Подкатегории

Часто задаваемые вопросы
 
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
b
Как разрешить работу клиента Yandex.Disk

Задача

Необходимо разрешить работу клиента Yandex.Disk

Решение

Для организации работы клиента Яндекс.Диск необходимо создать новое правило дешифрования. Для этого перейдите в раздел Политики безопасности ➜ Инспектирование SSL. Создайте правило инспектирования SSL и задайте параметры.

Во вкладке Общие укажите:

  • Название правила инспектирования.

  • Действие - Не расшифровывать.

image178

В разделе Библиотеки ➜ Списки URL создайте новый список и добавьте следующие сайты:

  • clck.yandex.ru

  • *.disk.yandex.net

  • push.yandex.ru

  • report.appmetrica.yandex.net

  • *storage.yandex.net

  • webdav.yandex.

  • passport.yandex.com

  • downloader.disk.yandex.

  • mds.yandex.net

  • cloud-api.yandex.

  • oauth.yandex.

  • yastatic.net.

Список URL также можно создать при настройке правила во вкладке Домены (кнопка Создать и добавить новый объект).

image179

Далее во вкладке Домены свойств правил инспектирования укажите созданный ранее список URL.

image180

Примечание Данное правило необходимо расположить в начале списка правил инспектирования SSL.

Как разрешить обновления Microsoft Edge (на базе Chromium) через UserGate

Задача

Необходимо разрешить получение обновления для Microsoft Edge (на базе Chromium)

Решение

Для того, чтобы браузер Mocrosoft Edge (версия на базе Chromium) мог получать обновления при доступе в Интернет через UserGate, необходимо создать дополнительное правило дешифрования. Для этого перейдите в раздел Политики безопасности ➜ Инспектирование SSL и добавьте правило инспектирования. Укажите необходимые данные.

Во вкладке Общие укажите:

  • Название правила инспектирования.

  • Действие: Не расшифровывать.

image184

В разделе Библиотеки ➜ Списки URL создайте новый список и укажите сайт:

  • msedge.api.cdp.microsoft.com

Список URL также можно создать при настройки правила во вкладке Домены (кнопка Создать и добавить новый объект).

image185

Далее во вкладке Домены свойств правила инспектирования укажите созданный ранее список URL.

image186

ПримечаниеПравило следует поместить в начало списка правил

Исправление авторизации на сайте Авито (разблокировка гугл-капча)

Задача

Ошибка при входе на  сайт avito.ru

Решение

  1. Для обнаружения правила веб-доступа, блокирующего авторизацию на сайте, нужно открыть сайт в браузере, кликнуть на "Вход и регистрация", во всплывающем окне нужно ввести имя и пароль и кликнуть на кнопку "Войти".

  2. В журнале веб-доступа обнаружится сработавшее правило Веб-безопасности, следует внести в исключения URL www.avito.ru из поля Реферер (отмечен на скриншоте):

image156

  1. Еще раз повторить действия из п.1.

  2. В журнале веб-доступа обнаружится еще одно сработавшее правило Веб-безопасности, в исключения которого следует внести URL www.google.com/recaptcha/ из поля Реферер:

GCaptcha2.png

После добавления этих исключений в правила, проблема исчезает.

Исключение из правила блокировки рекламы делается в самом правиле, пример на присоединённом скриншоте, названия листов соответствуют содержимому:

image158

Недоступны SNMP устройства за UserGate

Задача

Недоступен мониторинг устройств, находящихся за UserGate, по SNMP.

Решение

Возможно, в свойствах зоны, на которую приходят пакеты, был включен SNMP-прокси. При разрешении данного сервиса опрос устройств, находящихся за UserGate, будет происходить с использованием адреса самого UserGate. Таким образом, нужно либо выключить SNMP-прокси, либо разрешить опрос устройств с адреса UserGate.

Примечание Опрос по SNMP самого UserGate должен производиться с использованием адреса интерфейса, на который поступает пакет, в противном случае (пакет поступил на один интерфейс, а затем, в результате внутренней маршрутизации, был перенаправлен на IP-адрес другого интерфейса UserGate) сервис SNMP доступен не будет. Это сделано для корректной отработки сервисов при наличии VRF (подробнее читайте Особенности реализации доступа к сервисам зон).

Ошибка при настройке интерфейса

Задача

При настройке интерфейса возникает ошибка: Адрес из этого диапазона уже используется на другом интерфейсе

Решение

Два разных интерфейса в UserGate не могут иметь адреса из одной подсети. Если бы это было возможно, маршрутизация была бы непредсказуемой.

Yandex Browser vs SSL inspection

Задача

Yandex Browser не использует импортированный сертификат UserGate (проблема характерна, в основном, для Linux систем).

Решение

Для доверия сертификату UserGate со стороны Yandex Browser необходимо сделать следующее:

  1. В Яндекс-браузере зайдите в Настройки ➜ Системные ➜ Управление сертификатами.
  2. Импортируйте сертификат UserGate: нажмите Импорт и выберите скачанный сертификат UserGate.
  3. Отметьте чекбоксы Доверять этому сертификату…
Примечание Если сертификат уже импортирован, то настройка доверия сертификату производится во вкладке Центры сертификации: найдите в списке сертификат UserGate и нажмите Изменить.

Записи о блокировке широковещательных UDP-пакетов заполняют журнал трафика

Задача

Записи о блокировке широковещательных UDP-пакетов заполняют журнал трафика, что затрудняет его чтение.

Решение

 Создать правило DNAT для перенаправления таких пакетов на широковещательный адрес несуществующей сети. Это предотвратит срабатывание блокирующего правила, созданного по умолчанию, и заполнение журналов лишними записями. Пример правила DNAT представлен на рисунке ниже:

Постоянное переключение шлюзов

Задача

Постоянное переключение шлюзов.

Решение

Это поведение является результатом работы проверки сети – указанный в настройках адрес периодически не проходит проверку.

Проверка сети настраивается в разделе Сеть Шлюзы вкладки Настройки веб-интерфейса управления (подробнее читайте в соответствующей главе руководства администратора).

Не работают правила, содержащие ограничения по внешним пользователям

Задача

Не работают правила, содержащие ограничения по пользователям, полученным с внешних серверов (например, LDAP-коннектора).

Решение

Возможны несколько причин возникновения данной проблемы.

Возможная причина №1

Для того чтобы пользователей можно было использовать в правилах любого модуля, пользователи должны пройти аутентификацию одним из поддерживаемых методов (подробнее читайте в соответствующем разделе руководства администратора).

Примечание Для использования пользователей в правилах межсетевого экрана в соответствующем captive-профиле, если используется не агент аутентификации, в качестве метода идентификации необходимо указать Запоминать IP-адрес.

Возможная причина №2

Случай ассиметричного трафика: пакет от клиента к серверу передаётся через UserGate, а обратный - напрямую к клиенту (без обработки на UserGate). В этом случае межсетевой экран с контролем состояния обратный пакет не привязывает к пользователю. В такой ситуации необходимо правильно настроить маршрутизацию трафика, чтобы все пакеты шли через UserGate либо настроить правило SNAT для отправки такого трафика от имени UserGate.

Блокировка доступа через VPN

Задача

Необходимо оперативно заблокировать пользователю доступ через VPN.

Решение

Необходимо создать для пользователя запрещающее правило межсетевого экрана.

В результате создания правила, пользователь будет подключаться по VPN, но не будет иметь доступа к ресурсам.

Примечание Если сбросить сессию пользователя, то клиент автоматически переподключится, поэтому данный вариант не работает.
Ошибки TLS в журнале веб-доступа

Задача

При использовании инспектирования SSL в журнале веб-доступа появляются ошибки TLS Server Alert: Fatal - Bad Record MacTLS Server Alert: Fatal - Protocol VersionTLS Client Alert: Fatal - Unknown Ca и т.п.

Решение

Ошибки TLS Server Alert: Fatal - Bad Record Mac и TLS Server Alert: Fatal - Protocol Version возвращают браузеры пользователей вследствие наличия ошибок конфигурации. Для обеспечения максимальной совместимости UserGate поставляется с созданными по умолчанию профилями SSL (подробнее читайте в главе Профили SSL).

Ошибка TLS Client Alert: Fatal - Unknown Ca возникает, если в браузеры пользователей не установлен сертификат для дешифрования SSL-трафика. Подробнее об установке сертификата читайте соответствующей главе руководства администратора.

Выбор протокола PAP на MacOs

Задача

При настройке VPN на клиентском компьютере необходимо указать протокол PAP для авторизации пользователя.

Решение

На устройствах с операционной системой MacOS запретите использование протоколов авторизации, отличных от PAP. Для этого выполните в терминале следующие команды:

echo refuse-chap > ~/.ppprc
echo refuse-mschap >> ~/.ppprc
echo refuse-mschap-v2 >> ~/.ppprce>

Результатом выполнения команд является создание файла ~/ppprc cо следующим содержимым:

refuse-chap
refuse-mschap
refuse-mschap-v2

Избыточные записи о срабатываниях правил контентной фильтрации в журнале веб-доступа

Задача

В журнале веб-доступа присутствуют избыточные записи о срабатываниях правил контентной фильтрации (переход по ссылке может сформировать 20-30 записей).

Решение

Такое поведение обусловлено особенностями работы веб-сервиса - невозможно отличить, когда переход совершен браузером, а когда пользователем.
Для изучения рекомендуется:

  • создать дубликат общего для всех пользователей правила, указав одного пользователя, который будет использоваться для тестирования правил;
  • отключить журналирование общего правила.

Таким образом будет легче разобраться в механизме веб-фильтров и изучить работу созданных правил.

Примечание Представленные выше действия не уменьшат количество срабатываний, приходящееся на одного пользователя, а лишь упростят процесс изучения работы веб-фильтра, т.к. будут журналироваться действия только одного пользователя.
Как проверить работу антиспам модуля

Задача

Необходимо проверить что правила антиспам модуля находятся в рабочем состоянии и выполняют свою задачу.

Решение

Проверить работу антиспам фильтра можно с помощью шаблона GTUBE (Generic Test for Unsolicited Bulk Email). Для этого нужно создать почтовое сообщение, содержащее следующую строку(без пробелов и переносов) и отправить его на Ваш почтовый адрес:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Работу антиспам фильтра можно посмотреть с помощью виджетов Графики защиты почты и Сводные показатели защиты почты в разделе Дашборд.

Примечание  Данные виджеты можно добавить с помощью кнопки Добавить виджет.

Также возможно отслеживать результаты работы антиспам фильтров UserGate по логам самих почтовых серверов, которые находятся за периметром UserGate, если  в вашем правиле стоит функция Маркировать - тогда письма будут приходить с дополнительным тегом [SPAM].

Примечание Нужно учитывать, что блокировка писем будет срабатывать только при выбранном действии Блокировать в правиле фильтрации SMTP и POP3 трафика. Примечание При выбранном действии Блокировать с ошибкой UserGate будет отсылать ошибку о недоступности сервера отправителю.
Сертификация ФСТЭК России

Сертификат ФСТЭК относится к решению в целом, а не к его конкретной версии. UserGate в должном порядке вносит изменения в свое сертифицированное средство защиты информации, как это предусмотрено Приказом ФСТЭК №55 от 03 апреля 2018 года (см. п. 71, 73, 74).
Исходя из этого, в любой период времени, правильным является использование последней версии UserGate со всеми новейшими обновлениями. О выходе версии сообщено во ФСТЭК, и она передана в испытательную лабораторию для проведения испытаний. Обновления сертификатов, технических условий и формуляра происходит в установленным ФСТЭК порядке после окончания испытаний, информация об этом доводится до пользователей сертифицированного решения (сертификат ФСТЭК России и подробная информация доступны на сайте UserGate).

ОС Windows разрывает VPN-соединение

Задача

При подключении по VPN устройства c ОС Windows разрывают соединение.

Решение

Разрыв соединения происходит после получения системой отрицательного результата проверки доступности сети Интернет (для проверки доступности выполняется запрос на ресурс www.msftconnecttest.com).

Для решения проблемы добавьте разрешающее правило контентной фильтрации, указав зону источника, с которой происходит подключение пользователей по VPN.

Также можно на компьютере в свойствах VPN-подключения отключить использование основного шлюза в удалённой сети, тогда ОС Windows не будет выполнять разрыв соединения при отсутствии на NGFW разрешающего правила контентной фильтрации. В этом случае при VPN-подключении шлюз по умолчанию не изменится, а нужные маршруты будут получены компьютером от NGFW в соответствии с настройками VPN-сети.

Отсутствует доступ из локальной сети к ресурсам, опубликованным с помощью reverse-прокси, по внешнему URL

Задача

Из локальной сети нет доступа к ресурсам, опубликованным с использованием правил reverse-прокси, по внешнему URL.

Решение

Для обеспечения доступа пользователей локальной сети к ресурсам, опубликованным с помощью reverse-прокси, через адрес внешнего интерфейса необходимо:

  1. Создать правило межсетевого экрана, разрешающее соединение из зоны интерфейса UserGate, за которым находится локальная сеть, в зону интерфейса, к которому подключён сервер.
  2. Разрешить сервис Reverse-прокси на зоне интерфейса, к которому подключена локальная сеть.
  3. В настройках правила reverse-прокси добавить зону, которой принадлежит локальная сеть, в качестве зоны источника.
  4. Если локальная сеть и сервер находятся за одним интерфейсом, то не отмечайте чекбокс Сохранять адрес источника в настройках сервера reverse-прокси, в противном случае - настройте правило NAT для соединений из локальной сети.
ПримечаниеВ связи с изменениями данная инструкция неактуальна для версии 6.1.9.

Для обеспечения доступа к опубликованным ресурсам из локальной сети по внешнему URL для версии 6.1.9 необходимо на внутреннем DNS-сервере создать запись типа А, которая будет разрешать FQDN ресурса во внутренний IP-адрес сервера.

Низкая скорость передачи при Site-to-Site VPN

Задача

Настроен Site-to-Site VPN между двумя UserGate, маршруты до внутренних сетей прописаны. После подключения наблюдается низкая скорость передачи.

Решение

Необходимо сделать исключения защиты от DoS для адресов интерфейсов, которые используются для построения VPN-туннеля. Исключения добавляются в свойствах зоны, которой принадлежит интерфейс, в разделе Сеть ➜ Зоны.

VPN за UserGate

Вопрос

Можно ли развернуть VPN за UserGate, если на нём уже настроен VPN?

Ответ

Да, можно, если сервер за UserGate использует UDP-порты отличные от 500 и 4500 или на внешнем интерфейсе UserGate есть второй адрес.

На UserGate произведите следующие настройки:

  1. Создайте сервис, указав протоколы и порты, используемые разворачиваемым за UserGate сервером.
  2. Создайте правило DNAT и укажите созданный сервис.
Ошибка: Мало места на разделе для журналов

Задача

Возникает ошибка Мало места на разделе для журналов.

Решение

Данное сообщение информирует о превышении 92% занимаемого места от размера диска. Журналы автоматически ротируются, т.е. старые данные удаляются, освобождая место для записи новых. Место на диске освобождается небольшими блоками, поэтому данное сообщение будет периодически появляться.

Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.

ПримечаниеЗаписи журнала событий никогда не ротируются.

Если требуется хранить журналы за больший период времени, то можно добавить дополнительный диск или увеличить размер существующего диска на виртуальной машине. Далее необходимо выполнить перезагрузку UserGate; при загрузке в Support Menu необходимо выполнить увеличение раздела для журналов на весь выделенный диск (Expand log partition).

ПримечаниеЕсли NGFW подключён к Log Analyzer, то добавление дополнительного диска или увеличение размера существующего диска производится на LogAn.
Работа агента терминального сервера

Задача

У пользователя на терминальном сервере в браузере периодически появляется ошибка "Нет подключения к прокси серверу". С чем это может быть связано?

Решение

Терминальный сервер перехватывает запросы от каждого пользователя и назначает свой диапазон портов. По диапазону портов NGFW идентифицирует пользователей терминального сервера.

Терминальный сервер использует следующий диапазон портов: 5000 - 49000 (всего 44000 портов). Агент, по умолчанию, настроен на работу 50 пользователей, на каждого из которых выделяется 880 портов; если портов не хватает, то соединения не будут установлены. 

Проверьте журнал работы агента (файл entsagent в папке %ALLUSERSPROFILE%\Entensys\Terminal Server Agent\). Если есть сообщение not enought ports, то подключение не устанавливается из-за нехватки портов.

В настройках агента терминального сервера можно изменить количество пользователей, которые будут использовать агент терминального сервера. Если уменьшить количество пользователей, то на каждого пользователя будет выделено больше портов, и наоборот. Диапазон портов назначается пользователю после его регистрации на терминальном сервере, данная информация передаётся на NGFW. Освобождение диапазона происходит после прекращения сеанса работы в качестве зарегистрированного пользователя терминального сервера.

ПримечаниеВесь доступный диапазон портов делится на указанное число пользователей и, соответственно, каждому пользователю выделяется ограниченное количество портов.

Файл конфигурации tsagent.cfg находится в той же папке, что и журнал работы агента. Для указания количества пользователей измените параметр Maximum user count.

ПримечаниеЕсли выделяются порты для системной учетной записи, то в журнале формируется запись вида: user 'NT AUTHORITY\SYSTEM' port range 5000-5879.
ПримечаниеПосмотреть порты, используемые пользователем, можно в журнале веб-доствупа, сделав соответствующую выборку.

Если терминальных подключений много, то можно добавить на интерфейс сервера еще адрес (или несколько); при добавлении адреса количество доступных портов увеличивается в 2 раза.

Ошибка: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, во время согласований с удаленным компьютером

Задача

При попытке подключения к VPN отображается ошибка: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, во время согласований с удаленным компьютером.

Решение

На клиентском ПК проверьте:

  • параметр AssumeUDPEncapsulationContextOnSendRule в реестре должен принимать значение 2 (т.е. Windows может установить связи безопасности, когда сервер и клиентский компьютер находятся за устройствами NAT);
  • значение параметра HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\ProhibitIpSec должно принимать значение 0;
  • настройки безопасности адаптера:

ПримечаниеВ случае внесения изменений в реестр, компьютер необходимо перезагрузить.
Использование пула IP-адресов для NAT трансляции

Вопрос

Как правильно использовать пул IP адресов для NAT трансляции? 

Ответ

В настройках правила типа NAT укажите пул IP-адресов в виде диапазона адресов, которые будут использоваться для замены адреса источника при наттировании пакетов (поле SNAT IP).

Запись трафика на NGFW

Вопрос

Как настроить запись трафика на NGFW?

Ответ

Запись трафика осуществляется на вкладке Диагностика и мониторинг в разделе Сеть ➜ Захват пакетов.

Например, для записи трафика TCP с адреса 10.0.0.1, подключённого к port1, произведите следующие действия:

  1. На панели Фильтры произведите настройку фильтров:
  2. При настройке фильтра также можно указать порт источника/назначения.

  1. На панели Правила создайте правило захвата пакетов. При настройке укажите интерфейс NGFW, который используется для маршрутизации трафика (port1), и добавьте ранее созданный фильтр. Для начала/остановки записи трафика используйте соответствующие кнопки Начать запись/Остановить запись.
  2. Файл PCAP доступен для скачивания на панели Файл (по умолчанию панель скрыта; для отображения нажмите стрелочку в правом верхнем углу).
ПримечаниеЕсли в настройках фильтра указан только адрес источника или только назначения, то будет записываться трафик в одну сторону. 
Можно ли удалить записи журналов (событий, веб-доступа и т.д.)

Вопрос

Как выполнить очистку журналов (событий, веб-доступа и т.д.)?

Ответ

Журналы удалить невозможно, так как это требования информационной безопасности.

Возможность удаления журналов с устройства за определенный промежуток времени (или все сразу) позволяет скрыть нарушения безопасности. Управление журналами автоматизировано и не требует участия администратора, журналы циклически перезаписываются, обеспечивая необходимое для работы свободное дисковое пространство.

ПримечаниеЗаписи журнала событий никогда не ротируются.

Ротация записей журналов (всех, кроме журнала событий) происходит автоматически по критерию свободного пространства на данном разделе. При работе с большими дисками(более 100GB) критерий очистки установлен в 99% занятого места: удаляется раздел журналов с самыми старыми данными, освобождая место для записи новых. Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.

Чем отличаются варианты резервных копий в Support Menu

Вопрос

Что предполагают Backup full и Backup system only в Support Menu?

Ответ

Backup full предполагает создание полной копии диска UserGate. Для определения размера съёмного носителя можно посмотреть информацию в Дашборд, виджет Диски (сложить значения колонки "Занято"). Для сжатия данных используется gzip.

Backup system only создаёт полную копию только системного раздела UserGate с абсолютно всеми настройками, состоянием кластера и лицензией; раздел журналов не копируется.

ПримечаниеС версии 7.x.x доступно создание только полной копии диска UserGate: Create backup.
Некорректное отображение имен пользователей в журнале Web-доступа

Задача

Некорректно отображаются пользователи в журнале веб доступа.
Вместо корректного отображения имени пользователя, оно появляется в формате логина или имени АРМ, на котором пользователь работает.

Решение

Данный эффект может наблюдаться в случае если доменный адрес в настройках  сервера авторизации прописан некорректно. В этом случае ответ от LDAP-сервера содержит недопустимый по настройкам домен, что и приводит к описанному эффекту. Для устранения проблемы необходимо в настройках серверов авторизации на вкладке домены-LDAP добавить все допустимые в вашем контексте домены.

Можно ли отключить список DNSBL не удаляя его?

Вопрос

Можно ли отключить список DNSBL не удаляя его?

Ответ

Можно убрать галочку DNSBL проверка это не повлияет на список адресов в DNSBL, в дальнейшем ее можно включить обратно.

Также можно создать отдельное правило, с этой установленной галочкой. Правила можно отключать не удаляя их, через правую кнопку мыши

Где хранятся журналы после подключения LogAn

Вопрос

Где хранятся системные журналы после подключения NGFW к LogAn?

Ответ

После подключения LogAn, все сообщения отправляются на него. На NGFW в этом случае ничего не хранится.
При просмотре журналов на NGFW, они берутся с LogAn.

Не открываются сайты при включенном SSL-инспектировании

Задача

Не открываются сайты во всех браузерах кроме Yandex browser при включенном SSL-инспектировании. Необходимо сделать сайты доступными со всех браузеров.

Решение

Это ошибка, возможно, связана с применением браузерами механизма HSTS (в Yandex browser этот механизм по умолчанию отключен). Для решения проблемы необходимо почистить кэш браузера, в случае переносного оборудования. Либо, как вариант, заблокировать применение протокола QUIC браузерами.

Для Mozilla Firefox:

  1. Откройте страницу расширенных настроек браузера, написав в адресной строке about:config и нажав Enter.
  2. Скопируйте в строку поиска network.http.http3.enabled.
  3. измените значение опции на FALSE (означает, что поддержка HTTP/3 включена).

Для Google Chrome/Opera:

  1. Введите в адресную строку chrome://flags/ и перейдите по этому адресу (для Opera — opera://flags/).
  2. В поисковой строке открывшегося меню разработчиков введите Quic.
  3. Отключите пункт Experimental QUIC protocol, установив значение Disabled.
Использование нескольких идентичных контроллеров домена

Задача

Как сконфигурировать UserGate NGFW для использования нескольких контроллеров домена?

Решение

Создайте один коннектор контроллера домена и укажите в нем вместо FQDN контроллера домена сам домен. В этом случае обращение будет происходить по очереди к каждому контроллеру, указанному в зоне DNS, т.е. при недоступности первого контроллера произойдет обращение к следующему, пока не будет установлено соединение.

В случае недоступности части контроллеров домена с площадки, где работает NGFW,  следует добавить статическую запись в настройки DNS, где были бы указаны адреса доступных контроллеров, и использовать имя этой записи в коннекторе.

Как разрешить работу офисной SIP АТС через UserGate?

Задача

Необходимо разрешить работу офисной SIP АТС через VPN UserGate.

Решение

Для решения нужно разрешить загрузку модуля SIP в командной строке UserGate NGFW при помощи следующей команды:

UTM> device config -set module_sip_enabled true 

Ошибка: System is booting... LOM card present

Задача

На программно-аппаратных комплексах (ПАК) UserGate возникает ошибка System is booting... LOM card present; устройство зависает на этапе загрузки.

Решение

В случае возникновения ошибки выполните следующие действия:

1. Отключите питание на 5-10 минут. После включения ПАК должен загрузиться в штатном режиме, в противном случае, обратитесь в службу технической поддержки UserGate.

2. После загрузки ПАК, можно проверить версию IPMI, подключившись к DashBoard

Если версия отличается от представленной на рисунке, необходимо обновить версию IPMI.

Настройка работы AnyDesk

Задача

Необходимо настроить работу AnyDesk, используется инспектирование SSL.

Решение

Создайте список URL, содержащий запись (дословно, без кавычек): "AnyNet Relay", и добавьте этот список в исключения инспектирования SSL.

Примечание AnyDesk при запросе не отправляет SNI, а при TLS-соединении отправляет CN=AnyNet Relay.
Расписание типа Повторяющиеся события

Задача

Перестало работать правило с расписанием типа Повторящиеся события; отмечен чекбокс Весь день.

Решение

Для расписаний с типом повторения Повторяющиеся события присутствует ошибка в веб-интерфейсе управления UserGate. В настройках данного типа повторения наличие чекбокса Весь день является ошибочным, т.к. при его активации событие закончится в 00:00 и больше не повториться.

Для данного типа повторения пользователю необходимо указать интервал времени, в которое правило будет активно, и диапазон дат, т.е., чтобы правило работало весь день, можно указать период с 00:00 по 23:59, тогда правило не будет работать только 1 минуту в день. Чтобы правило работало весь день рекомендуется использовать интервал типа Диапазон времени.

Как добавить сетевые адаптеры к UserGate (Virtual Appliance)?

Задача

Необходимо добавить сетевые интерфейсы в виртуальную машину.

Решение

После добавления сетевых интерфейсов на виртуальной машине необходимо перезагрузиться и при загрузке в Boot Menu выбрать пункт Support menu  Refresh NIC names, подробнее об этой и других служебных утилитах читайте в cоответствующем разделе руководства администратора.

Внимание!VMware присваивает MAC-адреса в определенном порядке, а в устройствах UserGate (Virtual Appliance) сортировка интерфейсов производится по возрастанию MAC-адресов. Поэтому после выполнения Refresh NIC names необходимо проверить соответствие MAC-адресов в настройках VMWare и на устройстве UserGate. В случае необходимости, измените в настройках виртуальной машины подключение сетевых адаптеров к виртуальным сетям.
Экспорт/импорт политик UserGate через CLI
ПримечаниеЭкспорт и импорт правил с использованием CLI доступен с версии 7.0.0.

Импорт доступен в следующих разделах:

  • Сеть: правила DNS;
  • Пользователи и устройства: правила captive-портала;
  • Политики сети: правила межсетевого экрана, NAT и маршрутизации, пропускной способности;
  • Политики безопасности: правила фильтрации контента, веб-безопасности, инcпектирования туннелей, инспектирования SSL, инcпектирования SSH, защиты почтового трафика, ICAP, защиты DoS, системы обнаружения и предотвращения вторжений, сценарии;
  • Глобальный портал: правила веб-портала и reverse-прокси;
  • VPN: серверные и клиентские правила.

Указанные выше правила настраиваются с использованием UserGate Policy Language (UPL), подробную информацию о котором вы можете найти в соответствующем разделе руководства администратора.

Рассмотрим экспорт и импорт правил на примере правил межсетевого экрана. На NGFW созданы следующие правила:

ПримечаниеПравила созданы для демонстрации примера.
ПримечаниеПосле выполнения импорта все существующие правила раздела будут заменены на импортированные.

1. Для редактирования правила могут быть сохранены в файл конфигурации или скопированы из интерфейса командной строки. В обоих вариантах используется подключение к интерфейсу командной строки по SSH.

Для сохранения правил в файл, например, fw_config.cfg, выполните следующую команду:

ssh Admin@IP_ADDRESS -p 2200 show network-policy firewall >fw_config.cfg

где Admin - имя администратора;

      IP_ADDRESS - адрес интерфейса UserGate.

Введите пароль учетной записи администратора, файл со списком правил будет сохранён на вашем устройстве.

Для копирования правил из интерфейса командной строки подключитесь к CLI по SSH:

ssh Admin@IP_ADDRESS -p 2200

где Admin - имя администратора;

      IP_ADDRESS - адрес интерфейса UserGate.

Подключение по SSH необходимо для возможности копирования правил.

ПримечаниеКоманды выполняются в режиме конфигурации.

Для перехода в режим конфигурации используйте следующую команду:

Admin@UGOS> configure

Отобразите в CLI правила раздела, которые необходимо выгрузить:

Admin@UGOS# show network-policy firewall

ПримечаниеИспользуйте Tab или ? для просмотра текущих возможных значений или автодополнения.

Также действия над правилами могут быть выполнены после перехода на уровень раздела, в таком случае не нужно указывать уровень для каждой команды:

Admin@UGOS# edit network-policy firewall
    
[ network-policy firewall ]
Admin@UGOS# show

Результат выполнения команды:

[ network-policy firewall ]
Admin@UGOS# show
% ----------------- 1 -----------------
DENY \
    src.zone = Trusted \
    enabled(true) \
    id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
    name(web1)
% ----------------- 2 -----------------
DENY \
    src.zone = DMZ \
    dst.zone = Untrusted \
    enabled(true) \
    id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
    name(web2)
% ----------------- 3 -----------------
PASS \
    enabled(true) \
    id("4e537010-322e-45e8-a1e1-7390f2300bce") \
    name(web3)

2. Скопируйте правила для редактирования; используйте, например, текстовый редактор. 

ПримечаниеНе копируйте строку с позицией первого правила.

Отредактируйте необходимые параметры правила. Для примера изменим названия правил на cli1, cli2 и cli3, соответственно:

DENY \
    src.zone = Trusted \
    enabled(true) \
    id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
    name(cli1)
% ----------------- 2 -----------------
DENY \
    src.zone = DMZ \
    dst.zone = Untrusted \
    enabled(true) \
    id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
    name(cli2)
% ----------------- 3 -----------------
PASS \
    enabled(true) \
    id("4e537010-322e-45e8-a1e1-7390f2300bce") \
    name(cli3)

3. Импортируйте правила. Выделите и скопируйте правила в редакторе. Перейдите в CLI, введите команду import upl-rule и вставьте скопированные правила:

[ network-policy firewall ]
Admin@UGOS# import upl-rule DENY \
...     src.zone = Trusted \
...     enabled(true) \
...     id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
...    name(cli1)
... % ----------------- 2 -----------------
... DENY \
...     src.zone = DMZ \
...     dst.zone = Untrusted \
...     enabled(true) \
...     id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
...     name(cli2)
... % ----------------- 3 -----------------
... PASS \
...     enabled(true) \
...     id("4e537010-322e-45e8-a1e1-7390f2300bce") \
...     name(cli3)
...
[ network-policy firewall ]
Admin@UGOS# 

4. Проверьте изменения в CLI:

[ network-policy firewall ]
Admin@UGOS# show
    
% ----------------- 1 -----------------
DENY \
    src.zone = Trusted \
    enabled(true) \
    id("082ed6ed-20b6-4c93-921a-047eb9ff40a4") \
    name(cli1)
% ----------------- 2 -----------------
DENY \
    src.zone = DMZ \
    dst.zone = Untrusted \
    enabled(true) \
    id(f5f08dbd-019f-490a-8cfa-342c34a348fa) \
    name(cli2)
% ----------------- 3 -----------------
PASS \
    enabled(true) \
    id(b5ad3589-98d4-4911-8cf2-9590d0f3f4ea) \
    name(cli3)

или веб-интерфейсе:

Сотрудничество с ФинЦЕРТ

Задача

Интеграция с центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).

Решение

Компания UserGate сотрудничает с ФинЦЕРТ: информация синхронизируется со списком IP-адресов бот-сетей и списком URL фишинговых сайтов.

Поддерживается ли технология VxLAN в UserGate NGFW

Вопрос

Поддерживается ли технология VxLAN в UserGate NGFW?

Ответ

Да, UserGate NGFW может обрабатывать трафик, получаемый из удаленной сети и упакованный посредством технологии VxLAN.

Использование групп и пользователей LDAP в политиках безопасности, настраеваемых на Management Center

Задача

Добавление групп/пользователей LDAP в настройках правил в шаблонах управляемых устройств.

Решение

Начиная с версии Management Center 7.x.x для возможности использования групп и пользователей LDAP в политиках безопасности UserGate, настраиваемых в шаблонах управляемых устройств (шаблоны NGFW и конечных устройств), необходимо корректно настроить LDAP-коннектор в разделе Центр управления ➜ Каталоги пользователей консоли управления областью. Подробнее о настройке каталогов пользователей читайте в разделе Каталоги пользователей.

ПримечаниеДля NGFW: серверы аутентификации, настраиваемые в шаблонах, не будут отображены в свойствах правил в списке LDAP-серверов и, следовательно, не могут быть использованы для указания пользователей. 

Ошибка подключения: не удалось найти имя хоста или домена

Задача

Часто возникают проблемы с открытием сайтов - Ошибка подключения: не удалось найти имя хоста или домен.

Решение

Ошибка такого типа может возникать в случае, когда UserGate не может разрешить доменное имя, на которое происходит обращение при явно указанном прокси. Это означает, что какие-то из DNS-серверов, указанных в настройках, работают неустойчиво.

Серверы некоторых интернет-провайдеров могут отвечать ошибкой на запросы, поступающие с адресов другого провайдера. Проверку можно произвести в разделе Сеть ➜ Запрос DNS вкладки Диагностика и мониторинг (подробнее читайте в разделе Запрос DNS).

Для использования таких серверов необходимо настроить правила типа Policy-based routing (PBR), которые будут перенаправлять трафик на эти серверы через шлюзы соответствующего провайдера. Чтобы эти правила были применены к запросам, генерируемым UserGate, не указывайте зону источника трафика, т.е. не должно быть отмечено ни одной зоны - зона Любая. Подробнее о настройке правил PBR читайте в разделе Policy-based routing.

Также возможен вариант использования публичных DNS-серверов, отвечающих на запросы вне зависимости от используемого провайдера.

Настройка сервисов на UserGate 6.x.x

Задача

Необходимо создать сервис без указания порта назначения.

Решение

При создании сервиса на UserGate 6.x.x указание порта назначения является обязательным. Указание всего диапазона портов (0-65535) никак не скажется на работе правил.

ПримечаниеПри настройке сервисов на UserGate 7.x.x указание портов назначения не является обязательным.
Как расширить системный раздел устройства UserGate 7.x.x

Задача

Необходимо расширить системный раздел узла UseGate v7.x.

Решение

Для расширения системного раздела с сохранением конфигурации и данных узла UserGate необходимо выполнить следующие шаги:

  1. Средствами гипервизора добавить новый диск необходимого размера в свойствах виртуальной машины UserGate.

  2. В меню загрузки узла UserGate войти в раздел Support menu:

  1. В открывшемся разделе выбрать Expand data partition и запустить процесс расширения системного раздела:

  1. После завершения процесса расширения загрузить узел и в разделе Дашборд  Диски проверить размер системного раздела:

Низкая скорость передачи данных в туннеле Site-to-Site VPN между двумя устройствами UserGate

Задача

Настроен Site-to-Site VPN между двумя устройствами UserGate. При установке соединения в направлении КЛИЕНТ- СЕРВЕР наблюдается низкая скорость и нестабильная работа туннеля; при соединениях СЕРВЕР - КЛИЕНТ проблем не наблюдается.

Решение

Одной из возможных причин такого поведения может быть фрагментация пакетов. Если пакеты, передаваемые через VPN-туннель, превышают максимальный размер MTU на любом из промежуточных устройств, они могут быть разделены на фрагменты. Это может привести к увеличению задержки и потере производительности. Путем установки оптимального значения MTU на туннельном интерфейсе можно избежать фрагментации и снизить задержку.
Значение MTU на туннельных интерфейсах, созданных по умолчанию и предназначенных для соединения Site-to-Site VPN, по умолчанию установлено 1420 байт. Требуется уменьшить значение MTU до 1384.
Редактирование свойств интерфейса производится в разделе: Сеть ➜ Интерфейсы.

ПримечаниеВажно отметить, что при изменении MTU на туннельных интерфейсах необходимо убедиться, что все устройства на пути передачи данных поддерживают выбранное значение MTU.
Как настроить правила аналитики Log Analyzer SIEM

Задача

Используя Log Analyzer, настроить правило аналитики для поиска срабатываний правил защиты от DoS-атак и автоматического добавления адреса источника атаки в список блокируемых адресов на группу NGFW.

Решение

Раздел Аналитика UserGate Log Analyzer предоставляет функциональность SIEM. Наличие SIEM позволяет с использованием правил аналитики производить анализ событий безопасности, получаемых с настроенных сенсоров, и определять методы реагирования на них.

В данном примере будет рассмотрена настройка правила аналитики для группы NGFW, которое срабатывает при получении события о срабатывании правила защиты DOS на одном NGFW и отсылает команду на добавление IP-адреса источника в предварительно созданный на всех NGFW список адресов, который уже используется в правилах межсетевого экрана (МЭ) для блокировки нежелательных соединений.  Данная конфигурация работает в режиме Prevent защиты.

Примечание Правило аналитики сработает после того, как условие, в нашем случае это нахождение в журнале срабатывания правила защиты от DoS, выполнится указанное количество раз. Опционально можно ограничить время выполнения условия, тогда правило аналитики сработает только в случае, если условие выполнится заданное количество раз за указанный отрезок времени.
  1. Создать список IP-адресов на NGFW.
    В разделе Библиотеки ➜ IP-адреса на панели Группы нажать на кнопку Добавить, дать название списку IP-адресов, например,  Blocked_addresses.
    Выполнить аналогичную настройку на каждом из NGFW в группе.

  2. Создать правила МЭ на NGFW.
    В разделе Политики сети ➜ Межсетевой экран создать запрещающие правила, используя созданный ранее список Blocked_addresses в качестве адреса источника. 
    Выполнить аналогичную настройку на каждом из NGFW в группе.


    Подробнее о настройке правил читайте в разделе Межсетевой экран.

  3. Создать правило защиты DoS на NGFW.
    В разделе Политики безопасности ➜ Правила защиты DoS нажать на кнопку Добавить, создать правило с действием Защитить и включить журналирование.
    Выполнить аналогичную настройку на каждом из NGFW в группе.


    Подробнее о настройке правил защиты DOS читайте в соответствующем разделе руководства администратора.

  4. Подключить NGFW к LogAn.
    В разделе Сенсоры ➜ Сенсоры UserGate нажать на кнопку Добавить, указать параметры NGFW.
    Выполнить аналогичную настройку на каждом из NGFW в группе.


    Подробнее о подключении NGFW к LogAn читайте в разделе Сенсоры.

  5. Создать список команд на LogAn.
    На LogAn перейти в раздел Библиотеки ➜ Команды и создать группу команд (на панели Группы команд нажать Добавить и указать название). На панели Команды нажать Добавить и указать название и следующий текст команды (синтаксис команды аналогичен синтаксису команд CLI NGFW):

    set libraries ip-list Blocked_addresses ips + [ {SRC_IP} ]

    Данная команда будет отправлена на NGFW в качестве действия реагирования на срабатывание правила аналитики. При написании команды использована переменная SRC_IP — адрес источника, который при отправке команды добавляет IP-адрес источника в список IP-адресов Blocked_addresses, созданный ранее на NGFW.

  6. Создать коннектор на LogAn.
    На LogAn в разделе Сенсоры ➜ Koннекторы нажать Добавить и указать свойства коннектора:

  • Имя: название коннектора;

  • Тип сервера: SSH;

  • Адрес сервера: IP;

  • IP-адрес: IP-адрес NGFW;

  • Порт: порт сервера;

  • Логин: логин пользователя для авторизации на коннекторе;

  • Пароль: пароль учётной записи пользователя, необходимый для авторизации на коннекторе;

  • Группа команд: группа команд, созданная на п.5.



Выполнить аналогичную настройку на каждом из NGFW в группе.

  1. Создать действие реагирования на LogAn.
    Действие реагирования также может быть создано при настройке правила аналитики во вкладке Действия реагирования (нажать Создать и добавить новый объект).

    Перейти во вкладку Аналитика веб-интерфейса Log Analyzer. Во вкладке Действия реагирования нажать Добавить и указать свойства действия реагирования:
  • Во вкладке Общие указать параметры:

    • поставить флажок Включено;

    • Название правила реагирования;

    • Действие: Послать команду на коннектор — отправка команды на выбранный коннектор.

  • Во вкладке Действие добавить коннектор, созданный на шаге 6, и выбрать команду на добавления нового адреса в список Blocked_addresses. В появившемся поле Параметры указать {SOURCE_IP} в качестве значения переменной SRC_IP, использующейся в команде. Полный список переменных, относящихся к срабатываниям, смотрите в разделе Переменные для уведомлений и команд.

  1. Настроить правило аналитики.

    Перейти во вкладку Аналитика веб-интерфейса Log Analyzer. В разделе Правила аналитики нажать Добавить и указать следующие параметры:

  • Во вкладке Общие:

    • поставить флажок Включено;

    • Название правила аналитики;

    • Уровень угрозы, который будет отображаться при срабатывании правила;

    • Приоритет, установленный для срабатывания правила аналитики;

    • Категория срабатывания, к которой относится срабатывание.

  • Во вкладке Условия:

    • Название условия правила аналитики;

    • Запрос фильтра: указать rule = "DoS_rule_1" and action = deny (где DoS_rule_1 — название правила защиты DoS, созданного в п.3);

    • Группировать по отображает список параметров, по которым могут быть сгруппированы правила и события в результате срабатывания; указать IP источника (указание параметра группировки обязательно);

    • Повторений шаблона: количество выполнений условия, необходимое для срабатывания правила. Данный параметр может быть использован совместно с параметром Ограничить время выполнения условия или без него.

  • Во вкладке Действия реагирования выбрать созданное в п.7 действие реагирования.

За более детальной информацией по настройкам раздела Аналитика можно обратиться в руководство администратора Log Analyzer.

Настройка сервиса XML-RPC

Задача

Разрешить сервис XML-RPC только с определенных IP-адресов, выполняющих запросы по API. 

Решение

Доступ к API разрешается в профиле администратора и может быть ограничен по адресу источника. Для обеспечения доступа с определенных IP-адресов в свойствах сетевой зоны необходимо настроить сервис XML-RPC.

Примечание На MC и LogAn сервис XML-RPC по умолчанию отображается в свойствах сетевой зоны.

Для того, чтобы отображался сервис на зоне NGFW, необходимо:

  1. Открыть NGFW веб-консоль администратора таким образом: https://<usergate_ip>:8001/?features=zone-xml-rpc. 
  2. В настройках нужной зоны активировать сервис "XML-RPC для управления".

  1. В параметре Разрешенные адреса нажать Любой и добавить требуемый IP-адрес .

Настройка защиты от DoS для трафика reverse-прокси

Задача

Необходимо настроить защиту от DoS-атак для веб-сервера, опубликованного через reverse-прокси.

Решение

ПримечаниеВ версиях 6.1.8, 6.1.9, 7.0.1 присутствуют проблемы в работе правил защиты DoS для трафика reverse-прокси.
ПримечаниеПравилами межсетевого экрана нельзя ограничить доступ к ресурсам, опубликованным через reverse-прокси.

Для версий NGFW, в которых есть проблемы с работой правил защиты от DoS, для защиты ресурсов, опубликованных через reverse-прокси, можно использовать следующий вариант: перенаправить нежелательный трафик на несуществующий адрес. Для этого необходимо произвести следующие настройки:

1. Создать два правила DNAT для нежелательного трафика (трафик от бот-сетей и адресов, не принадлежащих российскому пространству):

  • в первом правиле в качестве адреса источника выбрать GeoIP Russian Federation и отметить чекбокс Инвертировать, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4;

  • во втором правиле в качестве адреса источника выбрать список IP-адресов Список бот-сетей, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4.

ПримечаниеВажно создавать 2 правила, т.к. при указании в одном условии списков IP-адресов и GeoIP применяется логика "И" - для срабатывания правила адрес источника должен находится в обоих списках.

2. Создать статический маршрут типа blackhole, в качестве адреса назначения указать 1.2.3.4/32.

В соответствии с Packet Flow (подробнее читайте в UserGate NGFW 6 Packet Flow) правила DNAT сработают раньше правил reverse-прокси и перенаправят нежелательный трафик blackhole.

Подключение агентов аутентификации для Windows из разных подсетей

Задача

Организовать соединение между агентами аутентификации, установленными в разных сегментах сети, и сервером UserGate в кластере отказоустойчивости Актив-Пассив, используя один адрес назначения.

Решение

Для указания адреса интерфейса UserGate, на который приходят запросы агента аутентификации для Windows, используется параметр "ServerIP". NGFW принимает пакет только в том случае, если указанный в настройках агента адрес назначения ("ServerIP") совпадает с адресом интерфейса, куда пакет пришел; если IP-адрес принадлежит другому интерфейсу NGFW, то пакет будет отброшен.

Для отправки пакетов со всех интерфейсов в один адрес назначения, принадлежащий одному интерфейсу NGFW, необходимо настроить правила DNAT.

Адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса). "ServerIP" должен быть виртуальный, поэтому интерфейсы узлов должны быть в разных зонах (узлы разные, на одном сегменте сети одна зона). Необходимо настроить по 2 правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.

Для того чтобы  использовать один адрес назначения для разных подсетей, необходимо произвести следующие настройки:

  1. Перейдите в раздел Сеть ➜  Зоны и создайте разные зоны для подсетей с пользователями. 

  1. Перейдите в раздел Сеть ➜ Интерфейсы, установите корректные IP-адреса, соответствующие вашим сетям, и назначьте зоны интерфейсам.

  1. Перейдите в раздел Политики сети ➜ NAT и маршрутизация. Поменяйте адрес назначения правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса). Адрес должен быть не виртуальным, поэтому интерфейсы узлов должны быть в разных зонах.

Создайте правило DNAT согласно инструкции, подробнее в разделе Политики сети

  1. Перейдите в раздел Политики сети ➜ Межсетевой экран,  в случае если пользователям локальных подсетей требуется в выход в интернет, создайте правило межсетевого экрана указав зоны, присвоенные подсетям.

  1. Установите агент аутентификации согласно инструкции  Агент аутентификации для Windows

  1. Перейдите в раздел Журналы и отчеты ➜ Журнал трафика. В окне журнала будут отражены активные соединения между ПК и NGFW и записи об аутентификации пользователей.

В случае использования кластера отказоустойчивости Актив-Актив: адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса), но адрес должен быть не виртуальный, а физический, поэтому интерфейсы узлов должны быть в разных зонах (у каждого интерфейса своя зона). Должно быть создано по два правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.

Периодические разрывы VPN соединений.

Задача

Периодические разрывы VPN соединений.

Решение

Начиная с версии 6.1.9.12030R для устранения возможных разрывов подключения VPN клиента Windows к UserGate, необходимо в настройках профиля безопасности VPN на устройстве UserGate для первой фазы установить значение "Интервала проверки dead peer detection"(DPD) равным 0.
Если подключение успешно проходит, но в последствии соединение все равно разрывается, необходимо обратиться в отдел технической поддержки и подготовить записанный трафик с начала сессии и лог для анализа.

Долгая загрузка устройства

Симптомы

Очень долго загружается устройство UserGate.

Решение

Долгая загрузка устройства может быть  связана с тем что в настройках сервера авторизации (и не только) адрес сервера указан как FQDN. Если при этом присутствуют проблемы с доступом к DNS серверу, UserGate будет пытаться разрешить FQDN имя и ожидать пока закончится timeout обращения к DNS серверу. Следует проверить доступность сервера DNS и возможность разрешения FQDN имени(и его корректность), также сам сервер авторизации, на который ссылается FQDN имя должен быть доступен.

Почему UserGate посылает DNS-запросы для разрешения URL-адреса из списка угроз

Вопрос

Почему UserGate посылает DNS-запросы для разрешения URL-адреса из списка угроз?

Ответ

UserGate для обеспечения безопасности недостаточно знать URL-адреса потенциально опасных ресурсов, необходимо также знать актуальные IP-адреса этих ресурсов. Данные об актуальных адресах хранятся в DNS-кэше, и, когда истекает время жизни DNS-записи, UserGate делает запрос к системным DNS-серверам для обновления  записи.

ПримечаниеВ кластере отказоустойчивости сервисы DNS автономны, т. е. работают независимо на каждом узле кластера, поэтому DNS-кэш они обновляют независимо. Но при добавлении нового адреса в списки URL DNS-запись будет добавлена в кэш на каждом узле кластера.
Некорректная работа виртуальной машины с ПО UserGate при использовании динамических MAC-адресов

Проблема

В случае использования динамической выдачи MAC-адресов сетевым интерфейсам UserGate в системах виртуализации, при выдаче системой новых MAC-адресов нарушается сетевое взаимодействие с UserGate, т. к. адреса на устройстве не обновляются. При этом на UserGate сбрасываются сетевые адреса и маршрут по умолчанию.

Решение

В UserGate не реализован механизм автоматического получения динамических MAC-адресов. Во избежание подобных проблем рекомендуется закрепить за сетевыми адаптерами виртуальной машины UserGate статические MAC-адреса.

Какие версии UserGate сертифицированы ФСТЭК?

Вопрос

Какие версии UserGate сертифицированы ФСТЭК?

Ответ

Сертификат ФСТЭК относится к решению в целом, а не к его конкретной версии. UserGate в должном порядке вносит изменения в свое сертифицированное средство защиты информации, как это предусмотрено Приказом ФСТЭК №55 от 03 апреля 2018 года (см. п.п. 71, 73, 74 - https://minjust.consultant.ru/files/39437). Исходя из этого в любой период времени правильным является применение последней версии UserGate со всеми новейшими обновлениями. О выходе версии сообщено во ФСТЭК, и она передана в испытательную лабораторию для проведения испытаний. Обновления сертификатов, технических условий и формуляра происходит в установленным ФСТЭК порядке после окончания испытаний, информация об этом доводится до пользователей сертифицированного решения.