikovanej služby
-
Smerovanie založené na zásadách – umožňuje smerovať pakety IP na základe rozšírených informácií, ako sú služby, adresy MAC alebo servery (adresy IP).
-
Mapovanie siete – umožňuje nahradiť zdrojové alebo cieľové IP adresy jednej siete inou sieťou.
Po výbere vhodného typu pravidla budú preň dostupné nastavenia.
V poli SNAT IP (external address) explicitne špecifikujeme IP adresu, na ktorú bude zdrojová adresa nahradená. Toto pole je povinné, ak je k rozhraniam v cieľovej zóne priradených viacero adries IP. Ak necháte toto pole prázdne, systém použije náhodnú adresu zo zoznamu dostupných IP adries priradených rozhraniam cieľovej zóny. UserGate odporúča špecifikovať SNAT IP na zlepšenie výkonu brány firewall.
Napríklad zverejním službu SSH servera Windows umiestneného v zóne „DMZ“ pomocou pravidla „preposielanie portov“. Ak to chcete urobiť, kliknite na tlačidlo „Pridať“ a vyplňte kartu „Všeobecné“, zadajte názov pravidla „SSH do systému Windows“ a typ „Presmerovanie portov“:
Na karte „Zdroj“ vyberte zónu „Nedôveryhodné“ a prejdite na kartu „Presmerovanie portov“. Tu musíme špecifikovať protokol „TCP“ (k dispozícii sú štyri možnosti - TCP, UDP, SMTP, SMTPS). Pôvodný cieľový port 9922 — číslo portu, na ktorý používatelia posielajú požiadavky (porty: 2200, 8001, 4369, 9000-9100 nemožno použiť). Nový cieľový port (22) je číslo portu, na ktorý sa budú posielať požiadavky používateľov na interný publikovaný server.
Na karte „DNAT“ nastavte IP adresu počítača v lokálnej sieti, ktorá je zverejnená na internete (192.168.3.2). Voliteľne môžete povoliť SNAT, potom UserGate zmení zdrojovú adresu v paketoch z externej siete na svoju vlastnú IP adresu.
Po všetkých nastaveniach sa získa pravidlo, ktoré povoľuje prístup zo zóny „Nedôveryhodný“ na server s IP adresou 192.168.3.2 cez protokol SSH s použitím externej adresy UserGate pri pripájaní.
kapacita
Táto časť definuje pravidlá pre riadenie šírky pásma. Môžu byť použité na obmedzenie kanála určitých používateľov, hostiteľov, služieb, aplikácií.
Pri vytváraní pravidla určujú podmienky na kartách návštevnosť, na ktorú sa vzťahujú obmedzenia. Šírku pásma je možné vybrať z navrhovaných alebo nastaviť vlastnú. Pri vytváraní šírky pásma môžete zadať označenie priority prevádzky DSCP. Príklad, kedy sa aplikujú označenia DSCP: špecifikovaním scenára v pravidle, v ktorom sa toto pravidlo uplatňuje, toto pravidlo môže tieto označenia automaticky zmeniť. Ďalší príklad fungovania skriptu: pravidlo bude pre používateľa fungovať iba vtedy, keď je detekovaný torrent alebo objem prevádzky prekročí zadaný limit. Zostávajúce karty sa vyplnia rovnakým spôsobom ako v iných politikách podľa typu prevádzky, na ktorú sa má pravidlo vzťahovať.
Záver
V tomto článku som sa venoval tvorbe pravidiel v sekciách Firewall, NAT a Smerovanie a Šírka pásma. A hneď v úvode článku popísal pravidlá tvorby UserGate politík, ako aj princíp podmienok pri tvorbe pravidla.
Zostaňte naladení na aktualizácie v našich kanáloch (
Zdroj: hab.com