Политики безопасности, правила межсетевого экрана, правила веб-безопасности и многие другие возможности UserGate NGFW могут быть применены к пользователям или группам пользователей. Возможность применения политик только к тем пользователям, которым это необходимо, позволяет администратору гибко настроить свою сеть в соответствии с потребностями организации.

Идентификация пользователя — это базисная функция NGFW. Пользователь считается идентифицированным, если система однозначно связала пользователя с IP-адресом устройства, с которого пользователь подключается к сети. NGFW использует различные механизмы для идентификации пользователей:

• Идентификация по явно указанному IP-адресу

• Идентификация по имени и паролю

• Идентификация пользователей терминальных серверов Microsoft с помощью специального агента терминального сервиса

• Идентификация пользователей с помощью агента авторизации (для Windows-систем)

• Идентификация с помощью протоколов NTLM, Kerberos

Идентификация пользователей по имени и паролю возможна через Captive-портал, который, в свою очередь, может быть настроен на идентификацию пользователей с помощью каталогов Active Directory, Radius, TACACS+, NTLM, Kerberos или локальной базы пользователей.

NGFW определяет следующие типы пользователей:

Пользователи и группы пользователей могут быть заведены на самом устройстве NGFW — это так называемые локальные пользователи и группы или могут быть получены с внешних каталогов, например, Microsoft Active Directory.

Серверы аутентификации — это внешние источники учетных записей пользователей, например, LDAP-сервер, или серверы, производящие аутентификацию для NGFW, например, RADIUS, TACACS+, Kerberos, SAML. Система поддерживает следующие типы серверов аутентификации:

Серверы аутентификации RADIUS, TACACS+, NTLM, SAML могут осуществлять только аутентификацию пользователей, в то время как LDAP-коннектор позволяет также получать информацию о пользователях и их свойствах.

Captive-портал позволяет авторизовать неизвестных пользователей (Unknown users) с помощью методов авторизации с использованием каталогов Active Directory, Radius, TACACS+, SAML IDP, Kerberos, NTLM или локальной базы пользователей. Кроме этого, с помощью Captive-портала можно настроить самостоятельную регистрацию пользователей с подтверждением идентификации через SMS или e-mail.

Следует помнить, что:

• Идентифицированные пользователи, например, у которых в свойствах пользователя явно указан IP-адрес, идентифицированные с помощью агентов авторизации терминальных серверов или для систем Windows, не авторизуются на Captive-портале. Такие пользователи уже относятся к типу Known users и не требуют дополнительной идентификации.

• Авторизация с помощью Captive-портала возможна только для протоколов HTTP и HTTPS. Например, если вы создали правило межсетевого экрана, разрешающее доступ в интернет по протоколу FTP только для пользователя Known users, то пользователи не смогут получить доступ в интернет по этому протоколу до тех пор, пока они не станут идентифицированными, то есть не запустят у себя браузер и не пройдут авторизацию на Captive-портале.

• Для авторизации пользователей, работающих по протоколу HTTPS, необходимо настроить инспектирование SSL, иначе авторизация работать не будет.

• Если Captive-портал использует метод авторизации Active Directory, то пользователь должен указывать в качестве логина свое доменное имя в формате DOMAIN\username или username@domain.

Настройка Captive-портала сводится к следующим шагам:

Создание методов авторизации подробно рассматривалось в предыдущих главах. Рассмотрим более подробно создание Captive-профиля и правил Captive-портала.

Чтобы создать Captive-профиль, необходимо в разделе Captive-профили нажать на кнопку Добавить и указать необходимые параметры:

Для настройки самостоятельной регистрации пользователей с подтверждением пароля с помощью SMS или e-mail необходимо настроить параметры на вкладке Регистрация гостевых пользователей. Следует помнить, что в этом случае необходимо использовать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth).

Чтобы создать правило Captive-портала, необходимо нажать на кнопку Добавить в разделе Captive-портал и указать необходимые параметры:

Таким образом, создав несколько правил Captive-портала, можно настроить различные политики идентификации пользователей для различных зон, адресов, категорий сайтов и времени.

В случае, если необходимо сменить пользователя после его авторизации в системе или выйти из системы, необходимо перейти на URL http://logout.captive и нажать на кнопку Выйти.

Терминальный сервер служит для удаленного обслуживания пользователя с предоставлением рабочего стола или консоли. Как правило, один терминальный сервер предоставляет свой сервис нескольким пользователям, а в некоторых случаях десяткам или даже сотням пользователей. Проблема идентификации пользователей терминального сервера состоит в том, что у всех пользователей сервера будет определен один и тот же IP-адрес, и NGFW не может корректно идентифицировать сетевые подключения пользователей. Для решения данной проблемы предлагается использование специального агента терминального сервиса. Каждому пользователю выделяется диапазон портов, с использованием которых происходит соединение пользователя, т.е. исходные порты подменяются на порты из выделенного для пользователя диапазона.

Агент терминального сервиса должен быть установлен на все терминальные серверы, пользователей которых необходимо идентифицировать. Агент представляет собой сервис, который передает на UserGate NGFW информацию о пользователях терминального сервера и об их сетевых соединениях. В силу специфики работы протокола TCP/IP, агент терминального сервиса может идентифицировать трафик пользователей, передаваемый только с помощью TCP и UDP протоколов. Протоколы, отличные от TCP/UDP, например, ICMP, не могут быть идентифицированы.

Для корректной идентификации пользователей, в случае использования на терминальных серверах авторизации Active Directory, требуется настроенный сервер Active Directory коннектор.

Чтобы начать работу с аутентификацией пользователей на терминальных серверах, необходимо выполнить следующие шаги:

UserGate теперь будет получать информацию о пользователях.

Агент терминального сервера позволяет аутентифицировать не только доменных, но и локальных пользователей терминального сервера. Для этого необходимо добавить в файл конфигурации (%ALLUSERSPROFILE%\Entensys\Terminal Server Agent\tsagent.cfg) следующий параметр:

LocalDomain = 1

После изменения файла конфигурации сервис терминального агента нужно перезапустить.

Таких пользователей также необходимо добавить в NGFW как локальных. О добавлении пользователей читайте в разделе Пользователи. При добавлении необходимо указать Логин в формате: «имя компьютера_имя пользователя»; пароль указывать не нужно.

Параметры терминального сервера могут быть изменены путём внесения изменений в файл конфигурации агента аутентификации для терминальных серверов. После внесения изменений агент аутентификации необходимо перезапустить.

Ниже представлен список параметров файла tsagent.cfg:

• TimerUpdate: периодичность отправки данных (указывается в секундах).

• MaxLogSize: максимальный размер журнала работы сервиса (указывается в Мбайт).

• SharedKey: пароль для подключения агента.

• SystemAccounts: может принимать значения 0 или 1. При значении параметра SystemAccounts=1 включает передачу информации о соединениях системных аккаунтов (system, local service, network service) и портах, используемых для соединения, на NGFW.

• FQDN: может принимать значения 0 или 1. Значение параметра FQDN=1 соответствует использованию FQDN (Fully Qualified Domain Name), например, «example.com» вместо «example».

• ServerPort: номер порта NGFW, принимающего соединение от агента авторизации. По умолчанию используется порт UDP:1813.

• ServerAddress: IP-адрес устройства UserGate, принимающего соединение от агента аутентификации.

• UserCount: максимальное количество пользователей.

• BlockDNS: может принимать значения 0 или 1. При BlockDNS=1 происходит замена порта источника на свободный порт из выделенного для пользователя диапазона при DNS запросе (UDP:53); при BlockDNS=0 — отправка трафика происходит без замены порта.

• BlockUDP: может принимать значения 0 или 1. Значение параметра BlockUDP=1 соответствует замене порта источника на свободный порт из выделенного для пользователя диапазона при отправке трафика UDP; при BlockUDP=0 — отправка трафика происходит без замены порта.

• ExcludeIP: в случае, если на терминальном сервере настроены несколько IP-адресов, то все они будут использованы для аутентификации пользователей. Параметр ExcludeIP позволяет ограничить аутентификацию пользователей с определённых IP-адресов терминального сервера:

  • IP-адреса в формате x.x.x.x и/или адреса подсетей в формате x.x.x.x/n указываются через точку с запятой (например, ExcludeIP=x.x.x.x/n; x.x.x.x ).

  • Допускается использование пробелов между адресами в списке, они игнорируются (например, ExcludeIP=x.x.x.x/n; x.x.x.x;y.y.y.y ).

  • Если в строке есть ошибки в написании адресов, они будут отражены в логах при старте агента. Будут использованы только правильно указанные адреса. Количество используемых адресов из списка записывается в лог при старте агента.

  • Если в результате фильтрации будут исключены все адреса из рассылки, то делается запись в лог (один раз) в виде: GetIPAddressList: IP list is blocked by ExceptIP. Если позже будет сформирована непустая рассылка, то делается запись в лог в виде: GetIPAddressList: IP list is not blocked by ExceptIP anymore.

• ExcludePorts: диапазон, порты из которого не будут подменяться на порты из выделенного для пользователя диапазона портов (диапазон портов указывается следующим образом: ExcludePorts=port1-port2).

• NAT_IP: необходим при наличии NAT между терминальным сервером и UserGate: замена IP-адреса терминального сервера на один из адресов указанного диапазона. Адреса указываются в следующем виде: NAT_IP="12.3.4-1.1.1.1;2.2.2.2-5.5.5.5".

Для исключения из рассылки определенных адресов и/или подсетей терминальным агентом помимо добавления параметра ExcludeIP в файл конфигурации tsagent.cfg он может быть активирован и в реестре сервера следующим образом:

• Добавлен в качестве строкового параметра в ветку реестра Windows [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client]. В этом случае настройки параметра будут действовать только для данного пользователя.  

• Добавлен в качестве строкового параметра в ветку реестра  Windows [HKEY_LOCAL_MACHINE\Software\Policies\Entensys\Auth Client]. В этом случае настройки параметра будут действовать для всех пользователей данной системы.  

Порядок поиска настроек параметра ExcludeIP в системе следующий: сначала параметр ищется в ветке реестра [HKEY_LOCAL_MACHINE\Software\Policies\Entensys\Auth Client], затем в ветке реестра [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client], затем в файле tsagent.cfg.

Мультифакторная аутентификация — это метод идентификации и аутентификации пользователя, где используются два или более различных типа идентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.

NGFW поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации и следующих типов в качестве второго:

• TOTP (Time-based One Time Password) токена в качестве второго. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром; более подробно о TOTP можно прочитать в https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например, Google Authenticator.

• SMS — получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в NGFW или в доменной учетной записи в Active Directory.

• Email — получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в NGFW или в доменной учетной записи в Active Directory.

Чтобы настроить мультифакторную аутентификацию, необходимо выполнить следующие действия:

Для способа доставки MFA через TOTP необходимо указать следующие параметры:

В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать данного пользователя в списке пользователей (Пользователи и устройства ➜ Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей авторизации пользователю будет предложено заново проинициализировать свой токен.

Для способа доставки MFA через SMS необходимо указать следующие параметры:

Для способа доставки MFA через email необходимо указать следующие параметры:

Описание

Предназначен, для осуществления прозрачной аутентификации на выбранных устройствах NGFW. В качестве источника данных аутентификации используются журналы ActiveDirectory(посредством протокола WMI) и Syslog(посредством стандартизированного протокола syslog RFC 3164, RFC 5424, RFC 6587).

Схема работы

Данные для осуществления прозрачной авторизации берутся из журналов ActiveDirectory(AD) и\или Syslog. Для этого агент UserID осуществляет запросы посредством протокола WMI на сервера AD, а в случае с syslog, осуществляет прослушивание порта syslog (по умолчанию tcp\514) и сбор информации, которую присылают сервера syslog. Далее информация фильтруется по событиям входы\выхода, и заносится в Базу Данных.

UserID агент периодически делает запрос в Базу Данных для поиска событий входов\выходов пользователей. Поиск происходит только среди записей, полученных при помощи источников UserID, то есть другие записи (полученные через WMI sensors, Endpoints, Log collector) игнорируются. По полученным данным происходит поиск пользователя в каталогах пользователей источника логов. Если пользователь найден, то данные для авторизации пользователя отправляются на все устройства NGFW, указанные в Профиле редистрибуции источника и производится вход пользователя на NGFW. Таким образом производится авторизация пользователя на всех указанных устройствах. В случае выхода пользователя, ситуация аналогична(за исключением WMI-коннектора, там данные о выходе пользователя сейчас не обрабатываются). Информация о входе\выходе\ошибке сохраняется в журнал UserID.

Настройка

В общем случае для настройки сбора информации с источников необходимо выполнить следующее:

 При настройке агента необходимо заполнить следующие поля:

Microsoft Active Directory

В случае, если в качестве источника информации выступает Microsoft Active Directory необходимо:

При использовании серверов AD в качестве источников событий NGFW выполняет WMI-запросы для поиска событий, связанных с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627). Периодичность выполнения запросов регулируется настройками агента UserID (параметр Интервал опроса). Найденные события отображаются во вкладке Журналы и отчёты, в разделе Журналы → Агент UserID → Журнал Windows Active Directory.
При добавлении источника событий типа Microsoft Active Directory необходимо указать следующие данные:

Для выполнения WMI-запросов необходимо создать пользователя с соответствующими привилегиями по процедуре, указанной ниже.

Создание пользователя с разрешениями Windows Management Instrumentation (WMI)

Процедура создания и конфигурация пользователя на сервере Windows с разрешениями для просмотра WMI.

1. Создать учетную запись пользователя:

• Перейти в меню Windows Пуск —> Администрирование —> Управление компьютером. Откроется окно Управление компьютером.

• Раскрыть Локальные пользователи и группы.

• Нажать правой кнопкой мыши по папке Пользователи и выбрать Новый пользователь.

• Задать подробности пользователя и нажать кнопку Создать, а затем Закрыть.

2. Сконфигурировать членство в группах для новой учетной записи пользователя:

• В окне Управление компьютером выбрать папку Пользователи.

• Нажать правой кнопкой мыши по новой учетной записи пользователя и выбрать Свойства.

• Нажать на вкладку Членство в группах.

• Нажать Добавить.—> Дополнительно —> Поиск.

• Выбрать следующие группы:

  • Пользователи DCOM

  • Пользователи журналов производительности

  • Пользователи удаленного рабочего стола

• Нажимать OK, пока вы не вернетесь в окно Управление компьютером.

• Выбрать Файл —> Выход, чтобы закрыть окно Управление компьютером.

3. Назначить права Distributed Component Object Model (DCOM):

• Перейти в меню Windows Пуск —> Администрирование —> Службы компонентов. Откроется окно Службы компонентов.

• Раскрыть Службы компонентов —> Компьютеры —> Мой компьютер.

• Нажать правой кнопкой мыши по Мой компьютер и выбрать Свойства. Откроется окно Свойства: Мой компьютер.

• Перейти во вкладку Безопасность COM.

• В области Права доступа нажать Изменить ограничения.

• Убедиться, что для Пользователи COM выбрано Локальный доступ и Удаленный доступ.

• Нажать OK, чтобы сохранить настройки.

• В окне Свойства: Мой компьютер нажать в области Разрешения на запуск и активацию на Изменить ограничения.

• Убедиться, что для Пользователи COM выбрано Локальный запуск, Удаленный запуск, Локальная активация и Удаленная активация.

• Нажать OK, чтобы сохранить настройки, и еще раз нажать OK, чтобы закрыть окно Свойства: Мой компьютер.

• Выбрать Файл —> Выход, чтобы закрыть окно Службы компонентов.

4. Сконфигурировать назначения защиты пространства имен WMI:

• Перейти в меню Windows Пуск —> Выполнить.

• Ввести wmimgmt.msc и нажать OK.

• Нажать правой кнопкой мыши на Элемент управления WMI (локальный) и выбрать Свойства.

• перейти на вкладку Безопасность.

• Нажать Безопасность —> Добавить —> Дополнительно —> Поиск.

• Выбрать новую учетную запись пользователя, нажимать OK, пока вы не вернетесь в окно Безопасность для Root.

• Нажать Дополнительно и выбрать добавленную учетную запись пользователя.

• Нажать Изменить.

• В меню Применять выбрать Данное пространство и подпространство имен.

• Убедиться, что выбрано Выполнение методов, Включить учетную запись, Включить удаленно и Прочесть безопасность.

• Нажимать OK, пока вы не вернетесь в окно wmimgmt.

• Выбрать Файл —> Выход, чтобы закрыть окно wmimgmt.

Syslog

Для настройки источника событий необходимо выполнить следующие действия:

При добавлении источника событий типа Syslog необходимо указать следующие параметры:

 Найденные события отображаются во вкладке Журналы и отчёты, в разделе Журналы →  Агент UserID →  Syslog.

NGFW может прозрачно аутентифицировать пользователей, уже прошедших аутентификацию на внешнем сервере RADIUS. NGFW не взаимодействует с сервером RADIUS, а только отслеживает информацию RADIUS accounting, перенаправленную от RADIUS клиента. RADIUS accounting содержит информацию об имени и IP-адресе пользователя. Для настройки нужно выполнить следующие шаги:

После выполнения данной настройки, NGFW будет сопоставлять имя пользователя и присылаемый сервером RADIUS accounting IP-адрес пользователя. В зависимости от передаваемой информации NGFW будет вести себя следующим образом:

ПО UserGate Client (UGC) является компонентом экосистемы UserGate SUMMA, которое позволяет администратору централизованно управлять парком управляемых устройств. Установка UGC на компьютеры пользователей позволяет получать с них информацию о состоянии устройств, например, такую как, загрузка процессора, критические события, произошедшие на устройстве, журналы различных сервисов, журналы и оповещения от антивирусных продуктов и т.п. Объем информации, получаемой с управляемых устройств UGC, будет постоянно расширяться.

Благодаря использованию ПО UserGate Client администратор может произвести гибкую настройку политик безопасности с помощью правил межсетевого экрана, позволяющих фильтровать трафик на основе адреса источника/назначения, пользователей, сервисов, списков и категорий URL, приложений и типов контента.

Телеметрическая информация, журналы Windows и другие данные о безопасности конечных устройств передаются в систему анализа событий LogAn и могут быть использованы для автоматического реагирования на угрозы безопасности.

На данный момент ПО UserGate Client может быть установлено на пользовательский компьютер под управлением ОС Windows 7/8/10/11 со следующими минимальными требованиями к системе: от 2 ГБ оперативной памяти, процессор с тактовой частотой не ниже 2 ГГц и 200 Мб свободного пространства на жестком диске. В дальнейшем планируется расширение списка платформ, для которых будет доступно использование ПО UserGate Client.

UserGate Client в связке с NGFW

Общение конечных устройств с NGFW производится по порту 4045 с использованием протокола HTTPS.

Регистрация конечного устройства происходит после подключения устройства к NGFW по VPN. При первом подключении конечное устройство проверяет валидность сертификата, указанного на NGFW для установки SSL-cоединения, запоминает сертификат и далее использует его для проверки.

После регистрации каждому новому конечному устройству присваивается уникальный идентификатор, который хранится в базе NGFW. Тайм-аут активности конечных устройств составляет 2 минуты, т.е., если в течение 2-х минут на NGFW не поступает информация от конечного устройства, то оно считается неактивным. После истечения трёх периодов неактивности запись о конечном устройстве удаляется из базы; при повторном подключении конечное устройство будет зарегистрировано. Если конечное устройство будет подключено до истечения этого времени, то его запись будет обновлена.

После подключения к другому VPN-серверу, конечное устройство будет зарегистрировано на новом NGFW.

Проверка HIP на NGFW

Проверка на соответствие требованиям безопасности (комплаенса) происходит по следующей схеме:

Конечное устройство отправляет на NGFW:

• информацию о пользователях;

• данные о системе (версия, издание, netbios имя);

• список запущенных процессов;

• список запущенных служб;

• список установленного программного обеспечения (название, вендор, версия);

• ключи реестра, которые используются в HIP объектах;

• список обновлений системы;

• элементы автозагрузки;

• информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т.п.);

• информацию о точках восстановления системы.

Полученные от конечного устройства данные расшифровываются и передаются для сравнения с HIP профилями. Информация о результате проверки передается далее для использования в правилах межсетевого экрана. Если конечное устройство подходит под все условия правила межсетевого экрана, то это правило становится активным для данного конечного устройства.

Регистрация конечного устройства на NGFW

Подключение конечного устройства к NGFW происходит в автоматическом режиме после подключения к VPN-серверу, данные которого вводятся в начальном окне графического интерфейса приложения. Встроенный в ПО UserGate Client VPN-клиент использует следующие настройки для установки соединения VPN:

• режим IKE (при использовании IKEv1): основной;

•  Dead Peer Detection (DPD): режим On idle.

• группы Диффи-Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096;

• пары алгоритмов аутентификации и шифрования (фазы 1 и 2): SHA1/AES128, SHA256/AES128, SHA384/AES128, SHA1/AES256, SHA256/AES256, SHA384/AES256, SHA1/3DES, SHA256/3DES, SHA384/3DES;

• максимальный размер данных, шифруемых одним ключом (фаза 2): не ограничен.

Для подключения конечного устройства необходимо:

Конечное устройство будет производить попытку регистрации каждый раз после подключения к новому VPN-серверу.