Зона в LogAn — это логическое объединение сетевых интерфейсов. Политики безопасности LogAn используют зоны интерфейсов, а не непосредственно интерфейсы.
Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона Интернет-интерфейсов, зона интерфейсов управления.
По умолчанию UserGate LogAn поставляется со следующими зонами:
Наименование
Описание
Management
Зона для подключения доверенных сетей, из которых разрешено управление LogAn.
Trusted
Зона для подключения доверенных сетей, например, LAN-сетей. Предполагается, что через зону Trusted LogAn будет подключен в сеть, через которую межсетевые экраны UserGate будут отсылать на него журналы, а также через которую LogAn получит доступ в Интернет.
Для работы LogAn достаточно одного настроенного интерфейса. Разделение функций управления устройством и сбора данных на разные сетевые интерфейсы рекомендовано для обеспечения безопасности, но не является жестким требованием.
Администраторы LogAn могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.
ПримечаниеМожно создать не более 255 зон.
Для создания зоны необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Создать зону
Нажать на кнопку Добавить и дать название зоне.
Шаг 2. Настроить параметры защиты зоны от DoS (опционально)
Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Порог уведомления — при превышении количества запросов с одного IP-адреса над указанным значением происходит запись события в системный журнал.
Порог отбрасывания пакетов — при превышении количества запросов с одного IP-адреса над указанным значением LogAn начинает отбрасывать пакеты, поступившие с этого IP-адреса, и записывает данное событие в системный журнал.
Рекомендованные значения для порога уведомления — 300 запросов в секунду, для порога отбрасывания пакетов — 600 запросов в секунду.
Исключения защиты от DoS — позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для шлюзов UserGate, которые могут слать большой объем данных на сервера LogAn.
Шаг 3. Настроить параметры контроля доступа зоны (опционально)
Указать предоставляемые LogAn сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как Интернет, рекомендуется отключить все сервисы.
Сервисы:
Ping — позволяет пинговать LogAn.
SNMP — доступ LogAn по протоколу SNMP (UDP 161).
XML-RPC для управления — позволяет управлять продуктом по API (TCP 4040).
Консоль администрирования — доступ к веб-консоли управления (TCP 8010).
CLI по SSH — доступ к узлу для управления им с помощью CLI (command line interface), порт TCP 2200.
Агент аутентификации — доступ к узлу для работы сервиса RADIUS accounting.
Log Analyzer — сервис анализатора журналов Log Analyzer. Необходимо разрешить на зонах, с которых LogAn будет получать данные от серверов UserGate (TCP 1269).
Сборщик логов — сервис для разрешения получения информации с удалённых устройств по протоколу Syslog (по умолчанию используется порт TCP 514).
Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально)
Атаки на основе IP-спуфинга позволяют передать пакет из одной сети, например, из Trusted, в другую, например, в Management. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес необходимой сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес.
Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников отличных от указанных будут отброшены.
С помощью флага Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0./16 и включить опцию Инвертировать.