ПО UserGate Client (UGC) является компонентом экосистемы UserGate SUMMA, которое позволяет администратору централизованно управлять парком управляемых устройств. Установка UGC на компьютеры пользователей позволяет получать с них информацию о состоянии устройств, например, такую как, загрузка процессора, критические события, произошедшие на устройстве, журналы различных сервисов, журналы и оповещения от антивирусных продуктов и т.п. Объем информации, получаемой с управляемых устройств UGC, будет постоянно расширяться.

Благодаря использованию ПО UserGate Client администратор может произвести гибкую настройку политик безопасности с помощью правил межсетевого экрана, позволяющих фильтровать трафик на основе адреса источника/назначения, пользователей, сервисов, списков и категорий URL, приложений и типов контента.

Телеметрическая информация, журналы Windows и другие данные о безопасности конечных устройств передаются в систему анализа событий LogAn и могут быть использованы для автоматического реагирования на угрозы безопасности.

На данный момент ПО UserGate Client может быть установлено на пользовательский компьютер под управлением ОС Windows 7/8/10/11 со следующими минимальными требованиями к системе: от 2 ГБ оперативной памяти, процессор с тактовой частотой не ниже 2 ГГц и 200 Мб свободного пространства на жестком диске. В дальнейшем планируется расширение списка платформ, для которых будет доступно использование ПО UserGate Client.

ПримечаниеПод конечными устройствами будет подразумеваться пользовательский компьютер с установленным ПО UserGate Client.

UserGate Client в связке с NGFW

Общение конечных устройств с NGFW производится по порту 4045 с использованием протокола HTTPS.

Регистрация конечного устройства происходит после подключения устройства к NGFW по VPN. При первом подключении конечное устройство проверяет валидность сертификата, указанного на NGFW для установки SSL-cоединения, запоминает сертификат и далее использует его для проверки.

ПримечаниеЕсли сертификат был изменен, то необходимо распространить корневой сертификат удостоверяющего центра (Root CA) на подключенные конечные устройства; сертификат должен быть установлен в хранилище доверенных корневых центров сертификации локального компьютера.

После регистрации каждому новому конечному устройству присваивается уникальный идентификатор, который хранится в базе NGFW. Тайм-аут активности конечных устройств составляет 2 минуты, т.е., если в течение 2-х минут на NGFW не поступает информация от конечного устройства, то оно считается неактивным. После истечения трёх периодов неактивности запись о конечном устройстве удаляется из базы; при повторном подключении конечное устройство будет зарегистрировано. Если конечное устройство будет подключено до истечения этого времени, то его запись будет обновлена.

После подключения к другому VPN-серверу, конечное устройство будет зарегистрировано на новом NGFW.

Проверка HIP на NGFW

Проверка на соответствие требованиям безопасности (комплаенса) происходит по следующей схеме:

Конечное устройство отправляет на NGFW:

информацию о пользователях;
данные о системе (версия, издание, netbios имя);
список запущенных процессов;
список запущенных служб;
список установленного программного обеспечения (название, вендор, версия);
ключи реестра, которые используются в HIP объектах;
список обновлений системы;
элементы автозагрузки;
информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т.п.);
информацию о точках восстановления системы.

Полученные от конечного устройства данные расшифровываются и передаются для сравнения с HIP профилями. Информация о результате проверки передается далее для использования в правилах межсетевого экрана. Если конечное устройство подходит под все условия правила межсетевого экрана, то это правило становится активным для данного конечного устройства.

ПримечаниеЕсли OC конечного устройства присылает некорректную задвоенную информацию об установленном одинаковом антивирусном ПО с различными статусами (один со статусом включен, другой — выключен), то при проверке учитывается наихудший случай (антивирус выключен). Статус обновления баз антивирусного ПО проверяется только для включенного антивируса.

Регистрация конечного устройства на NGFW

Подключение конечного устройства к NGFW происходит в автоматическом режиме после подключения к VPN-серверу, данные которого вводятся в начальном окне графического интерфейса приложения. Встроенный в ПО UserGate Client VPN-клиент использует следующие настройки для установки соединения VPN:

режим IKE (при использовании IKEv1): основной;
Dead Peer Detection (DPD): режим On idle.
группы Диффи-Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096;
пары алгоритмов аутентификации и шифрования (фазы 1 и 2): SHA1/AES128, SHA256/AES128, SHA384/AES128, SHA1/AES256, SHA256/AES256, SHA384/AES256, SHA1/3DES, SHA256/3DES, SHA384/3DES;
максимальный размер данных, шифруемых одним ключом (фаза 2): не ограничен.

ПримечаниеЕсли конечное устройство подключено к UGМС, перерегистрации на NGFW после установки VPN-соединения не произойдет.

ПримечаниеДля работы с конечными устройствами UserGate Client необходимо наличие лицензии. В случае отсутствия соответствующей лицензии регистрации конечного устройства на NGFW не произойдет; будет установлено только VPN-соединение.

ПримечаниеВ режиме ожидания (idle), активируется проверка доступности соседнего узла при отсутствии трафика IPsec в туннеле. Согласно настройке по умолчанию DPD будет выполняться каждые 15 секунд, 5 раза. В общей сложности через полторы минуты без ответов DPD вторая сторона будет считаться недоступной и соединение будет разорвано.

Для подключения конечного устройства необходимо:

Наименование

Описание

Шаг 1. Разрешить подключение конечных устройств на зоне.

На зоне, используемой для VPN-подключений разрешить сервис Подключение конечных устройств.

Шаг 2. Указать данные для установки SSL-соединения между конечным устройством и NGFW.

В разделе UserGate ➜ Настройки укажите сертификат и профиль для установки SSL-соединения. При подключении конечное устроство будет проверять валидность сертификата. В случае смены сертификата на NGFW при наличии уже подключенных конечных устройств необходимо распространить корневой сертификат удостоверяющего центра (Root CA); сертификат необходимо поместить в хранилище локального компьютера Доверенные корневые центры сертификации.

Для взаимодействия конечного устройства и NGFW используется порт TCP 4045.

Шаг 3. Настроить NGFW в качестве VPN-сервера.

Настройте VPN на NGFW, к которому будет подключено конечное устройство. После установки VPN-соединения регистрация конечного устройства произойдет автоматически. Политики безопасности, настроенные на NGFW, также будут применены к конечным устройствам.

Важно! Для проверки на соответствие требованиям безопасности (комплаенса) конечное устройство будет отправлять телеметрию на NGFW с периодичностью в 1 минуту.

Конечное устройство будет производить попытку регистрации каждый раз после подключения к новому VPN-серверу.

ПримечаниеВстроенный в ПО UserGate Client VPN-клиент предполагает подключение только к серверам, настроенным на UserGate NGFW.

ПримечаниеДля подключения по IKEv2 не заполняйте поле Passphrase. При установке соединения приложение выполнит запрос к VPN-серверу и, в случае его корректной настройки, автоматически определит способ подключения (по сертификату или логину/паролю).