ПО UserGate Client (UGC) является компонентом экосистемы UserGate SUMMA. С помощью UserGate Client вы можете централизованно управлять парком конечных устройств. Установка UGC на компьютеры пользователей позволяет получать информацию о состоянии устройств, например, такую как, загрузка процессора, критические события, произошедшие на устройстве, журналы различных сервисов, журналы и оповещения от антивирусных продуктов и т. п. Объем информации, получаемой с конечных устройств UGC, будет постоянно расширяться.

Телеметрическая информация, журналы ОС и другие данные о безопасности конечных устройств передаются в системы сбора и анализа событий (UserGate LogAn и UserGate SIEM) и могут быть использованы для автоматического реагирования на угрозы безопасности.

ПО UserGate Client разработано для операционных систем Windows и Linux.

Работа UserGate Client в связке с UserGate NGFW

Регистрация конечных устройств и проверка на соответствие требованиям безопасности на UserGate NGFW возможна только с версией UserGate Client для Windows.

Взаимодействие между конечными устройствами и UserGate NGFW происходит по порту 4045 с использованием протокола HTTPS.

Регистрация конечного устройства происходит после подключения устройства к UserGate NGFW по VPN. При первом подключении конечное устройство проверяет корректность сертификата, указанного на UserGate NGFW для установки SSL-соединения, запоминает сертификат и далее использует его для проверки.

ПримечаниеЕсли сертификат был изменен, то необходимо распространить корневой сертификат удостоверяющего центра (Root CA) на подключенные конечные устройства; сертификат должен быть установлен в хранилище доверенных корневых центров сертификации локального компьютера.

После регистрации каждому новому конечному устройству присваивается уникальный идентификатор, который хранится в базе UserGate NGFW. Тайм-аут активности конечных устройств составляет 2 минуты, т.е., если в течение 2-х минут на UserGate NGFW не поступает информация от конечного устройства, то оно считается неактивным. После истечения трёх периодов неактивности запись о конечном устройстве удаляется из базы; при повторном подключении конечное устройство будет зарегистрировано. Если конечное устройство будет подключено до истечения этого времени, то его запись будет обновлена.

После подключения к другому VPN-серверу, конечное устройство будет зарегистрировано на новом UserGate NGFW.

Проверка HIP на UserGate NGFW

Проверка на соответствие требованиям безопасности (комплаенса) происходит по следующей схеме:

Конечное устройство отправляет на UserGate NGFW:

информацию о пользователях;
данные о системе (версия, издание, netbios-имя);
список запущенных процессов;
список запущенных служб;
список установленного программного обеспечения (название, вендор, версия);
ключи реестра, которые используются в HIP объектах;
список обновлений системы;
элементы автозагрузки;
информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т.п.);
информацию о точках восстановления системы.

Полученные от конечного устройства данные расшифровываются и передаются для сравнения с HIP-профилями. Информация о результате проверки передается далее для использования в правилах межсетевого экрана. Если конечное устройство подходит под все условия правила межсетевого экрана, то это правило становится активным для данного конечного устройства.

ПримечаниеЕсли OC конечного устройства присылает некорректную задвоенную информацию об установленном одинаковом антивирусном ПО с различными статусами (один со статусом включен, другой — выключен), то при проверке HIP учитывается наихудший случай (антивирус выключен). Статус обновления баз антивирусного ПО проверяется только для включенного антивируса.

Регистрация конечного устройства на UserGate NGFW

Подключение конечного устройства к UserGate NGFW происходит в автоматическом режиме после подключения к VPN-серверу, данные которого вводятся в начальном окне графического интерфейса приложения. Встроенный в ПО UserGate Client VPN-клиент использует следующие настройки для установки соединения VPN:

режим IKE (при использовании IKEv1): основной;
Dead Peer Detection (DPD): режим On idle.
группы Диффи-Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096;
пары алгоритмов аутентификации и шифрования (фазы 1 и 2): SHA1/AES128, SHA256/AES128, SHA384/AES128, SHA1/AES256, SHA256/AES256, SHA384/AES256, SHA1/3DES, SHA256/3DES, SHA384/3DES;
максимальный размер данных, шифруемых одним ключом (фаза 2): не ограничен.

ПримечаниеЕсли конечное устройство подключено к UserGate МС, перерегистрации на UserGate NGFW после установки VPN-соединения не произойдет.

ПримечаниеДля работы с конечными устройствами UserGate Client необходимо наличие лицензии. В случае отсутствия соответствующей лицензии регистрации конечного устройства на UserGate NGFW не произойдет; будет установлено только VPN-соединение.

ПримечаниеВ режиме ожидания (idle), активируется проверка доступности соседнего узла при отсутствии трафика IPsec в туннеле. Согласно настройке по умолчанию DPD будет выполняться каждые 15 секунд, 5 раза. В общей сложности через полторы минуты без ответов DPD вторая сторона будет считаться недоступной и соединение будет разорвано.

Для подключения конечного устройства необходимо:

Наименование

Описание

Шаг 1. Разрешить подключение конечных устройств на зоне.

На зоне, используемой для VPN-подключений разрешить сервис Подключение конечных устройств.

Шаг 2. Указать данные для установки SSL-соединения между конечным устройством и UserGate NGFW.

В разделе UserGate ➜ Настройки укажите сертификат и профиль для установки SSL-соединения. При подключении конечное устройство будет проверять валидность сертификата. В случае смены сертификата на UserGate NGFW при наличии уже подключенных конечных устройств необходимо распространить корневой сертификат удостоверяющего центра (Root CA); сертификат необходимо поместить в хранилище локального компьютера Доверенные корневые центры сертификации.

Для взаимодействия конечного устройства и UserGate NGFW используется порт TCP 4045.

Шаг 3. Настроить UserGate NGFW в качестве VPN-сервера.

Настройте VPN на UserGate NGFW, к которому будет подключено конечное устройство. После установки VPN-соединения регистрация конечного устройства произойдет автоматически. Политики безопасности, настроенные на UserGate NGFW, также будут применены к конечным устройствам.

Важно! Для проверки на соответствие требованиям безопасности (комплаенса) конечное устройство будет отправлять телеметрию на UserGate NGFW с периодичностью в 1 минуту.

Конечное устройство будет производить попытку регистрации каждый раз после подключения к новому VPN-серверу.

ПримечаниеВстроенный в ПО UserGate Client VPN-клиент предполагает подключение только к серверам, настроенным на UserGate NGFW.

ПримечаниеДля подключения по IKEv2 не заполняйте поле Passphrase. При установке соединения приложение выполнит запрос к VPN-серверу и, в случае его корректной настройки, автоматически определит способ подключения (по сертификату или логину/паролю).