Работа UserGate Client в связке с UserGate NGFW

UserGate NGFW при работе в связке с конечными устройствами c установленным приложением UserGate Client может выполнять функции VPN-сервера, сервера контроля сетевого доступа и межсетевого экрана. 

После установления VPN-соединения конечные устройства автоматически регистрируются на UserGate NGFW. Взаимодействие конечных устройств с UserGate NGFW производится по порту 4045 с использованием протокола HTTPS.

После регистрации на UserGate NGFW каждому новому конечному устройству присваивается уникальный идентификатор, который хранится в базе UserGate NGFW.

Конечное устройство периодически отправляет на UserGate NGFW данные телеметрии. UserGate NGFW на основе полученных данных выполняет проверку соответствия конечных устройств требованиям безопасности с помощью HIP-профилей. Информация о результате проверки передается далее для использования в правилах межсетевого экрана UserGate NGFW.

Тайм-аут активности конечных устройств составляет две минуты, то есть, если в течение двух минут на UserGate NGFW не поступает информация от конечного устройства, оно считается неактивным. По истечении трех периодов неактивности запись о конечном устройстве удаляется из базы UserGate NGFW. При повторном подключении конечное устройство будет заново зарегистрировано. Если конечное устройство будет подключено до истечения этого времени, его запись будет обновлена.

После подключения к другому VPN-серверу конечное устройство будет зарегистрировано на новом UserGate NGFW.

Проверка HIP на UserGate NGFW

Проверка на соответствие требованиям безопасности (комплаенса) на UserGate NGFW происходит по следующей схеме.

Конечное устройство отправляет на UserGate NGFW следующие данные:

• информацию о пользователях;

• данные о системе (версия, издание, netbios-имя);

• список запущенных процессов;

• список запущенных служб;

• список установленного программного обеспечения (название, вендор, версия);

• ключи реестра, которые используются в HIP-объектах;

• список обновлений системы;

• элементы автозагрузки;

• информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т. п.);

• информацию о точках восстановления системы.

Полученные от конечного устройства данные расшифровываются и передаются для сравнения с HIP-профилями. Информация о результате проверки передается далее для использования в правилах межсетевого экрана. Если конечное устройство соответствует всем условиям правила межсетевого экрана на UserGate NGFW, это правило становится активным для данного конечного устройства.

Для подключения конечного устройства к UserGate NGFW:

1. В выбранной зоне UserGate NGFW разрешите подключение конечных устройств. Для этого в параметрах зоны разрешите сервис «Подключение конечных устройств».

2. Укажите данные для установки защищенного соединения между конечным устройством и UserGate NGFW. Для этого в веб-консоли UserGate NGFW в разделе Настройки ➜ Консоль администратора ➜ Настройки укажите сертификат и профиль для установки защищенного соединения. При подключении конечное устройство будет проверять актуальность сертификата. В случае смены сертификата на UserGate NGFW при наличии уже подключенных конечных устройств необходимо распространить корневой сертификат удостоверяющего центра (Root CA); сертификат необходимо поместить в хранилище локального компьютера «Доверенные корневые центры сертификации».

3. Настройте UserGate NGFW в качестве VPN-сервера. Подробнее о настройке UserGate NGFW в качестве VPN-сервера для сценария удаленного подключения конечных устройств  — в разделе «VPN для удаленного доступа клиентов (Remote access VPN)».

После установки VPN-соединения регистрация конечного устройства произойдет автоматически. Политики безопасности, настроенные на UserGate NGFW, также будут применены к конечным устройствам. Для проверки на соответствие требованиям безопасности (комплаенса) конечное устройство будет отправлять телеметрию на UserGate NGFW с периодичностью в 1 минуту.

Конечное устройство будет производить попытку регистрации каждый раз после подключения к новому VPN-серверу.