База знаний

База Знаний

Быстрый старт

UserGate 6.x

Устранение неполадок

UserGate 7.x Рекомендуемые решения

NGFW 7.x

Конфигурирование

Взаимодействие со сторонними системами

Установка и обновление

Публикация ресурсов с помощью UserGate

Политики безопасности

Создание и применение профилей СОВ

Применение профилей СОВ/L7 для трафика DNAT

Management Center 7.x

Log Analyzer 7.x

Документация

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Применение профилей СОВ/L7 для трафика DNAT

ID статьи: 1571

Последнее обновление: 08 ноя, 2024

Содержание:

KnowledgeBase:

Product: NGFW

Version: 7.1.x

Technology: IDPS

Начиная с версии ПО 7.1.0 профили СОВ и приложений (L7) применяются в разрешающих правилах межсетевого экрана.

Правила DNAT срабатывают до правил межсетевого экрана. Таким образом, для анализа трафика, прошедшего трансляцию DNAT с помощью СОВ или L7, необходимо в разрешающем правиле из зоны Untrusted в защищаемую зону или к публикуемому серверу добавить профили СОВ и/или приложений.

После попадания под разрешающее правило с профилями СОВ и/или приложений, трафик начинает анализироваться с помощью сигнатур профилей. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в системном журнале, если была включена опция журналирования.

Если ни одна из сигнатур в профиле СОВ не сработала, то трафик пропускается дальше.

В профиле приложений в явном виде настраивается действие для неидентифицированного трафика. Если ни одна из сигнатур профиля приложений не сработала, выполняется настроенное действие для неидентифицированного трафика.

Рассмотрим пример применения профилей СОВ/L7 для трафика DNAT.

Схема тестовой сети выглядит следующим образом:

У межсетевого экрана UserGate (NGFW) настроены две зоны — Trusted и Untrusted. Интерфейс port1 в зоне Trusted имеет IP-адрес 192.168.1.1, интерфейс port2 в зоне Untrusted — IP-адрес 172.16.1.1. За межсетевым экраном в зоне Trusted находится сервер с IP-адресом 192.168.1.2. Сервер публикуется в зону Untrusted через DNAT с IP-адресом 172.16.1.80. Из зоны Untrusted к серверу обращается атакующий компьютер Intruder_pc с IP-адресом 172.16.1.2.

Настройка NGFW

На NGFW необходимо создать правило DNAT, правило межсетевого экрана и профили СОВ/приложений, содержащих необходимый набор сигнатур.

Создание правила DNAT

Для публикации сервера из зоны Trusted в зону Untrusted необходимо создать правило DNAT.

В свойствах правила необходимо указать тип трансляции адреса (DNAT), внешний IP-адрес с которым публикуется в зону Untrusted сервер (SNAT IP), включить журналирование для отображения событий в журнале трафика:

В качестве зоны источника трафика указать зону Untrusted:

В качестве адреса назначения указать публикуемый IP-адрес сервера (172.16.1.80):

В качестве адреса назначения DNAT указать IP-адрес сервера в зоне Trusted:

Создание профиля СОВ

В библиотеке элементов создадим профиль СОВ IDPS for DNAT, который будет использоваться в данном примере. Добавим в этот профиль тестовую сигнатуру BlackSun Test с id 999999:

Во вкладке профиля Совпавшие сигнатуры переопределим действие на срабатывание этой сигнатуры. Действие по умолчанию Пропустить заменим на Отбросить:

Настройка правила межсетевого экрана

Создадим разрешающее правило межсетевого экрана, указав в качестве зоны источника трафика — зону Untrusted, а в качестве адреса назначения — адрес сервера 192.168.1.2.

В свойствах правила необходимо указать действие правила (Разрешить), включить журналирование для отображения событий в журнале трафика:

В качестве адреса назначения указать IP-адрес сервера 192.168.1.2:

Проверка работы

Пример 1. Без применения профилей СОВ/L7

Для начала проверим работу схемы без применения профилей СОВ/L7.

На сервере для эмуляции работы запустим встроенный пакет python:

server:~$ python3 -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...

На компьютере Intruder_pc создадим файл bs.txt и поместим в него строку со словом "blacksun", на которую реагирует соответствующая тестовая сигнатура СОВ:

intruder_pc:~$ echo "blacksun" > bs.txt

Передадим содержимое файла в утилиту nc, которая установит TCP-сессию с http-сервером по порту 8000 и отправит ему данную строку:

intruder_pc:~$ cat bs.txt | nc 172.16.1.80 8000

Intruder_pc получит ответ от сервера:

intruder_pc:~$ cat bs.txt | nc 172.16.1.80 8000
<!DOCTYPE HTML>
<html lang="en">
    <head>
        <meta charset="utf-8">
        <title>Error response</title>
    </head>
    <body>
        <h1>Error response</h1>
        <p>Error code: 400</p>
        <p>Message: Bad request syntax ('blacksun').</p>
        <p>Error code explanation: 400 - Bad request syntax or unsupported method.</p>
    </body>
</html>

В файле трассировки трафика можно увидеть, что сегмент со строкой "blacksun" успешно дошел до публикуемого сервера:

Срабатывание правил DNAT и межсетевого экрана отображается в журнале трафика NGFW:

Пример 2. C применением в правиле МЭ профиля СОВ

Добавим в созданное ранее правило межсетевого экрана профиль СОВ:

Для этого в свойствах правила межсетевого экрана на вкладке Общие необходимо указать созданный ранее профиль СОВ IDPS for DNAT:

Снова установим сессию со стороны Intruder_pc:

intruder_pc:~$ cat bs.txt | nc 172.16.1.80 8000
▮

Ответ от сервера в этом случае не пришел.

В файле трассировки трафика можно увидеть, что сегмент со строкой "blacksun" был заблокирован NGFW. В трафике зоны Trusted его нет, а в трафике зоны Untrusted видны повторяющиеся попытки передать данный сегмент:

Срабатывание правил DNAT и межсетевого экрана отображается в журнале трафика NGFW:

В журнале СОВ отображается срабатывание профиля СОВ, который был включен в правило МЭ:

Пример 3. C применением в правиле МЭ профилей СОВ и L7

В данном примере к DNAT-трафику будут применены как профиль СОВ, так и профиль приложений (L7). При этом для демонстрации работы обоих профилей одновременно профиль приложений будет детектировать используемое приложение и пропускать его трафик, а профиль СОВ будет блокировать.

Создадим профиль приложений (профиль L7), который будет добавлен в наше правило межсетевого экрана.

Предварительно создадим тестовую пользовательскую сигнатуру приложения для детектирования нашего приложения (протокол TCP, порт 8000):

При создании профиля приложений добавим в него созданную сигнатуру TCP 8000 (id = 1050002) и установим действие Отбросить для приложений, которые не были определены в этом профиле:

Действие на срабатывание сигнатуры по умолчанию останется Пропустить:

Добавим в созданное ранее правило межсетевого экрана профиль приложений L7 for DNAT:

Для этого в свойствах правила межсетевого экрана на вкладке Общие необходимо указать созданный ранее профиль приложений L7 for DNAT:

Снова установим сессию со стороны Intruder_pc:

intruder_pc:~$ cat bs.txt | nc 172.16.1.80 8000
▮

Ответ от сервера в этом случае не пришел.

В файле трассировки трафика наблюдается то же, что и в Примере 2 — сегмент со строкой "blacksun" был заблокирован NGFW. В трафике зоны Trusted его нет, а в трафике зоны Untrusted видны повторяющиеся попытки передать данный сегмент:

Срабатывание правил DNAT и межсетевого экрана отображается в журнале трафика NGFW. Здесь же отображено срабатывание сигнатуры профиля приложений (приложение определено как TCP 8000) и выполнено действие, определенное в профиле (Пропустить):