Задача

Необходимо разрешить получение обновления для Microsoft Edge (на базе Chromium)

Решение

Для того, чтобы браузер Mocrosoft Edge (версия на базе Chromium) мог получать обновления при доступе в Интернет через UserGate, необходимо создать дополнительное правило дешифрования. Для этого перейдите в раздел Политики безопасности ➜ Инспектирование SSL и добавьте правило инспектирования. Укажите необходимые данные.

Во вкладке Общие укажите:

• Название правила инспектирования.

• Действие: Не расшифровывать.

В разделе Библиотеки ➜ Списки URL создайте новый список и укажите сайт:

• msedge.api.cdp.microsoft.com

Список URL также можно создать при настройки правила во вкладке Домены (кнопка Создать и добавить новый объект).

Далее во вкладке Домены свойств правила инспектирования укажите созданный ранее список URL.

Задача

Ошибка при входе на  сайт avito.ru

Решение

1. Для обнаружения правила веб-доступа, блокирующего авторизацию на сайте, нужно открыть сайт в браузере, кликнуть на "Вход и регистрация", во всплывающем окне нужно ввести имя и пароль и кликнуть на кнопку "Войти".

2. В журнале веб-доступа обнаружится сработавшее правило Веб-безопасности, следует внести в исключения URL www.avito.ru из поля Реферер (отмечен на скриншоте):

3. Еще раз повторить действия из п.1.

4. В журнале веб-доступа обнаружится еще одно сработавшее правило Веб-безопасности, в исключения которого следует внести URL www.google.com/recaptcha/ из поля Реферер:

После добавления этих исключений в правила, проблема исчезает.

Исключение из правила блокировки рекламы делается в самом правиле, пример на присоединённом скриншоте, названия листов соответствуют содержимому:

Задача

Недоступен мониторинг устройств, находящихся за UserGate, по SNMP.

Решение

Возможно, в свойствах зоны, на которую приходят пакеты, был включен SNMP-прокси. При разрешении данного сервиса опрос устройств, находящихся за UserGate, будет происходить с использованием адреса самого UserGate. Таким образом, нужно либо выключить SNMP-прокси, либо разрешить опрос устройств с адреса UserGate.

Задача

При настройке интерфейса возникает ошибка: Адрес из этого диапазона уже используется на другом интерфейсе

Решение

Два разных интерфейса в UserGate не могут иметь адреса из одной подсети. Если бы это было возможно, маршрутизация была бы непредсказуемой.

Задача

Yandex Browser не использует импортированный сертификат UserGate (проблема характерна, в основном, для Linux систем).

Решение

Для доверия сертификату UserGate со стороны Yandex Browser необходимо сделать следующее:

1. В Яндекс-браузере зайдите в Настройки ➜ Системные ➜ Управление сертификатами.
2. Импортируйте сертификат UserGate: нажмите Импорт и выберите скачанный сертификат UserGate.
3. Отметьте чекбоксы Доверять этому сертификату…

Задача

Записи о блокировке широковещательных UDP-пакетов заполняют журнал трафика, что затрудняет его чтение.

Решение

 Создать правило DNAT для перенаправления таких пакетов на широковещательный адрес несуществующей сети. Это предотвратит срабатывание блокирующего правила, созданного по умолчанию, и заполнение журналов лишними записями. Пример правила DNAT представлен на рисунке ниже:

Задача

Постоянное переключение шлюзов.

Решение

Это поведение является результатом работы проверки сети – указанный в настройках адрес периодически не проходит проверку.

Проверка сети настраивается в разделе Сеть➜ Шлюзы вкладки Настройки веб-интерфейса управления (подробнее читайте в соответствующей главе руководства администратора).

Задача

Не работают правила, содержащие ограничения по пользователям, полученным с внешних серверов (например, LDAP-коннектора).

Решение

Возможны несколько причин возникновения данной проблемы.

Возможная причина №1

Для того чтобы пользователей можно было использовать в правилах любого модуля, пользователи должны пройти аутентификацию одним из поддерживаемых методов (подробнее читайте в соответствующем разделе руководства администратора).

Возможная причина №2

Случай ассиметричного трафика: пакет от клиента к серверу передаётся через UserGate, а обратный - напрямую к клиенту (без обработки на UserGate). В этом случае межсетевой экран с контролем состояния обратный пакет не привязывает к пользователю. В такой ситуации необходимо правильно настроить маршрутизацию трафика, чтобы все пакеты шли через UserGate либо настроить правило SNAT для отправки такого трафика от имени UserGate.

Задача

Необходимо оперативно заблокировать пользователю доступ через VPN.

Решение

Необходимо создать для пользователя запрещающее правило межсетевого экрана.

В результате создания правила, пользователь будет подключаться по VPN, но не будет иметь доступа к ресурсам.

Задача

При использовании инспектирования SSL в журнале веб-доступа появляются ошибки TLS Server Alert: Fatal - Bad Record Mac, TLS Server Alert: Fatal - Protocol Version, TLS Client Alert: Fatal - Unknown Ca и т.п.

Решение

Ошибки TLS Server Alert: Fatal - Bad Record Mac и TLS Server Alert: Fatal - Protocol Version возвращают браузеры пользователей вследствие наличия ошибок конфигурации. Для обеспечения максимальной совместимости UserGate поставляется с созданными по умолчанию профилями SSL (подробнее читайте в главе Профили SSL).

Ошибка TLS Client Alert: Fatal - Unknown Ca возникает, если в браузеры пользователей не установлен сертификат для дешифрования SSL-трафика. Подробнее об установке сертификата читайте соответствующей главе руководства администратора.

 Задача

При настройке VPN на клиентском компьютере необходимо указать протокол PAP для авторизации пользователя.

Решение

На устройствах с операционной системой MacOS запретите использование протоколов авторизации, отличных от PAP. Для этого выполните в терминале следующие команды:

echo refuse-chap > ~/.ppprc
echo refuse-mschap >> ~/.ppprc
echo refuse-mschap-v2 >> ~/.ppprce>

Результатом выполнения команд является создание файла ~/ppprc cо следующим содержимым:

refuse-chap
refuse-mschap
refuse-mschap-v2

Задача

В журнале веб-доступа присутствуют избыточные записи о срабатываниях правил контентной фильтрации (переход по ссылке может сформировать 20-30 записей).

Решение

Такое поведение обусловлено особенностями работы веб-сервиса - невозможно отличить, когда переход совершен браузером, а когда пользователем.
Для изучения рекомендуется:

• создать дубликат общего для всех пользователей правила, указав одного пользователя, который будет использоваться для тестирования правил;
• отключить журналирование общего правила.

Таким образом будет легче разобраться в механизме веб-фильтров и изучить работу созданных правил.

Задача

Необходимо проверить что правила антиспам модуля находятся в рабочем состоянии и выполняют свою задачу.

Решение

Проверить работу антиспам фильтра можно с помощью шаблона GTUBE (Generic Test for Unsolicited Bulk Email). Для этого нужно создать почтовое сообщение, содержащее следующую строку(без пробелов и переносов) и отправить его на Ваш почтовый адрес:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Работу антиспам фильтра можно посмотреть с помощью виджетов Графики защиты почты и Сводные показатели защиты почты в разделе Дашборд.

Также возможно отслеживать результаты работы антиспам фильтров UserGate по логам самих почтовых серверов, которые находятся за периметром UserGate, если  в вашем правиле стоит функция Маркировать - тогда письма будут приходить с дополнительным тегом [SPAM].

Сертификат ФСТЭК относится к решению в целом, а не к его конкретной версии. UserGate в должном порядке вносит изменения в свое сертифицированное средство защиты информации, как это предусмотрено Приказом ФСТЭК №55 от 03 апреля 2018 года (см. п. 71, 73, 74).
Исходя из этого, в любой период времени, правильным является использование последней версии UserGate со всеми новейшими обновлениями. О выходе версии сообщено во ФСТЭК, и она передана в испытательную лабораторию для проведения испытаний. Обновления сертификатов, технических условий и формуляра происходит в установленным ФСТЭК порядке после окончания испытаний, информация об этом доводится до пользователей сертифицированного решения (сертификат ФСТЭК России и подробная информация доступны на сайте UserGate).

Задача

При подключении по VPN устройства c ОС Windows разрывают соединение.

Решение

Разрыв соединения происходит после получения системой отрицательного результата проверки доступности сети Интернет (для проверки доступности выполняется запрос на ресурс www.msftconnecttest.com).

Для решения проблемы добавьте разрешающее правило контентной фильтрации, указав зону источника, с которой происходит подключение пользователей по VPN.

Также можно на компьютере в свойствах VPN-подключения отключить использование основного шлюза в удалённой сети, тогда ОС Windows не будет выполнять разрыв соединения при отсутствии на NGFW разрешающего правила контентной фильтрации. В этом случае при VPN-подключении шлюз по умолчанию не изменится, а нужные маршруты будут получены компьютером от NGFW в соответствии с настройками VPN-сети.

Задача

Из локальной сети нет доступа к ресурсам, опубликованным с использованием правил reverse-прокси, по внешнему URL.

Решение

Для обеспечения доступа пользователей локальной сети к ресурсам, опубликованным с помощью reverse-прокси, через адрес внешнего интерфейса необходимо:

1. Создать правило межсетевого экрана, разрешающее соединение из зоны интерфейса UserGate, за которым находится локальная сеть, в зону интерфейса, к которому подключён сервер.
2. Разрешить сервис Reverse-прокси на зоне интерфейса, к которому подключена локальная сеть.
3. В настройках правила reverse-прокси добавить зону, которой принадлежит локальная сеть, в качестве зоны источника.
4. Если локальная сеть и сервер находятся за одним интерфейсом, то не отмечайте чекбокс Сохранять адрес источника в настройках сервера reverse-прокси, в противном случае - настройте правило NAT для соединений из локальной сети.

Для обеспечения доступа к опубликованным ресурсам из локальной сети по внешнему URL для версии 6.1.9 необходимо на внутреннем DNS-сервере создать запись типа А, которая будет разрешать FQDN ресурса во внутренний IP-адрес сервера.

Задача

Настроен Site-to-Site VPN между двумя UserGate, маршруты до внутренних сетей прописаны. После подключения наблюдается низкая скорость передачи.

Решение

Необходимо сделать исключения защиты от DoS для адресов интерфейсов, которые используются для построения VPN-туннеля. Исключения добавляются в свойствах зоны, которой принадлежит интерфейс, в разделе Сеть ➜ Зоны.

Вопрос

Можно ли развернуть VPN за UserGate, если на нём уже настроен VPN?

Ответ

Да, можно, если сервер за UserGate использует UDP-порты отличные от 500 и 4500 или на внешнем интерфейсе UserGate есть второй адрес.

На UserGate произведите следующие настройки:

1. Создайте сервис, указав протоколы и порты, используемые разворачиваемым за UserGate сервером.
2. Создайте правило DNAT и укажите созданный сервис.

Задача

Возникает ошибка Мало места на разделе для журналов.

Решение

Данное сообщение информирует о превышении 92% занимаемого места от размера диска. Журналы автоматически ротируются, т.е. старые данные удаляются, освобождая место для записи новых. Место на диске освобождается небольшими блоками, поэтому данное сообщение будет периодически появляться.

Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.

Если требуется хранить журналы за больший период времени, то можно добавить дополнительный диск или увеличить размер существующего диска на виртуальной машине. Далее необходимо выполнить перезагрузку UserGate; при загрузке в Support Menu необходимо выполнить увеличение раздела для журналов на весь выделенный диск (Expand log partition).

Задача

У пользователя на терминальном сервере в браузере периодически появляется ошибка "Нет подключения к прокси серверу". С чем это может быть связано?

Решение

Терминальный сервер перехватывает запросы от каждого пользователя и назначает свой диапазон портов. По диапазону портов NGFW идентифицирует пользователей терминального сервера.

Терминальный сервер использует следующий диапазон портов: 5000 - 49000 (всего 44000 портов). Агент, по умолчанию, настроен на работу 50 пользователей, на каждого из которых выделяется 880 портов; если портов не хватает, то соединения не будут установлены. 

Проверьте журнал работы агента (файл entsagent в папке %ALLUSERSPROFILE%\Entensys\Terminal Server Agent\). Если есть сообщение not enought ports, то подключение не устанавливается из-за нехватки портов.

В настройках агента терминального сервера можно изменить количество пользователей, которые будут использовать агент терминального сервера. Если уменьшить количество пользователей, то на каждого пользователя будет выделено больше портов, и наоборот. Диапазон портов назначается пользователю после его регистрации на терминальном сервере, данная информация передаётся на NGFW. Освобождение диапазона происходит после прекращения сеанса работы в качестве зарегистрированного пользователя терминального сервера.

Файл конфигурации tsagent.cfg находится в той же папке, что и журнал работы агента. Для указания количества пользователей измените параметр Maximum user count.

Если терминальных подключений много, то можно добавить на интерфейс сервера еще адрес (или несколько); при добавлении адреса количество доступных портов увеличивается в 2 раза.

Задача

При попытке подключения к VPN отображается ошибка: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, во время согласований с удаленным компьютером.

Решение

На клиентском ПК проверьте:

• параметр AssumeUDPEncapsulationContextOnSendRule в реестре должен принимать значение 2 (т.е. Windows может установить связи безопасности, когда сервер и клиентский компьютер находятся за устройствами NAT);
• значение параметра HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\ProhibitIpSec должно принимать значение 0;
• настройки безопасности адаптера:

Вопрос

Как правильно использовать пул IP адресов для NAT трансляции? 

Ответ

В настройках правила типа NAT укажите пул IP-адресов в виде диапазона адресов, которые будут использоваться для замены адреса источника при наттировании пакетов (поле SNAT IP).

Вопрос

Как настроить запись трафика на NGFW?

Ответ

Запись трафика осуществляется на вкладке Диагностика и мониторинг в разделе Сеть ➜ Захват пакетов.

Например, для записи трафика TCP с адреса 10.0.0.1, подключённого к port1, произведите следующие действия:

1. На панели Фильтры произведите настройку фильтров:
• Источник: 10.0.0.1 (IP-адрес источника, трафик с которого необходимо записать);
• IPv4 протокол: 6 (в соответствии с http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). 

При настройке фильтра также можно указать порт источника/назначения.

2. На панели Правила создайте правило захвата пакетов. При настройке укажите интерфейс NGFW, который используется для маршрутизации трафика (port1), и добавьте ранее созданный фильтр. Для начала/остановки записи трафика используйте соответствующие кнопки Начать запись/Остановить запись.
3. Файл PCAP доступен для скачивания на панели Файл (по умолчанию панель скрыта; для отображения нажмите стрелочку в правом верхнем углу).

Вопрос

Как выполнить очистку журналов (событий, веб-доступа и т.д.)?

Ответ

Журналы удалить невозможно, так как это требования информационной безопасности.

Возможность удаления журналов с устройства за определенный промежуток времени (или все сразу) позволяет скрыть нарушения безопасности. Управление журналами автоматизировано и не требует участия администратора, журналы циклически перезаписываются, обеспечивая необходимое для работы свободное дисковое пространство.

Ротация записей журналов (всех, кроме журнала событий) происходит автоматически по критерию свободного пространства на данном разделе. При работе с большими дисками(более 100GB) критерий очистки установлен в 99% занятого места: удаляется раздел журналов с самыми старыми данными, освобождая место для записи новых. Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.

Вопрос

Что предполагают Backup full и Backup system only в Support Menu?

Ответ

Backup full предполагает создание полной копии диска UserGate. Для определения размера съёмного носителя можно посмотреть информацию в Дашборд, виджет Диски (сложить значения колонки "Занято"). Для сжатия данных используется gzip.

Backup system only создаёт полную копию только системного раздела UserGate с абсолютно всеми настройками, состоянием кластера и лицензией; раздел журналов не копируется.

Данный эффект может наблюдаться в случае если доменный адрес в настройках  сервера авторизации прописан некорректно. В этом случае ответ от LDAP-сервера содержит недопустимый по настройкам домен, что и приводит к описанному эффекту. Для устранения проблемы необходимо в настройках серверов авторизации на вкладке домены-LDAP добавить все допустимые в вашем контексте домены.

Можно убрать галочку DNSBL проверка это не повлияет на список адресов в DNSBL, в дальнейшем ее можно включить обратно.

Также можно создать отдельное правило, с этой установленной галочкой. Правила можно отключать не удаляя их, через правую кнопку мыши

После подключения LogAn, все сообщения отправляются на него. На NGFW в этом случае ничего не хранится.
При просмотре журналов на NGFW, они берутся с LogAn.

Это ошибка, возможно, связана с применением браузерами механизма HSTS (в Yandex browser этот механизм по умолчанию отключен). Для решения проблемы необходимо почистить кэш браузера, в случае переносного оборудования. Либо, как вариант, заблокировать применение протокола QUIC браузерами.

Для Mozilla Firefox:

1. Откройте страницу расширенных настроек браузера, написав в адресной строке about:config и нажав Enter.
2. Скопируйте в строку поиска network.http.http3.enabled.
3. измените значение опции на FALSE (означает, что поддержка HTTP/3 включена).

Для Google Chrome/Opera:

1. Введите в адресную строку chrome://flags/ и перейдите по этому адресу (для Opera — opera://flags/).
2. В поисковой строке открывшегося меню разработчиков введите Quic.
3. Отключите пункт Experimental QUIC protocol, установив значение Disabled.

Задача

Как сконфигурировать UserGate NGFW для использования нескольких контроллеров домена?

Решение

Создайте один коннектор контроллера домена и укажите в нем вместо FQDN контроллера домена сам домен. В этом случае обращение будет происходить по очереди к каждому контроллеру, указанному в зоне DNS, т.е. при недоступности первого контроллера произойдет обращение к следующему, пока не будет установлено соединение.

В случае недоступности части контроллеров домена с площадки, где работает NGFW,  следует добавить статическую запись в настройки DNS, где были бы указаны адреса доступных контроллеров, и использовать имя этой записи в коннекторе.

Задача

Необходимо разрешить работу офисной SIP АТС через VPN UserGate.

Решение

Для решения нужно разрешить загрузку модуля SIP в командной строке UserGate NGFW при помощи следующей команды:

UTM> device config -set module_sip_enabled true 

Задача

На программно-аппаратных комплексах (ПАК) UserGate возникает ошибка System is booting... LOM card present; устройство зависает на этапе загрузки.

Решение

В случае возникновения ошибки выполните следующие действия:

1. Отключите питание на 5-10 минут. После включения ПАК должен загрузиться в штатном режиме, в противном случае, обратитесь в службу технической поддержки UserGate.

2. После загрузки ПАК, можно проверить версию IPMI, подключившись к DashBoard

Если версия отличается от представленной на рисунке, необходимо обновить версию IPMI.

Задача

Необходимо настроить работу AnyDesk, используется инспектирование SSL.

Решение

Создайте список URL, содержащий запись (дословно, без кавычек): "AnyNet Relay", и добавьте этот список в исключения инспектирования SSL.

Задача

Перестало работать правило с расписанием типа Повторящиеся события; отмечен чекбокс Весь день.

Решение

Для расписаний с типом повторения Повторяющиеся события присутствует ошибка в веб-интерфейсе управления UserGate. В настройках данного типа повторения наличие чекбокса Весь день является ошибочным, т.к. при его активации событие закончится в 00:00 и больше не повториться.

Для данного типа повторения пользователю необходимо указать интервал времени, в которое правило будет активно, и диапазон дат, т.е., чтобы правило работало весь день, можно указать период с 00:00 по 23:59, тогда правило не будет работать только 1 минуту в день. Чтобы правило работало весь день рекомендуется использовать интервал типа Диапазон времени.

После добавления сетевых интерфейсов на виртуальной машине необходимо перезагрузиться и при загрузке в Boot Menu выбрать пункт Support menu ➜ Refresh NIC names, подробнее об этой и других служебных утилитах читайте в cоответствующем разделе руководства администратора.

Импорт доступен в следующих разделах:

• Сеть: правила DNS;
• Пользователи и устройства: правила captive-портала;
• Политики сети: правила межсетевого экрана, NAT и маршрутизации, пропускной способности;
• Политики безопасности: правила фильтрации контента, веб-безопасности, инcпектирования туннелей, инспектирования SSL, инcпектирования SSH, защиты почтового трафика, ICAP, защиты DoS, системы обнаружения и предотвращения вторжений, сценарии;
• Глобальный портал: правила веб-портала и reverse-прокси;
• VPN: серверные и клиентские правила.

Указанные выше правила настраиваются с использованием UserGate Policy Language (UPL), подробную информацию о котором вы можете найти в соответствующем разделе руководства администратора.

Рассмотрим экспорт и импорт правил на примере правил межсетевого экрана. На NGFW созданы следующие правила:

1. Для редактирования правила могут быть сохранены в файл конфигурации или скопированы из интерфейса командной строки. В обоих вариантах используется подключение к интерфейсу командной строки по SSH.

Для сохранения правил в файл, например, fw_config.cfg, выполните следующую команду:

ssh Admin@IP_ADDRESS -p 2200 show network-policy firewall >fw_config.cfg

где Admin - имя администратора;

      IP_ADDRESS - адрес интерфейса UserGate.

Введите пароль учетной записи администратора, файл со списком правил будет сохранён на вашем устройстве.

Для копирования правил из интерфейса командной строки подключитесь к CLI по SSH:

ssh Admin@IP_ADDRESS -p 2200

где Admin - имя администратора;

      IP_ADDRESS - адрес интерфейса UserGate.

Подключение по SSH необходимо для возможности копирования правил.

Для перехода в режим конфигурации используйте следующую команду:

Admin@UGOS> configure

Отобразите в CLI правила раздела, которые необходимо выгрузить:

Admin@UGOS# show network-policy firewall

Также действия над правилами могут быть выполнены после перехода на уровень раздела, в таком случае не нужно указывать уровень для каждой команды:

Admin@UGOS# edit network-policy firewall
    
[ network-policy firewall ]
Admin@UGOS# show

Результат выполнения команды:

[ network-policy firewall ]
Admin@UGOS# show
% ----------------- 1 -----------------
DENY \
    src.zone = Trusted \
    enabled(true) \
    id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
    name(web1)
% ----------------- 2 -----------------
DENY \
    src.zone = DMZ \
    dst.zone = Untrusted \
    enabled(true) \
    id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
    name(web2)
% ----------------- 3 -----------------
PASS \
    enabled(true) \
    id("4e537010-322e-45e8-a1e1-7390f2300bce") \
    name(web3)

2. Скопируйте правила для редактирования; используйте, например, текстовый редактор. 

Отредактируйте необходимые параметры правила. Для примера изменим названия правил на cli1, cli2 и cli3, соответственно:

DENY \
    src.zone = Trusted \
    enabled(true) \
    id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
    name(cli1)
% ----------------- 2 -----------------
DENY \
    src.zone = DMZ \
    dst.zone = Untrusted \
    enabled(true) \
    id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
    name(cli2)
% ----------------- 3 -----------------
PASS \
    enabled(true) \
    id("4e537010-322e-45e8-a1e1-7390f2300bce") \
    name(cli3)

3. Импортируйте правила. Выделите и скопируйте правила в редакторе. Перейдите в CLI, введите команду import upl-rule и вставьте скопированные правила:

[ network-policy firewall ]
Admin@UGOS# import upl-rule DENY \
...     src.zone = Trusted \
...     enabled(true) \
...     id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
...    name(cli1)
... % ----------------- 2 -----------------
... DENY \
...     src.zone = DMZ \
...     dst.zone = Untrusted \
...     enabled(true) \
...     id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
...     name(cli2)
... % ----------------- 3 -----------------
... PASS \
...     enabled(true) \
...     id("4e537010-322e-45e8-a1e1-7390f2300bce") \
...     name(cli3)
...
[ network-policy firewall ]
Admin@UGOS# 

4. Проверьте изменения в CLI:

[ network-policy firewall ]
Admin@UGOS# show
    
% ----------------- 1 -----------------
DENY \
    src.zone = Trusted \
    enabled(true) \
    id("082ed6ed-20b6-4c93-921a-047eb9ff40a4") \
    name(cli1)
% ----------------- 2 -----------------
DENY \
    src.zone = DMZ \
    dst.zone = Untrusted \
    enabled(true) \
    id(f5f08dbd-019f-490a-8cfa-342c34a348fa) \
    name(cli2)
% ----------------- 3 -----------------
PASS \
    enabled(true) \
    id(b5ad3589-98d4-4911-8cf2-9590d0f3f4ea) \
    name(cli3)

или веб-интерфейсе:

Компания UserGate сотрудничает с ФинЦЕРТ: информация синхронизируется со списком IP-адресов бот-сетей и списком URL фишинговых сайтов.

Да, UserGate NGFW может обрабатывать трафик, получаемый из удаленной сети и упакованный посредством технологии VxLAN.

Ошибка такого типа может возникать в случае, когда UserGate не может разрешить доменное имя, на которое происходит обращение при явно указанном прокси. Это означает, что какие-то из DNS-серверов, указанных в настройках, работают неустойчиво.

Серверы некоторых интернет-провайдеров могут отвечать ошибкой на запросы, поступающие с адресов другого провайдера. Проверку можно произвести в разделе Сеть ➜ Запрос DNS вкладки Диагностика и мониторинг (подробнее читайте в разделе Запрос DNS).

Для использования таких серверов необходимо настроить правила типа Policy-based routing (PBR), которые будут перенаправлять трафик на эти серверы через шлюзы соответствующего провайдера. Чтобы эти правила были применены к запросам, генерируемым UserGate, не указывайте зону источника трафика, т.е. не должно быть отмечено ни одной зоны - зона Любая. Подробнее о настройке правил PBR читайте в разделе Policy-based routing.

Также возможен вариант использования публичных DNS-серверов, отвечающих на запросы вне зависимости от используемого провайдера.

При создании сервиса на UserGate 6.x.x указание порта назначения является обязательным. Указание всего диапазона портов (0-65535) никак не скажется на работе правил.

Для расширения системного раздела с сохранением конфигурации и данных узла UserGate необходимо выполнить следующие шаги:

1. Средствами гипервизора добавить новый диск необходимого размера в свойствах виртуальной машины UserGate.

2. В меню загрузки узла UserGate войти в раздел Support menu:

3. В открывшемся разделе выбрать Expand data partition и запустить процесс расширения системного раздела:

4. После завершения процесса расширения загрузить узел и в разделе Дашборд ➜ Диски проверить размер системного раздела:

 Задача

Одной из возможных причин такого поведения может быть фрагментация пакетов. Если пакеты, передаваемые через VPN-туннель, превышают максимальный размер MTU на любом из промежуточных устройств, они могут быть разделены на фрагменты. Это может привести к увеличению задержки и потере производительности. Путем установки оптимального значения MTU на туннельном интерфейсе можно избежать фрагментации и снизить задержку.
Значение MTU на туннельных интерфейсах, созданных по умолчанию и предназначенных для соединения Site-to-Site VPN, по умолчанию установлено 1420 байт. Требуется уменьшить значение MTU до 1384.
Редактирование свойств интерфейса производится в разделе: Сеть ➜ Интерфейсы.

Раздел Аналитика UserGate Log Analyzer предоставляет функциональность SIEM. Наличие SIEM позволяет с использованием правил аналитики производить анализ событий безопасности, получаемых с настроенных сенсоров, и определять методы реагирования на них.

В данном примере будет рассмотрена настройка правила аналитики для группы NGFW, которое срабатывает при получении события о срабатывании правила защиты DOS на одном NGFW и отсылает команду на добавление IP-адреса источника в предварительно созданный на всех NGFW список адресов, который уже используется в правилах межсетевого экрана (МЭ) для блокировки нежелательных соединений.  Данная конфигурация работает в режиме Prevent защиты.

1. Создать список IP-адресов на NGFW.
   В разделе Библиотеки ➜ IP-адреса на панели Группы нажать на кнопку Добавить, дать название списку IP-адресов, например,  Blocked_addresses.
   Выполнить аналогичную настройку на каждом из NGFW в группе.
   
   

2. Создать правила МЭ на NGFW.
   В разделе Политики сети ➜ Межсетевой экран создать запрещающие правила, используя созданный ранее список Blocked_addresses в качестве адреса источника. 
   Выполнить аналогичную настройку на каждом из NGFW в группе.
   
   
   Подробнее о настройке правил читайте в разделе Межсетевой экран.

3. Создать правило защиты DoS на NGFW.
   В разделе Политики безопасности ➜ Правила защиты DoS нажать на кнопку Добавить, создать правило с действием Защитить и включить журналирование.
   Выполнить аналогичную настройку на каждом из NGFW в группе.
   
   
   Подробнее о настройке правил защиты DOS читайте в соответствующем разделе руководства администратора.

4. Подключить NGFW к LogAn.
   В разделе Сенсоры ➜ Сенсоры UserGate нажать на кнопку Добавить, указать параметры NGFW.
   Выполнить аналогичную настройку на каждом из NGFW в группе.
   
   
   Подробнее о подключении NGFW к LogAn читайте в разделе Сенсоры.

5. Создать список команд на LogAn.
   На LogAn перейти в раздел Библиотеки ➜ Команды и создать группу команд (на панели Группы команд нажать Добавить и указать название). На панели Команды нажать Добавить и указать название и следующий текст команды (синтаксис команды аналогичен синтаксису команд CLI NGFW):

   set libraries ip-list Blocked_addresses ips + [ {SRC_IP} ]
   
   Данная команда будет отправлена на NGFW в качестве действия реагирования на срабатывание правила аналитики. При написании команды использована переменная SRC_IP — адрес источника, который при отправке команды добавляет IP-адрес источника в список IP-адресов Blocked_addresses, созданный ранее на NGFW.

6. Создать коннектор на LogAn.
   На LogAn в разделе Сенсоры ➜ Koннекторы нажать Добавить и указать свойства коннектора:

• Имя: название коннектора;

• Тип сервера: SSH;

• Адрес сервера: IP;

• IP-адрес: IP-адрес NGFW;

• Порт: порт сервера;

• Логин: логин пользователя для авторизации на коннекторе;

• Пароль: пароль учётной записи пользователя, необходимый для авторизации на коннекторе;

• Группа команд: группа команд, созданная на п.5.

Выполнить аналогичную настройку на каждом из NGFW в группе.

7. Создать действие реагирования на LogAn.
   Действие реагирования также может быть создано при настройке правила аналитики во вкладке Действия реагирования (нажать Создать и добавить новый объект).

   Перейти во вкладку Аналитика веб-интерфейса Log Analyzer. Во вкладке Действия реагирования нажать Добавить и указать свойства действия реагирования:

• Во вкладке Общие указать параметры:

  • поставить флажок Включено;

  • Название правила реагирования;

  • Действие: Послать команду на коннектор — отправка команды на выбранный коннектор.

  

• Во вкладке Действие добавить коннектор, созданный на шаге 6, и выбрать команду на добавления нового адреса в список Blocked_addresses. В появившемся поле Параметры указать {SOURCE_IP} в качестве значения переменной SRC_IP, использующейся в команде. Полный список переменных, относящихся к срабатываниям, смотрите в разделе Переменные для уведомлений и команд.

8. Настроить правило аналитики.

   Перейти во вкладку Аналитика веб-интерфейса Log Analyzer. В разделе Правила аналитики нажать Добавить и указать следующие параметры:

• Во вкладке Общие:

  • поставить флажок Включено;

  • Название правила аналитики;

  • Уровень угрозы, который будет отображаться при срабатывании правила;

  • Приоритет, установленный для срабатывания правила аналитики;

  • Категория срабатывания, к которой относится срабатывание.

  

• Во вкладке Условия:

  • Название условия правила аналитики;

  • Запрос фильтра: указать rule = "DoS_rule_1" and action = deny (где DoS_rule_1 — название правила защиты DoS, созданного в п.3);

  • Группировать по отображает список параметров, по которым могут быть сгруппированы правила и события в результате срабатывания; указать IP источника (указание параметра группировки обязательно);

  • Повторений шаблона: количество выполнений условия, необходимое для срабатывания правила. Данный параметр может быть использован совместно с параметром Ограничить время выполнения условия или без него.

• Во вкладке Действия реагирования выбрать созданное в п.7 действие реагирования.

За более детальной информацией по настройкам раздела Аналитика можно обратиться в руководство администратора Log Analyzer.

Доступ к API разрешается в профиле администратора и может быть ограничен по адресу источника. Для обеспечения доступа с определенных IP-адресов в свойствах сетевой зоны необходимо настроить сервис XML-RPC.

Для того, чтобы отображался сервис на зоне NGFW, необходимо:

1. Открыть NGFW веб-консоль администратора таким образом: https://<usergate_ip>:8001/?features=zone-xml-rpc. 
2. В настройках нужной зоны активировать сервис "XML-RPC для управления".

3. В параметре Разрешенные адреса нажать Любой и добавить требуемый IP-адрес .

Для версий NGFW, в которых есть проблемы с работой правил защиты от DoS, для защиты ресурсов, опубликованных через reverse-прокси, можно использовать следующий вариант: перенаправить нежелательный трафик на несуществующий адрес. Для этого необходимо произвести следующие настройки:

1. Создать два правила DNAT для нежелательного трафика (трафик от бот-сетей и адресов, не принадлежащих российскому пространству):

• в первом правиле в качестве адреса источника выбрать GeoIP Russian Federation и отметить чекбокс Инвертировать, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4;

• во втором правиле в качестве адреса источника выбрать список IP-адресов Список бот-сетей, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4.

2. Создать статический маршрут типа blackhole, в качестве адреса назначения указать 1.2.3.4/32.

В соответствии с Packet Flow (подробнее читайте в UserGate NGFW 6 Packet Flow) правила DNAT сработают раньше правил reverse-прокси и перенаправят нежелательный трафик blackhole.

Начиная с версии 6.1.9.12030R для устранения возможных разрывов подключения VPN клиента Windows к UserGate, необходимо в настройках профиля безопасности VPN на устройстве UserGate для первой фазы установить значение "Интервала проверки dead peer detection"(DPD) равным 0.
Если подключение успешно проходит, но в последствии соединение все равно разрывается, необходимо обратиться в отдел технической поддержки и подготовить записанный трафик с начала сессии и лог для анализа.

Долгая загрузка устройства может быть  связана с тем что в настройках сервера авторизации (и не только) адрес сервера указан как FQDN. Если при этом присутствуют проблемы с доступом к DNS серверу, UserGate будет пытаться разрешить FQDN имя и ожидать пока закончится timeout обращения к DNS серверу. Следует проверить доступность сервера DNS и возможность разрешения FQDN имени(и его корректность), также сам сервер авторизации, на который ссылается FQDN имя должен быть доступен.

UserGate для обеспечения безопасности недостаточно знать URL-адреса потенциально опасных ресурсов, необходимо также знать актуальные IP-адреса этих ресурсов. Данные об актуальных адресах хранятся в DNS-кэше, и, когда истекает время жизни DNS-записи, UserGate делает запрос к системным DNS-серверам для обновления  записи.

Сертификат ФСТЭК относится к решению в целом, а не к его конкретной версии. UserGate в должном порядке вносит изменения в свое сертифицированное средство защиты информации, как это предусмотрено Приказом ФСТЭК №55 от 03 апреля 2018 года (см. п.п. 71, 73, 74 - https://minjust.consultant.ru/files/39437). Исходя из этого в любой период времени правильным является применение последней версии UserGate со всеми новейшими обновлениями. О выходе версии сообщено во ФСТЭК, и она передана в испытательную лабораторию для проведения испытаний. Обновления сертификатов, технических условий и формуляра происходит в установленным ФСТЭК порядке после окончания испытаний, информация об этом доводится до пользователей сертифицированного решения.