UserID — технология прозрачной аутентификации пользователей на устройствах LogAn/NGFW. Источниками данных для однозначной идентификации пользователей являются журналы безопасности операционных систем доменных контроллеров, данные журналов серверов приложений и доступа, в которых пользователи уже аутентифицированы.

Для того, чтобы создавать политики, включающие пользователей и группы, межсетевому экрану необходимо сопоставить IP-адреса с пользователями, получившими эти адреса и извлечь информацию о группах, в которые они входят. UserID предоставляет несколько методов, позволяющие выполнить такое сопоставление. Например, для получения информации о пользователях UserID может просматривать журналы на серверах в поисках сообщений от служб аутентификации. Те пользователи, чьи имена не удалось сопоставить с IP-адресами, могут быть перенаправлены на специальный портал (Captive Portal) для прохождения аутентификации. Для получения информации о группах межсетевой экран подключается напрямую к серверам LDAP.

В настоящий момент в качестве источников данных для аутентификации в UserID используются журналы Microsoft ActiveDirectory, данные syslog или сообщения RADIUS accounting (начиная с версии ПО 7.2.0). 

Для конечных пользователей работа UserID полностью прозрачна, то есть пользователям нет необходимости в явном виде проходить аутентификацию на NGFW.

Принцип работы UserID

В зависимости от сценария использования и настройки UserID получает данные о событиях, связанных с аутентификацией пользователей, одним из следующих способов:

1. Непосредственное получение данных узлом с UserID-агентом от источников данных аутентификации с помощью настроенных коннекторов:

• UserID-агент может подключаться к контроллеру домена AD через технологию WMI и считывать журналы событий безопасности.

• UserID-агент может принимать со сторонних серверов сообщения по стандарту syslog.

• UserID-агент может принимать со сторонних RADIUS NAS-серверов сообщения RADIUS accounting.

2. Работа c источником данных через посредника — специального программного агента, который устанавливается на контроллер домена или сервер сборщика событий домена (WEC):

• Программный агент UserID для AD/WEC устанавливается на контроллер домена (AD) или сервер сборщика событий домена (WEC), читает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает её в формате syslog на коллектор UserID на LogAn (подробнее об агенте читайте в статье UserID-агент для AD/WEC ).

Главные достоинства данного способа получения данных из домена AD:

• Не требуется предоставлять доступ извне в контроллер домена для сбора данных об аутентификации пользователей, как это необходимо при доступе по технологии WMI.

• Не требуется создавать в домене специальный аккаунт с особыми привилегиями для узлов, на которых работает UserID-агент.

 Рассмотрим принцип работы технологии UserID на примере сценария взаимодействия с Active Directory в качестве источника данных для аутентификации пользователей через технологию WMI.

На контроллере домена AD работает аудит событий безопасности, который записывает события по настроенным категориям в специальный журнал аудита.

После создания и настройки коннектора UserID-агента "Microsoft Active Directory", UserID-агент начинает периодически отправлять на контроллер AD WMI-запросы для извлечения следующих событий по Event ID из журнала аудита:

• 4624 — успешный вход в систему;

• 4768 — запрос билета аутентификации Kerberos TGT;

• 4769 — запрос билета аутентификации Kerberos TGS; 

• 4770 — обновление билета аутентификации Kerberos TGS;

• 4627 — сведения о членстве в группах.

Данные события позволяют UserID-агенту получать информацию о регистрации пользователей и членстве в группах. Полученная информация записывается в специальную системную базу данных на LogAn.

Информация из Microsoft AD о выходе пользователя из системы в настоящий момент не обрабатывается. 

UserID-агент на LogAn периодически обращается к этой базе данных, извлекает из записей имя пользователя, домен, SID, IP-адрес, список групп пользователя. Эти данные кэшируются. Интервал поиска записей в базе данных можно задать в настройках UserID-агента. Время жизни данных о пользователе в кэше устанавливается в настройках коннектора UserID-агента. 

В случае, если список групп, в которые входит пользователь, не был получен, UserID-агент обращается к контроллеру домена по протоколу LDAP в соответствии с настроенным профилем аутентификации для получения информации о группах. 

В сценарии с использованием в качестве источника данных аутентификации пользователей серверов-источников данных syslog принцип работы аналогичен, только LogAn в этом случае выступает в роли syslog listener — принимает сообщения от отправителя syslog (номер порта и протокол устанавливаются в настройках сборщика логов, по умолчанию порт TCP 514) и затем отфильтровывает нужные события из потока принятых данных с помощью настроенных фильтров из библиотеки "Syslog фильтры UserID-агента". В этом случае в базу данных сохраняются: имя пользователя, IP-адрес, SID (опционально). Для получения информации о группах, в которых зарегистрирован пользователь, UserID-агент обращается к контроллеру домена по LDAP протоколу в соответствии с настроенным профилем аутентификации.

В сценарии с использованием сообщений RADIUS accounting в качестве источника данных аутентификации пользователей принцип работы в целом схож. LogAn в этом сценарии выступает в роли пропускного RADIUS-сервера — принимает сообщения RADIUS accounting от серверов NAS (по порту UDP 1813) и проверяет пользователя на контроллере домена AD по LDAP в соответствии с настроенным профилем аутентификации.

Использование UserID-агента на LogAn позволяет масштабировать технологию UserID на другие устройства сети. Найденные в собранных данных события отправляются на другие NGFW в соответствии с политикой UserID Sharing на основании настроенных профилей редистрибуции (подробнее о профилях читайте в статье Профили редистрибуции). Данная политика позволяет при необходимости отправлять разные данные на разные узлы NGFW. На NGFW отправляются только GUID пользователя, его IP-адрес и список идентификаторов групп, участником которых он является. Такая архитектура позволяет использовать один или несколько серверов LogAn для централизованного сбора информации о пользователях с различных источников и далее централизованно и избирательно распространять эту информацию на узлы NGFW в сети.     

В кластерной конфигурации LogAn Актив-Пассив функциональность UserID работает исключительно на активном узле кластера (Мастер). Тем не менее, настройки UserID распространяются на все узлы в кластере. Данные о пользователях, полученные за время работы активного узла, синхронизируются в коллектор LogAn и поступают также на пассивный узел кластера. Смена роли в кластере проходит без потери данных. 

Алгоритм настройки UserID

Для настройки работы UserID необходимо выполнить ряд действий как на стороне источников данных аутентификации, так и на LogAn.

На стороне источников данных

При работе с Active Directory в качестве источника данных об аутентификации пользователей, необходимо включить аудит событий безопасности. Потребуются следующие категории:

• Audit LogOn;

• Audit LogOff;

• Audit Kerberos Authentication Service;

• Audit Group Membership;

• Audit Kerberos Service Ticket Operations.

При работе с серверами-источниками данных syslog необходимо на них настроить отправку журналов на адрес UserID-агента (то есть на IP-адрес LogAn; номер порта и протокол устанавливаются в настройках сборщика логов (syslog), по умолчанию порт TCP 514).

При работе с серверами RADIUS NAS необходимо на серверах настроить отправку сообщений RADIUS accounting на адрес UserID-агента (то есть на IP-адрес LogAn, порт UDP 1813).

На стороне LogAn

На стороне LogAn необходимо выполнить следующие настройки:

• Создать сервер аутентификации для UserID-агента. Подробнее о создании и настройке сервера аутентификации читайте в статье Серверы аутентификации.

• Создать профиль аутентификации для UserID-агента. Подробнее о создании и настройке профиля аутентификации читайте в статье Профили аутентификации.

• Для сценария с серверами-источниками данных syslog активировать сервис "UserID syslog collector" в настройках контроля доступа зоны, где будут находиться отправители syslog. Для сценария с RADIUS NAS-серверами активировать сервис "Агент аутентификации" в настройках контроля доступа зон, где будет находиться серверы RADIUS NAS. Подробнее о создании и настройке зон читайте в статье Настройка зон.

• Создать коннектор UserID-агента в соответствии с методом получения данных аутентификации;

• Настроить общие параметры UserID-агента.

Создание коннектора UserID-агента

Коннектор UserID-агента в веб-консоли администратора LogAn создается в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы. Необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора:

• Microsoft AD;

• Отправитель syslog;

• RADIUS-сервер.

Microsoft AD

В случае, если в качестве источника информации выступает Microsoft Active Directory необходимо:

1. Настроить источник событий. 

2. Настроить параметры коннектора UserID-агента для мониторинга AD.

Для включения аудита событий на сервере AD необходимо отредактировать Политики Аудита в Политике домена по умолчанию и Конфигурацию расширенной политики, как указано на следующих снимках экрана, используя оснастку gpedit.msc:

Для выполнения WMI-запросов необходимо создать пользователя с соответствующими привилегиями по процедуре, указанной ниже.

1. Создать учётную запись пользователя на контроллере домена:

• Перейти в меню Пуск ➜ Диспетчер серверов ➜ Средства ➜ Active Directory — пользователи и компьютеры

• В необходимом Подразделении (OU) создать Нового пользователя для UserID.

2. Сконфигурировать членство в группах для новой учётной записи пользователя:

• Нажать правой кнопкой мыши по новой учётной записи пользователя UserID и выбрать Свойства.

• Нажать на вкладку Членство в группах.

• Нажать Добавить ➜ Дополнительно ➜ Поиск.

• Выбрать следующие группы:

  • Пользователи DCOM

  • Пользователи журналов производительности

  • Пользователи удалённого рабочего стола

  • Читатели журнала событий

• Нажать OK

3. Назначить права Distributed Component Object Model (DCOM):

• Перейти в меню Windows Пуск ➜ Администрирование ➜ Службы компонентов. Откроется окно Службы компонентов.

• Раскрыть Службы компонентов ➜ Компьютеры ➜ Мой компьютер.

• Нажать правой кнопкой мыши по Мой компьютер и выбрать Свойства. Откроется окно Свойства: Мой компьютер.

• Перейти во вкладку Безопасность COM.

• В области Права доступа нажать Изменить ограничения.

• Убедиться, что для Пользователи DCOM выбрано Локальный доступ и Удалённый доступ.

• Нажать OK, чтобы сохранить настройки.

• В окне Свойства: Мой компьютер нажать в области Разрешения на запуск и активацию на Изменить ограничения.

• Убедиться, что для Пользователи DCOM выбрано Локальный запуск, Удалённый запуск, Локальная активация и Удалённая активация.

• Нажать OK, чтобы сохранить настройки, и ещё раз нажать OK, чтобы закрыть окно Свойства: Мой компьютер.

• Выбрать Файл ➜ Выход, чтобы закрыть окно Службы компонентов.

4. Сконфигурировать назначения защиты пространства имён WMI:

• Перейти в меню Пуск ➜ Выполнить.

• Ввести wmimgmt.msc и нажать OK.

• Нажать правой кнопкой мыши на Элемент управления WMI (локальный) и выбрать Свойства.

• Перейти на вкладку Безопасность.

• Нажать Безопасность ➜ Добавить ➜ Дополнительно ➜ Поиск.

• Выбрать новую учётную запись пользователя, нажимать OK, пока вы не вернётесь в окно Безопасность для Root.

• Нажать Дополнительно и выбрать добавленную учётную запись пользователя.

• Нажать Изменить.

• В меню Применяется к: выбрать Данное пространство и подпространство имён.

• Убедиться, что выбрано Выполнение методов, Включить учётную запись, Включить удаленно и Прочесть безопасность.

• Нажать OK, пока вы не вернётесь в окно wmimgmt.

• Выбрать Файл ➜ Выход, чтобы закрыть окно wmimgmt.

При использовании серверов AD в качестве источников событий UserID-агент выполняет WMI-запросы для поиска событий, связанных с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627).

В веб-консоли администратора LogAn в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: Microsoft AD. Далее указать следующие данные:

• Включено — Включение/отключение получения журналов с источника.

• Название — Название источника.

• Описание — Описание источника (опционально).

• Адрес сервера — Адрес сервера Microsoft Active Directory.

• Протокол — Протокол доступа к AD (WMI).

• Пользователь — Имя пользователя для подключения к AD.

• Пароль — Пароль пользователя для подключения к AD.

• Время жизни аутентифицированного пользователя (сек.) — Период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кэша. Значение по умолчанию – 2700 секунд (45 минут).

• Профиль редистрибуции UserID — Выбор профиля редистрибуции для определения круга устройств UserGate, на которые отправляется информация о найденных UserID-агентом пользователях.

На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в логах AD:

Syslog

В случае, если в качестве источника информации выступает сервер-источник данных syslog, необходимо:

1. Настроить источник событий.

Для корректной работы коннектора UserID-агента необходимо настроить сервер-источник данных syslog для отсылки журналов на адрес UserID-агента. Подробнее см. документацию на сервер-источник данных syslog.

Общие настройки syslog-сервера на устройстве LogAn находятся в разделе Настройки ➜ Сборщик логов ➜ Syslog. Необходимо нажать кнопку Настроить сервер в панели инструментов:

В окне настроек syslog-сервера устанавливаются параметры соединения по syslog:

Для протокола TCP:

• Включено — Включение/отключение протокола TCP для приёма журналов syslog.

• Порт — Номер порта, используемого для сбора syslog-событий. По умолчанию — порт 514.

• Максимальное количество сессий — Максимальное количество устройств, подключённых одновременно с целью отправки сообщений.

• Безопасное соединение — Включение/отключение шифрования потока данных. 

• Файл сертификата УЦ — Сертификат удостоверяющего центра, который используется для установления безопасного соединения.

• Файл сертификата — Сертификат, созданный пользователем и подписанный удостоверяющим центром.

• Разрешённые соседи — Список устройств, с которых LogAn будет получать информацию в случае использования безопасного соединения.

Для протокола UDP:

• Включено — Включение/отключение протокола UDP для приёма журналов syslog.

• Порт — Номер порта, используемого для сбора syslog-событий. По умолчанию — порт 514.

2. Разрешить сбор информации с удалённых устройств по протоколу syslog.

В настройках контроля доступа зоны, в которой находится отправитель syslog, разрешить сервис "Сборщик логов".

3. Настроить параметры коннектора UserID-агента для отправителя syslog.

В веб-консоли администратора LogAn в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: Отправитель syslog. Далее указать следующие данные:

• Включено — Включение/отключение получения журналов с источника.

• Название — Название источника.

• Описание — Описание источника (опционально).

• Адрес сервера — Адрес хоста, с которого NGFW будет получать события по протоколу syslog.

• Домен по умолчанию — Название домена, который используется для поиска найденных в журналах syslog пользователей.

• Часовой пояс — Часовой пояс, установленный на источнике. При использовании UserID-агента для AD/WEC в syslog-коннекторе всегда должно быть время в UTC независимо от настроек времени на контроллере домена.

• Время жизни аутентифицированного пользователя (сек.) — Период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кэша. Значение по умолчанию – 2700 секунд (45 минут).

• Профиль редистрибуции UserID — Выбор профиля редистрибуции для определения круга устройств UserGate, на которые отправляется информация о найденных UserID-агентом пользователях.

На вкладке Фильтры выбираются фильтры для поиска необходимых записей журнала: 

Фильтры создаются и настраиваются в разделе Библиотеки ➜ Syslog фильтры UserID-агента. Подробнее читайте в разделе Syslog фильтры UserID-агента.

На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в логах syslog:

RADIUS accounting 

(Доступно начиная с версии ПО 7.2.0)

В случае, если источником информации выступают сообщения RADIUS accounting необходимо:

1. Настроить источник событий.

Для корректной работы коннектора UserID-агента необходимо настроить NAS-сервер для отправки сообщений RADIUS accounting на адрес UserID-агента (порт UDP 1813). Подробнее см. документацию на NAS-сервер.

2. Разрешить получение запросов RADIUS accounting от удалённых устройств.

В настройках контроля доступа зон, в которых находятся NAS-серверы, разрешить сервис "Агент аутентификации".

3. Настроить параметры коннектора UserID-агента для RADIUS-сервера.

В веб-консоли администратора LogAn в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: RADIUS-сервер. Далее указать следующие данные:

• Включено — Включение/отключение получения журналов с источника.

• Название — Название источника.

• Описание — Описание источника (опционально).

• Время жизни аутентифицированного пользователя (сек.) — Период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кэша. Значение по умолчанию – 2700 секунд (45 минут).

• Атрибут для имени — Номер radius attribute type, в котором находится имя пользователя. Значение по умолчанию: 1.

• Атрибут для групп — Номер radius attribute type, в котором находится группа пользователя, по умолчанию группа не проверяется.

• Домен по умолчанию — Имя домена, в котором будет производиться поиск пользователя в случае, если в запросе не было явно указано какому домену принадлежит пользователь.

• Секретный код — Общий ключ, используемый протоколом RADIUS для аутентификации.

• Профиль редистрибуции UserID — Выбор профиля редистрибуции для определения круга устройств UserGate, на которые отправляется информация о найденных UserID-агентом пользователях.

На вкладке Адреса указываются адреса хостов (NAS-серверов), с которых UserID-агент будет получать события RADIUS accounting:

На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в логах RADIUS accounting:

Настройка UserID-агента

Настройка общих параметров UserID-агента производится в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы. Необходимо нажать кнопку Настроить агент на панели инструментов:

На вкладке Общие настраиваются интервалы опроса данных:

• Мониторинг Microsoft Active Directory. Интервал опроса (сек) — Период опроса серверов Active Directory. Значение по умолчанию – 120 секунд.

• Интервал мониторинга syslog (сек) — Период опроса базы данных для поиска событий начала/завершения сеанса пользователей syslog-источников. Значение по умолчанию – 60 секунд.

• Интервал мониторинга RADIUS (сек) — Период опроса базы данных для поиска событий начала/завершения сеанса пользователей по RADIUS-логу. Значение по умолчанию – 120 секунд. (Опция доступна начиная с релиза ПО 7.2.0).

На вкладке Ignore network list указываются списки IP-адресов, события от которых будут проигнорированы UserID-агентом. Запись об игнорировании источника появится в журнале UserID:

Список может быть создан в разделе Библиотеки ➜ IP-адреса, или при настройке агента (кнопка Создать и добавить новый объект). Подробнее о создании и настройке списков IP-адресов читайте в разделе IP-адреса.

Данная настройка является глобальной и относится ко всем источникам.

На вкладке Ignore user list указываются имена пользователей, события от которых будут проигнорированы UserID-агентом. Поиск производится по Common Name (CN) пользователя AD:

Данная настройка является глобальной и относится ко всем источникам. Запись об игнорировании пользователя появится в журнале UserID.

Важно! При задании имени допустимо использовать символ астериск (*), но только в конце строки.

Журналирование

UserID-агент периодически обращается к настроенным источникам данных. Полученные события сохраняются в служебной базе данных без каких-либо изменений. Содержимое данной базы можно посмотреть в соответствующих журналах:

• Конечные устройства ➜ Журнал событий (события из AD);

• Syslog;

• RADIUS.

В веб-консоли администратора LogAn их можно посмотреть в разделе Журналы и отчеты ➜ Журналы:

UserID-агент периодически обращается к служебной базе данных и извлекает из записей событий имя пользователя, SID, домен, IP-адрес, списки групп. Результаты обработки записей событий заносятся в журнал UserID. Посмотреть его можно в том же разделе: Журналы и отчеты ➜ Журналы.

Описание журналов источников данных и UserID-агента читайте в разделе Журналы.

Описание форматов экспорта журналов UserID находится в Приложении в разделе Описание форматов журналов.

Описание

Предназначены для определения круга устройств UserGate, на которые отправляется информация о найденных агентом UserID пользователях. Для добавления профиля необходимо нажать кнопку Добавить и настроить профиль.

Наименование	Описание
Название	Название профиля.
Описание	Описание профиля (опционально).
Сенсоры UserGate	Список устройств UserGate, на которые будет отправлена информация о найденных пользователях. Добавление сенсоров доступно разделе Сенсоры ➜ Сенсоры UserGate рабочего стола Настройки.

UserID-агент для AD/WEC устанавливается на сервер-контроллер домена или сервер WEC (Windows Event Collector). Агент считывает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает ее в формате syslog в коллектор UserID на устройстве UserGate LogAn.

Основные свойства 

Основные функции UserID-агента для AD/WEC:

• работа в качестве сервиса;

• настройка параметров работы через файл конфигурации;

• чтение журналов безопасности Windows и отправка данных пользователей на UserID-коллектор через syslog;

• ведение файла журнала и его ротация. Возможность включить или отключить режим отладки журналирования.

Установка

UserID-агент для AD/WEC поставляется в формате установочного файла.

Для установки UserID-агента:

1. Скачайте последнюю версию UserID-агента с официального сайта UserGate.

2. Распакуйте архив и запустите установочный файл *.msi.

3. После завершения инсталляции перейдите в рабочую папку агента (по умолчанию: C:\Program Files (x86)\UserGate\useridagent) и отредактируйте файл конфигурации useridagent.cfg, добавив параметры вашей сети. Подробнее о параметрах и формате файла конфигурации — в разделе «Настройка».

4. Перезапустите сервис UserIDAgent через встроенное приложение Services (Службы Windows).

Настройка

Вы можете настроить следующие параметры конфигурационного файла:

• EventFileNames — имена журналов для чтения. Значение по умолчанию: Security.

• MaxLogSize — максимальный размер файла журнала в МБ. Значение по умолчанию: 10.

• EventIDs — номера событий для пересылки. Например, 4624,4634 (ID событий входа в сеть и выхода из сети).

• DebugLogs — включение или отключение режима отладки. 0 — журналируются основные события, 1 — журналируется расширенный список событий. Значение по умолчанию: 1.

• UserExclude — список пользователей, для которых события не должны собираться.

• NetworkList — список подсетей, в которых собираются события UserID. 

• GatewayList — список шлюзов (серверов LogAn), на которые отправляются найденные события. 

Синтаксис конфигурационного файла:

• Разделителем между параметрами в списках является символ запятой, пробелы после запятой игнорируются.

• Строки, начинающиеся с символов: «;» и «#», являются комментариями.

• Раздел [default] является необязательным, однако при его использовании раздел должен сохранять указанное название. Перечень подсетей и шлюзов следует указывать в других разделах, названия которых могут быть произвольными. Новый раздел начинается со строки, содержащей символ «[».

• В файле конфигурации должен быть минимум один раздел с одним маршрутом и одним шлюзом.

Пример конфигурации:

[default]
MaxLogSize=10
EventIDs=4634, 4624
EventFileNames=Security
DebugLogs=1
UserExclude=adm_,sys_
[net1]
NetworkList=192.168.30.0/24,172.30.250.0/24
GatewayList=192.168.45.1:514,192.168.45.2:514
[net2]
NetworkList=192.168.200.0/24,10.10.0.0/16
GatewayList=192.168.45.4:514,192.168.45.5:514

Пример минимальной конфигурации:

[net1]
NetworkList=192.168.30.0/24
GatewayList=192.168.45.1

Журналирование

UserID-агент записывает информацию о событиях в файл uidagent.log, размер которого контролируется параметром MaxLogSize. При достижении лимита:

• текущий файл журнала сохраняется с расширением *.bak, заменяя предыдущую версию файла;

• начинается запись нового файла журнала.

Для хранения всех записей работы сервиса рекомендуется настроить внешнее копирование файлов журнала с помощью специализированных сервисов.