Часто возникают проблемы с открытием сайтов - Ошибка подключения: не удалось найти имя хоста или домен.
Ошибка такого типа может возникать в случае, когда UserGate не может разрешить доменное имя, на которое происходит обращение при явно указанном прокси. Это означает, что какие-то из DNS-серверов, указанных в настройках, работают неустойчиво.
Серверы некоторых интернет-провайдеров могут отвечать ошибкой на запросы, поступающие с адресов другого провайдера. Проверку можно произвести в разделе Сеть ➜ Запрос DNS вкладки Диагностика и мониторинг (подробнее читайте в разделе Запрос DNS).
Для использования таких серверов необходимо настроить правила типа Policy-based routing (PBR), которые будут перенаправлять трафик на эти серверы через шлюзы соответствующего провайдера. Чтобы эти правила были применены к запросам, генерируемым UserGate, не указывайте зону источника трафика, т.е. не должно быть отмечено ни одной зоны - зона Любая. Подробнее о настройке правил PBR читайте в разделе Policy-based routing.
Также возможен вариант использования публичных DNS-серверов, отвечающих на запросы вне зависимости от используемого провайдера.
Как выполнить очистку журналов (событий, веб-доступа и т.д.)?
Журналы удалить невозможно, так как это требования информационной безопасности.
Возможность удаления журналов с устройства за определенный промежуток времени (или все сразу) позволяет скрыть нарушения безопасности. Управление журналами автоматизировано и не требует участия администратора, журналы циклически перезаписываются, обеспечивая необходимое для работы свободное дисковое пространство.
Ротация записей журналов (всех, кроме журнала событий) происходит автоматически по критерию свободного пространства на данном разделе. При работе с большими дисками(более 100GB) критерий очистки установлен в 99% занятого места: удаляется раздел журналов с самыми старыми данными, освобождая место для записи новых. Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.
Что предполагают Backup full и Backup system only в Support Menu?
Backup full предполагает создание полной копии диска UserGate. Для определения размера съёмного носителя можно посмотреть информацию в Дашборд, виджет Диски (сложить значения колонки "Занято"). Для сжатия данных используется gzip.
Backup system only создаёт полную копию только системного раздела UserGate с абсолютно всеми настройками, состоянием кластера и лицензией; раздел журналов не копируется.
Некорректно отображаются пользователи в журнале веб доступа.
Вместо корректного отображения имени пользователя, оно появляется в формате логина или имени АРМ, на котором пользователь работает.
Данный эффект может наблюдаться в случае если доменный адрес в настройках сервера авторизации прописан некорректно. В этом случае ответ от LDAP-сервера содержит недопустимый по настройкам домен, что и приводит к описанному эффекту. Для устранения проблемы необходимо в настройках серверов авторизации на вкладке домены-LDAP добавить все допустимые в вашем контексте домены.
Можно ли отключить список DNSBL не удаляя его?
Можно убрать галочку DNSBL проверка это не повлияет на список адресов в DNSBL, в дальнейшем ее можно включить обратно.
Также можно создать отдельное правило, с этой установленной галочкой. Правила можно отключать не удаляя их, через правую кнопку мыши
Где хранятся системные журналы после подключения NGFW к LogAn?
После подключения LogAn, все сообщения отправляются на него. На NGFW в этом случае ничего не хранится.
При просмотре журналов на NGFW, они берутся с LogAn.
Не открываются сайты во всех браузерах кроме Yandex browser при включенном SSL-инспектировании. Необходимо сделать сайты доступными со всех браузеров.
Это ошибка, возможно, связана с применением браузерами механизма HSTS (в Yandex browser этот механизм по умолчанию отключен). Для решения проблемы необходимо почистить кэш браузера, в случае переносного оборудования. Либо, как вариант, заблокировать применение протокола QUIC браузерами.
Для Mozilla Firefox:
Для Google Chrome/Opera:
Как сконфигурировать UserGate NGFW для использования нескольких контроллеров домена?
Создайте один коннектор контроллера домена и укажите в нем вместо FQDN контроллера домена сам домен. В этом случае обращение будет происходить по очереди к каждому контроллеру, указанному в зоне DNS, т.е. при недоступности первого контроллера произойдет обращение к следующему, пока не будет установлено соединение.
В случае недоступности части контроллеров домена с площадки, где работает NGFW, следует добавить статическую запись в настройки DNS, где были бы указаны адреса доступных контроллеров, и использовать имя этой записи в коннекторе.
Необходимо разрешить работу офисной SIP АТС через VPN UserGate.
Для решения нужно разрешить загрузку модуля SIP в командной строке UserGate NGFW при помощи следующей команды:
UTM> device config -set module_sip_enabled true
Необходимо настроить работу AnyDesk, используется инспектирование SSL.
Создайте список URL, содержащий запись (дословно, без кавычек): "AnyNet Relay", и добавьте этот список в исключения инспектирования SSL.
Перестало работать правило с расписанием типа Повторящиеся события; отмечен чекбокс Весь день.
Для расписаний с типом повторения Повторяющиеся события присутствует ошибка в веб-интерфейсе управления UserGate. В настройках данного типа повторения наличие чекбокса Весь день является ошибочным, т.к. при его активации событие закончится в 00:00 и больше не повториться.
Для данного типа повторения пользователю необходимо указать интервал времени, в которое правило будет активно, и диапазон дат, т.е., чтобы правило работало весь день, можно указать период с 00:00 по 23:59, тогда правило не будет работать только 1 минуту в день. Чтобы правило работало весь день рекомендуется использовать интервал типа Диапазон времени.
Необходимо добавить сетевые интерфейсы в виртуальную машину.
После добавления сетевых интерфейсов на виртуальной машине необходимо перезагрузиться и при загрузке в Boot Menu выбрать пункт Support menu ➜ Refresh NIC names, подробнее об этой и других служебных утилитах читайте в cоответствующем разделе руководства администратора.
Поддерживается ли технология VxLAN в UserGate NGFW?
Да, UserGate NGFW может обрабатывать трафик, получаемый из удаленной сети и упакованный посредством технологии VxLAN.
Добавление групп/пользователей LDAP в настройках правил в шаблонах управляемых устройств.
Начиная с версии Management Center 7.x.x для возможности использования групп и пользователей LDAP в политиках безопасности UserGate, настраиваемых в шаблонах управляемых устройств (шаблоны NGFW и конечных устройств), необходимо корректно настроить LDAP-коннектор в разделе Центр управления ➜ Каталоги пользователей консоли управления областью. Подробнее о настройке каталогов пользователей читайте в разделе Каталоги пользователей.
Как настроить запись трафика на NGFW?
Запись трафика осуществляется на вкладке Диагностика и мониторинг в разделе Сеть ➜ Захват пакетов.
Например, для записи трафика TCP с адреса 10.0.0.1, подключённого к port1, произведите следующие действия:
При настройке фильтра также можно указать порт источника/назначения.
Необходимо создать сервис без указания порта назначения.
При создании сервиса на UserGate 6.x.x указание порта назначения является обязательным. Указание всего диапазона портов (0-65535) никак не скажется на работе правил.
Используя Log Analyzer, настроить правило аналитики для поиска срабатываний правил защиты от DoS-атак и автоматического добавления адреса источника атаки в список блокируемых адресов на группу NGFW.
Раздел Аналитика UserGate Log Analyzer предоставляет функциональность SIEM. Наличие SIEM позволяет с использованием правил аналитики производить анализ событий безопасности, получаемых с настроенных сенсоров, и определять методы реагирования на них.
В данном примере будет рассмотрена настройка правила аналитики для группы NGFW, которое срабатывает при получении события о срабатывании правила защиты DOS на одном NGFW и отсылает команду на добавление IP-адреса источника в предварительно созданный на всех NGFW список адресов, который уже используется в правилах межсетевого экрана (МЭ) для блокировки нежелательных соединений. Данная конфигурация работает в режиме Prevent защиты.
Создать список IP-адресов на NGFW.
В разделе Библиотеки ➜ IP-адреса на панели Группы нажать на кнопку Добавить, дать название списку IP-адресов, например, Blocked_addresses.
Выполнить аналогичную настройку на каждом из NGFW в группе.
Создать правила МЭ на NGFW.
В разделе Политики сети ➜ Межсетевой экран создать запрещающие правила, используя созданный ранее список Blocked_addresses в качестве адреса источника.
Выполнить аналогичную настройку на каждом из NGFW в группе.
Подробнее о настройке правил читайте в разделе Межсетевой экран.
Создать правило защиты DoS на NGFW.
В разделе Политики безопасности ➜ Правила защиты DoS нажать на кнопку Добавить, создать правило с действием Защитить и включить журналирование.
Выполнить аналогичную настройку на каждом из NGFW в группе.
Подробнее о настройке правил защиты DOS читайте в соответствующем разделе руководства администратора.
Подключить NGFW к LogAn.
В разделе Сенсоры ➜ Сенсоры UserGate нажать на кнопку Добавить, указать параметры NGFW.
Выполнить аналогичную настройку на каждом из NGFW в группе.
Подробнее о подключении NGFW к LogAn читайте в разделе Сенсоры.
Создать список команд на LogAn.
На LogAn перейти в раздел Библиотеки ➜ Команды и создать группу команд (на панели Группы команд нажать Добавить и указать название). На панели Команды нажать Добавить и указать название и следующий текст команды (синтаксис команды аналогичен синтаксису команд CLI NGFW):
set libraries ip-list Blocked_addresses ips + [ {SRC_IP} ]
Данная команда будет отправлена на NGFW в качестве действия реагирования на срабатывание правила аналитики. При написании команды использована переменная SRC_IP — адрес источника, который при отправке команды добавляет IP-адрес источника в список IP-адресов Blocked_addresses, созданный ранее на NGFW.
Создать коннектор на LogAn.
На LogAn в разделе Сенсоры ➜ Koннекторы нажать Добавить и указать свойства коннектора:
Имя: название коннектора;
Тип сервера: SSH;
Адрес сервера: IP;
IP-адрес: IP-адрес NGFW;
Порт: порт сервера;
Логин: логин пользователя для авторизации на коннекторе;
Пароль: пароль учётной записи пользователя, необходимый для авторизации на коннекторе;
Группа команд: группа команд, созданная на п.5.
Выполнить аналогичную настройку на каждом из NGFW в группе.
Создать действие реагирования на LogAn.
Действие реагирования также может быть создано при настройке правила аналитики во вкладке Действия реагирования (нажать Создать и добавить новый объект).
Во вкладке Общие указать параметры:
поставить флажок Включено;
Название правила реагирования;
Действие: Послать команду на коннектор — отправка команды на выбранный коннектор.
Во вкладке Действие добавить коннектор, созданный на шаге 6, и выбрать команду на добавления нового адреса в список Blocked_addresses. В появившемся поле Параметры указать {SOURCE_IP} в качестве значения переменной SRC_IP, использующейся в команде. Полный список переменных, относящихся к срабатываниям, смотрите в разделе Переменные для уведомлений и команд.
Настроить правило аналитики.
Перейти во вкладку Аналитика веб-интерфейса Log Analyzer. В разделе Правила аналитики нажать Добавить и указать следующие параметры:
Во вкладке Общие:
поставить флажок Включено;
Название правила аналитики;
Уровень угрозы, который будет отображаться при срабатывании правила;
Приоритет, установленный для срабатывания правила аналитики;
Категория срабатывания, к которой относится срабатывание.
Во вкладке Условия:
Название условия правила аналитики;
Запрос фильтра: указать rule = "DoS_rule_1" and action = deny (где DoS_rule_1 — название правила защиты DoS, созданного в п.3);
Группировать по отображает список параметров, по которым могут быть сгруппированы правила и события в результате срабатывания; указать IP источника (указание параметра группировки обязательно);
Повторений шаблона: количество выполнений условия, необходимое для срабатывания правила. Данный параметр может быть использован совместно с параметром Ограничить время выполнения условия или без него.
Во вкладке Действия реагирования выбрать созданное в п.7 действие реагирования.
За более детальной информацией по настройкам раздела Аналитика можно обратиться в руководство администратора Log Analyzer.
Необходимо расширить системный раздел узла UseGate v7.x.
Для расширения системного раздела с сохранением конфигурации и данных узла UserGate необходимо выполнить следующие шаги:
Средствами гипервизора добавить новый диск необходимого размера в свойствах виртуальной машины UserGate.
В меню загрузки узла UserGate войти в раздел Support menu:
В открывшемся разделе выбрать Expand data partition и запустить процесс расширения системного раздела:
После завершения процесса расширения загрузить узел и в разделе Дашборд ➜ Диски проверить размер системного раздела:
Настроен Site-to-Site VPN между двумя устройствами UserGate. При установке соединения в направлении КЛИЕНТ- СЕРВЕР наблюдается низкая скорость и нестабильная работа туннеля; при соединениях СЕРВЕР - КЛИЕНТ проблем не наблюдается.
Одной из возможных причин такого поведения может быть фрагментация пакетов. Если пакеты, передаваемые через VPN-туннель, превышают максимальный размер MTU на любом из промежуточных устройств, они могут быть разделены на фрагменты. Это может привести к увеличению задержки и потере производительности. Путем установки оптимального значения MTU на туннельном интерфейсе можно избежать фрагментации и снизить задержку.
Значение MTU на туннельных интерфейсах, созданных по умолчанию и предназначенных для соединения Site-to-Site VPN, по умолчанию установлено 1420 байт. Требуется уменьшить значение MTU до 1384.
Редактирование свойств интерфейса производится в разделе: Сеть ➜ Интерфейсы.
Необходимо настроить защиту от DoS-атак для веб-сервера, опубликованного через reverse-прокси.
Для версий NGFW, в которых есть проблемы с работой правил защиты от DoS, для защиты ресурсов, опубликованных через reverse-прокси, можно использовать следующий вариант: перенаправить нежелательный трафик на несуществующий адрес. Для этого необходимо произвести следующие настройки:
1. Создать два правила DNAT для нежелательного трафика (трафик от бот-сетей и адресов, не принадлежащих российскому пространству):
в первом правиле в качестве адреса источника выбрать GeoIP Russian Federation и отметить чекбокс Инвертировать, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4;
во втором правиле в качестве адреса источника выбрать список IP-адресов Список бот-сетей, в условии Адрес назначения DNAT (вкладка DNAT) указать любой адрес, который у вас не используется, например, 1.2.3.4.
2. Создать статический маршрут типа blackhole, в качестве адреса назначения указать 1.2.3.4/32.
В соответствии с Packet Flow (подробнее читайте в UserGate NGFW 6 Packet Flow) правила DNAT сработают раньше правил reverse-прокси и перенаправят нежелательный трафик blackhole.
Разрешить сервис XML-RPC только с определенных IP-адресов, выполняющих запросы по API.
Доступ к API разрешается в профиле администратора и может быть ограничен по адресу источника. Для обеспечения доступа с определенных IP-адресов в свойствах сетевой зоны необходимо настроить сервис XML-RPC.
Для того, чтобы отображался сервис на зоне NGFW, необходимо:
Организовать соединение между агентами аутентификации, установленными в разных сегментах сети, и сервером UserGate в кластере отказоустойчивости Актив-Пассив, используя один адрес назначения.
Для указания адреса интерфейса UserGate, на который приходят запросы агента аутентификации для Windows, используется параметр "ServerIP". NGFW принимает пакет только в том случае, если указанный в настройках агента адрес назначения ("ServerIP") совпадает с адресом интерфейса, куда пакет пришел; если IP-адрес принадлежит другому интерфейсу NGFW, то пакет будет отброшен.
Для отправки пакетов со всех интерфейсов в один адрес назначения, принадлежащий одному интерфейсу NGFW, необходимо настроить правила DNAT.
Адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса). "ServerIP" должен быть виртуальный, поэтому интерфейсы узлов должны быть в разных зонах (узлы разные, на одном сегменте сети одна зона). Необходимо настроить по 2 правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.
Для того чтобы использовать один адрес назначения для разных подсетей, необходимо произвести следующие настройки:
Создайте правило DNAT согласно инструкции, подробнее в разделе Политики сети.
В случае использования кластера отказоустойчивости Актив-Актив: адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса), но адрес должен быть не виртуальный, а физический, поэтому интерфейсы узлов должны быть в разных зонах (у каждого интерфейса своя зона). Должно быть создано по два правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.
Периодические разрывы VPN соединений.
Начиная с версии 6.1.9.12030R для устранения возможных разрывов подключения VPN клиента Windows к UserGate, необходимо в настройках профиля безопасности VPN на устройстве UserGate для первой фазы установить значение "Интервала проверки dead peer detection"(DPD) равным 0.
Если подключение успешно проходит, но в последствии соединение все равно разрывается, необходимо обратиться в отдел технической поддержки и подготовить записанный трафик с начала сессии и лог для анализа.
Очень долго загружается устройство UserGate.
Долгая загрузка устройства может быть связана с тем что в настройках сервера авторизации (и не только) адрес сервера указан как FQDN. Если при этом присутствуют проблемы с доступом к DNS серверу, UserGate будет пытаться разрешить FQDN имя и ожидать пока закончится timeout обращения к DNS серверу. Следует проверить доступность сервера DNS и возможность разрешения FQDN имени(и его корректность), также сам сервер авторизации, на который ссылается FQDN имя должен быть доступен.
UserGate для обеспечения безопасности недостаточно знать URL-адреса потенциально опасных ресурсов, необходимо также знать актуальные IP-адреса этих ресурсов. Данные об актуальных адресах хранятся в DNS-кэше, и, когда истекает время жизни DNS-записи, UserGate делает запрос к системным DNS-серверам для обновления записи.
В случае использования динамической выдачи MAC-адресов сетевым интерфейсам UserGate в системах виртуализации, при выдаче системой новых MAC-адресов нарушается сетевое взаимодействие с UserGate, т. к. адреса на устройстве не обновляются. При этом на UserGate сбрасываются сетевые адреса и маршрут по умолчанию.
В UserGate не реализован механизм автоматического получения динамических MAC-адресов. Во избежание подобных проблем рекомендуется закрепить за сетевыми адаптерами виртуальной машины UserGate статические MAC-адреса.
Какие версии UserGate сертифицированы ФСТЭК?
Сертификат ФСТЭК относится к решению в целом, а не к его конкретной версии. UserGate в должном порядке вносит изменения в свое сертифицированное средство защиты информации, как это предусмотрено Приказом ФСТЭК №55 от 03 апреля 2018 года (см. п.п. 71, 73, 74 - https://minjust.consultant.ru/files/39437). Исходя из этого в любой период времени правильным является применение последней версии UserGate со всеми новейшими обновлениями. О выходе версии сообщено во ФСТЭК, и она передана в испытательную лабораторию для проведения испытаний. Обновления сертификатов, технических условий и формуляра происходит в установленным ФСТЭК порядке после окончания испытаний, информация об этом доводится до пользователей сертифицированного решения.
При использовании инспектирования SSL в журнале веб-доступа появляются ошибки TLS Server Alert: Fatal - Bad Record Mac, TLS Server Alert: Fatal - Protocol Version, TLS Client Alert: Fatal - Unknown Ca и т.п.
Ошибки TLS Server Alert: Fatal - Bad Record Mac и TLS Server Alert: Fatal - Protocol Version возвращают браузеры пользователей вследствие наличия ошибок конфигурации. Для обеспечения максимальной совместимости UserGate поставляется с созданными по умолчанию профилями SSL (подробнее читайте в главе Профили SSL).
Ошибка TLS Client Alert: Fatal - Unknown Ca возникает, если в браузеры пользователей не установлен сертификат для дешифрования SSL-трафика. Подробнее об установке сертификата читайте соответствующей главе руководства администратора.
Необходимо разрешить получение обновления для Microsoft Edge (на базе Chromium)
Для того, чтобы браузер Mocrosoft Edge (версия на базе Chromium) мог получать обновления при доступе в Интернет через UserGate, необходимо создать дополнительное правило дешифрования. Для этого перейдите в раздел Политики безопасности ➜ Инспектирование SSL и добавьте правило инспектирования. Укажите необходимые данные.
Во вкладке Общие укажите:
Название правила инспектирования.
Действие: Не расшифровывать.
В разделе Библиотеки ➜ Списки URL создайте новый список и укажите сайт:
msedge.api.cdp.microsoft.com
Список URL также можно создать при настройки правила во вкладке Домены (кнопка Создать и добавить новый объект).
Далее во вкладке Домены свойств правила инспектирования укажите созданный ранее список URL.
Ошибка при входе на сайт avito.ru
Для обнаружения правила веб-доступа, блокирующего авторизацию на сайте, нужно открыть сайт в браузере, кликнуть на "Вход и регистрация", во всплывающем окне нужно ввести имя и пароль и кликнуть на кнопку "Войти".
В журнале веб-доступа обнаружится сработавшее правило Веб-безопасности, следует внести в исключения URL www.avito.ru из поля Реферер (отмечен на скриншоте):
Еще раз повторить действия из п.1.
В журнале веб-доступа обнаружится еще одно сработавшее правило Веб-безопасности, в исключения которого следует внести URL www.google.com/recaptcha/ из поля Реферер:
После добавления этих исключений в правила, проблема исчезает.
Исключение из правила блокировки рекламы делается в самом правиле, пример на присоединённом скриншоте, названия листов соответствуют содержимому:
На программно-аппаратных комплексах (ПАК) UserGate возникает ошибка System is booting... LOM card present; устройство зависает на этапе загрузки.
В случае возникновения ошибки выполните следующие действия:
1. Отключите питание на 5-10 минут. После включения ПАК должен загрузиться в штатном режиме, в противном случае, обратитесь в службу технической поддержки UserGate.
2. После загрузки ПАК, можно проверить версию IPMI, подключившись к DashBoard
Если версия отличается от представленной на рисунке, необходимо обновить версию IPMI.
Интеграция с центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).
Компания UserGate сотрудничает с ФинЦЕРТ: информация синхронизируется со списком IP-адресов бот-сетей и списком URL фишинговых сайтов.
Импорт доступен в следующих разделах:
Указанные выше правила настраиваются с использованием UserGate Policy Language (UPL), подробную информацию о котором вы можете найти в соответствующем разделе руководства администратора.
Рассмотрим экспорт и импорт правил на примере правил межсетевого экрана. На NGFW созданы следующие правила:
1. Для редактирования правила могут быть сохранены в файл конфигурации или скопированы из интерфейса командной строки. В обоих вариантах используется подключение к интерфейсу командной строки по SSH.
Для сохранения правил в файл, например, fw_config.cfg, выполните следующую команду:
ssh Admin@IP_ADDRESS -p 2200 show network-policy firewall >fw_config.cfg
где Admin - имя администратора;
IP_ADDRESS - адрес интерфейса UserGate.
Введите пароль учетной записи администратора, файл со списком правил будет сохранён на вашем устройстве.
Для копирования правил из интерфейса командной строки подключитесь к CLI по SSH:
ssh Admin@IP_ADDRESS -p 2200
где Admin - имя администратора;
IP_ADDRESS - адрес интерфейса UserGate.
Подключение по SSH необходимо для возможности копирования правил.
Для перехода в режим конфигурации используйте следующую команду:
Admin@UGOS> configure
Отобразите в CLI правила раздела, которые необходимо выгрузить:
Admin@UGOS# show network-policy firewall
Также действия над правилами могут быть выполнены после перехода на уровень раздела, в таком случае не нужно указывать уровень для каждой команды:
Admin@UGOS# edit network-policy firewall
[ network-policy firewall ]
Admin@UGOS# show
Результат выполнения команды:
[ network-policy firewall ]
Admin@UGOS# show
% ----------------- 1 -----------------
DENY \
src.zone = Trusted \
enabled(true) \
id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
name(web1)
% ----------------- 2 -----------------
DENY \
src.zone = DMZ \
dst.zone = Untrusted \
enabled(true) \
id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
name(web2)
% ----------------- 3 -----------------
PASS \
enabled(true) \
id("4e537010-322e-45e8-a1e1-7390f2300bce") \
name(web3)
2. Скопируйте правила для редактирования; используйте, например, текстовый редактор.
Отредактируйте необходимые параметры правила. Для примера изменим названия правил на cli1, cli2 и cli3, соответственно:
DENY \
src.zone = Trusted \
enabled(true) \
id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
name(cli1)
% ----------------- 2 -----------------
DENY \
src.zone = DMZ \
dst.zone = Untrusted \
enabled(true) \
id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
name(cli2)
% ----------------- 3 -----------------
PASS \
enabled(true) \
id("4e537010-322e-45e8-a1e1-7390f2300bce") \
name(cli3)
3. Импортируйте правила. Выделите и скопируйте правила в редакторе. Перейдите в CLI, введите команду import upl-rule и вставьте скопированные правила:
[ network-policy firewall ]
Admin@UGOS# import upl-rule DENY \
... src.zone = Trusted \
... enabled(true) \
... id(ba1abe50-f492-4e12-8a12-86df83b40a81) \
... name(cli1)
... % ----------------- 2 -----------------
... DENY \
... src.zone = DMZ \
... dst.zone = Untrusted \
... enabled(true) \
... id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \
... name(cli2)
... % ----------------- 3 -----------------
... PASS \
... enabled(true) \
... id("4e537010-322e-45e8-a1e1-7390f2300bce") \
... name(cli3)
...
[ network-policy firewall ]
Admin@UGOS#
4. Проверьте изменения в CLI:
[ network-policy firewall ]
Admin@UGOS# show
% ----------------- 1 -----------------
DENY \
src.zone = Trusted \
enabled(true) \
id("082ed6ed-20b6-4c93-921a-047eb9ff40a4") \
name(cli1)
% ----------------- 2 -----------------
DENY \
src.zone = DMZ \
dst.zone = Untrusted \
enabled(true) \
id(f5f08dbd-019f-490a-8cfa-342c34a348fa) \
name(cli2)
% ----------------- 3 -----------------
PASS \
enabled(true) \
id(b5ad3589-98d4-4911-8cf2-9590d0f3f4ea) \
name(cli3)
или веб-интерфейсе:
Недоступен мониторинг устройств, находящихся за UserGate, по SNMP.
Возможно, в свойствах зоны, на которую приходят пакеты, был включен SNMP-прокси. При разрешении данного сервиса опрос устройств, находящихся за UserGate, будет происходить с использованием адреса самого UserGate. Таким образом, нужно либо выключить SNMP-прокси, либо разрешить опрос устройств с адреса UserGate.
При настройке интерфейса возникает ошибка: Адрес из этого диапазона уже используется на другом интерфейсе
Два разных интерфейса в UserGate не могут иметь адреса из одной подсети. Если бы это было возможно, маршрутизация была бы непредсказуемой.
Yandex Browser не использует импортированный сертификат UserGate (проблема характерна, в основном, для Linux систем).
Для доверия сертификату UserGate со стороны Yandex Browser необходимо сделать следующее:
Записи о блокировке широковещательных UDP-пакетов заполняют журнал трафика, что затрудняет его чтение.
Создать правило DNAT для перенаправления таких пакетов на широковещательный адрес несуществующей сети. Это предотвратит срабатывание блокирующего правила, созданного по умолчанию, и заполнение журналов лишними записями. Пример правила DNAT представлен на рисунке ниже:
Постоянное переключение шлюзов.
Это поведение является результатом работы проверки сети – указанный в настройках адрес периодически не проходит проверку.
Проверка сети настраивается в разделе Сеть➜ Шлюзы вкладки Настройки веб-интерфейса управления (подробнее читайте в соответствующей главе руководства администратора).
Не работают правила, содержащие ограничения по пользователям, полученным с внешних серверов (например, LDAP-коннектора).
Возможны несколько причин возникновения данной проблемы.
Для того чтобы пользователей можно было использовать в правилах любого модуля, пользователи должны пройти аутентификацию одним из поддерживаемых методов (подробнее читайте в соответствующем разделе руководства администратора).
Случай ассиметричного трафика: пакет от клиента к серверу передаётся через UserGate, а обратный - напрямую к клиенту (без обработки на UserGate). В этом случае межсетевой экран с контролем состояния обратный пакет не привязывает к пользователю. В такой ситуации необходимо правильно настроить маршрутизацию трафика, чтобы все пакеты шли через UserGate либо настроить правило SNAT для отправки такого трафика от имени UserGate.
Необходимо оперативно заблокировать пользователю доступ через VPN.
Необходимо создать для пользователя запрещающее правило межсетевого экрана.
В результате создания правила, пользователь будет подключаться по VPN, но не будет иметь доступа к ресурсам.
Необходимо разрешить работу клиента Yandex.Disk
Для организации работы клиента Яндекс.Диск необходимо создать новое правило дешифрования. Для этого перейдите в раздел Политики безопасности ➜ Инспектирование SSL. Создайте правило инспектирования SSL и задайте параметры.
Во вкладке Общие укажите:
Название правила инспектирования.
Действие - Не расшифровывать.
В разделе Библиотеки ➜ Списки URL создайте новый список и добавьте следующие сайты:
clck.yandex.ru
*.disk.yandex.net
push.yandex.ru
report.appmetrica.yandex.net
*storage.yandex.net
webdav.yandex.
passport.yandex.com
downloader.disk.yandex.
mds.yandex.net
cloud-api.yandex.
oauth.yandex.
Список URL также можно создать при настройке правила во вкладке Домены (кнопка Создать и добавить новый объект).
Далее во вкладке Домены свойств правил инспектирования укажите созданный ранее список URL.
При настройке VPN на клиентском компьютере необходимо указать протокол PAP для авторизации пользователя.
На устройствах с операционной системой MacOS запретите использование протоколов авторизации, отличных от PAP. Для этого выполните в терминале следующие команды:
echo refuse-chap > ~/.ppprc
echo refuse-mschap >> ~/.ppprc
echo refuse-mschap-v2 >> ~/.ppprce>
Результатом выполнения команд является создание файла ~/ppprc cо следующим содержимым:
refuse-chap
refuse-mschap
refuse-mschap-v2
В журнале веб-доступа присутствуют избыточные записи о срабатываниях правил контентной фильтрации (переход по ссылке может сформировать 20-30 записей).
Такое поведение обусловлено особенностями работы веб-сервиса - невозможно отличить, когда переход совершен браузером, а когда пользователем.
Для изучения рекомендуется:
Таким образом будет легче разобраться в механизме веб-фильтров и изучить работу созданных правил.
Необходимо проверить что правила антиспам модуля находятся в рабочем состоянии и выполняют свою задачу.
Проверить работу антиспам фильтра можно с помощью шаблона GTUBE (Generic Test for Unsolicited Bulk Email). Для этого нужно создать почтовое сообщение, содержащее следующую строку(без пробелов и переносов) и отправить его на Ваш почтовый адрес:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Работу антиспам фильтра можно посмотреть с помощью виджетов Графики защиты почты и Сводные показатели защиты почты в разделе Дашборд.
Также возможно отслеживать результаты работы антиспам фильтров UserGate по логам самих почтовых серверов, которые находятся за периметром UserGate, если в вашем правиле стоит функция Маркировать - тогда письма будут приходить с дополнительным тегом [SPAM].
Сертификат ФСТЭК относится к решению в целом, а не к его конкретной версии. UserGate в должном порядке вносит изменения в свое сертифицированное средство защиты информации, как это предусмотрено Приказом ФСТЭК №55 от 03 апреля 2018 года (см. п. 71, 73, 74).
Исходя из этого, в любой период времени, правильным является использование последней версии UserGate со всеми новейшими обновлениями. О выходе версии сообщено во ФСТЭК, и она передана в испытательную лабораторию для проведения испытаний. Обновления сертификатов, технических условий и формуляра происходит в установленным ФСТЭК порядке после окончания испытаний, информация об этом доводится до пользователей сертифицированного решения (сертификат ФСТЭК России и подробная информация доступны на сайте UserGate).
При подключении по VPN устройства c ОС Windows разрывают соединение.
Разрыв соединения происходит после получения системой отрицательного результата проверки доступности сети Интернет (для проверки доступности выполняется запрос на ресурс www.msftconnecttest.com).
Для решения проблемы добавьте разрешающее правило контентной фильтрации, указав зону источника, с которой происходит подключение пользователей по VPN.
Также можно на компьютере в свойствах VPN-подключения отключить использование основного шлюза в удалённой сети, тогда ОС Windows не будет выполнять разрыв соединения при отсутствии на NGFW разрешающего правила контентной фильтрации. В этом случае при VPN-подключении шлюз по умолчанию не изменится, а нужные маршруты будут получены компьютером от NGFW в соответствии с настройками VPN-сети.
Настроен Site-to-Site VPN между двумя UserGate, маршруты до внутренних сетей прописаны. После подключения наблюдается низкая скорость передачи.
Необходимо сделать исключения защиты от DoS для адресов интерфейсов, которые используются для построения VPN-туннеля. Исключения добавляются в свойствах зоны, которой принадлежит интерфейс, в разделе Сеть ➜ Зоны.
Из локальной сети нет доступа к ресурсам, опубликованным с использованием правил reverse-прокси, по внешнему URL.
Для обеспечения доступа пользователей локальной сети к ресурсам, опубликованным с помощью reverse-прокси, через адрес внешнего интерфейса необходимо:
Для обеспечения доступа к опубликованным ресурсам из локальной сети по внешнему URL для версии 6.1.9 необходимо на внутреннем DNS-сервере создать запись типа А, которая будет разрешать FQDN ресурса во внутренний IP-адрес сервера.
Можно ли развернуть VPN за UserGate, если на нём уже настроен VPN?
Да, можно, если сервер за UserGate использует UDP-порты отличные от 500 и 4500 или на внешнем интерфейсе UserGate есть второй адрес.
На UserGate произведите следующие настройки:
Возникает ошибка Мало места на разделе для журналов.
Данное сообщение информирует о превышении 92% занимаемого места от размера диска. Журналы автоматически ротируются, т.е. старые данные удаляются, освобождая место для записи новых. Место на диске освобождается небольшими блоками, поэтому данное сообщение будет периодически появляться.
Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.
Если требуется хранить журналы за больший период времени, то можно добавить дополнительный диск или увеличить размер существующего диска на виртуальной машине. Далее необходимо выполнить перезагрузку UserGate; при загрузке в Support Menu необходимо выполнить увеличение раздела для журналов на весь выделенный диск (Expand log partition).
У пользователя на терминальном сервере в браузере периодически появляется ошибка "Нет подключения к прокси серверу". С чем это может быть связано?
Терминальный сервер перехватывает запросы от каждого пользователя и назначает свой диапазон портов. По диапазону портов NGFW идентифицирует пользователей терминального сервера.
Терминальный сервер использует следующий диапазон портов: 5000 - 49000 (всего 44000 портов). Агент, по умолчанию, настроен на работу 50 пользователей, на каждого из которых выделяется 880 портов; если портов не хватает, то соединения не будут установлены.
Проверьте журнал работы агента (файл entsagent в папке %ALLUSERSPROFILE%\Entensys\Terminal Server Agent\). Если есть сообщение not enought ports, то подключение не устанавливается из-за нехватки портов.
В настройках агента терминального сервера можно изменить количество пользователей, которые будут использовать агент терминального сервера. Если уменьшить количество пользователей, то на каждого пользователя будет выделено больше портов, и наоборот. Диапазон портов назначается пользователю после его регистрации на терминальном сервере, данная информация передаётся на NGFW. Освобождение диапазона происходит после прекращения сеанса работы в качестве зарегистрированного пользователя терминального сервера.
Файл конфигурации tsagent.cfg находится в той же папке, что и журнал работы агента. Для указания количества пользователей измените параметр Maximum user count.
Если терминальных подключений много, то можно добавить на интерфейс сервера еще адрес (или несколько); при добавлении адреса количество доступных портов увеличивается в 2 раза.
При попытке подключения к VPN отображается ошибка: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, во время согласований с удаленным компьютером.
На клиентском ПК проверьте:
Как правильно использовать пул IP адресов для NAT трансляции?
В настройках правила типа NAT укажите пул IP-адресов в виде диапазона адресов, которые будут использоваться для замены адреса источника при наттировании пакетов (поле SNAT IP).