UserID агент

ID статьи: 1624
Последнее обновление: 18 ноя, 2024
Product: DCFW
Version: 8.x
Technology: Identification and Authentication

UserID — технология прозрачной аутентификации пользователей на устройствах UserGate. Источниками данных для однозначной идентификации пользователей являются журналы безопасности операционных систем доменных контроллеров, данные журналов серверов приложений и доступа, в которых пользователи уже аутентифицированы.

Для того, чтобы создавать политики, включающие пользователей и группы, межсетевому экрану необходимо сопоставить IP-адреса с пользователями, получившими эти адреса и извлечь информацию о группах, в которые они входят. UserID предоставляет несколько методов, позволяющие выполнить такое сопоставление. Например, для получения информации о пользователях UserID может просматривать журналы на серверах в поисках сообщений от служб аутентификации. Те пользователи, чьи имена не удалось сопоставить с IP-адресами, могут быть перенаправлены на специальный портал (Captive Portal) для прохождения аутентификации. Для получения информации о группах межсетевой экран подключается напрямую к серверам LDAP.

В настоящий момент в качестве источников данных для аутентификации в UserID используются журналы Microsoft ActiveDirectory, данные, полученные по syslog, или сообщения RADIUS accounting (начиная с версии ПО 7.2.0). 

Для конечных пользователей работа UserID полностью прозрачна, то есть пользователям нет необходимости в явном виде проходить аутентификацию на DCFW.

Принцип работы UserID

В зависимости от сценария использования и настройки UserID агент получает данные о событиях, связанных с аутентификацией пользователей, одним из следующих способов:

1. Непосредственное получение данных узлом с UserID агентом от источников данных аутентификации с помощью настроенных коннекторов:

  • UserID агент может подключаться к контроллеру домена AD через технологию WMI и считывать журналы событий безопасности.

  • UserID агент может принимать со сторонних серверов сообщения по стандарту syslog.

  • UserID агент может принимать со сторонних RADIUS NAS-серверов сообщения RADIUS accounting.

2. Работа c источником данных через посредника — специального программного агента, который устанавливается на контроллер домена или сервер-сборщик событий (WEC):

  • Программный агент UserID для AD/WEC устанавливается на контроллер домена (AD) или сервер-сборщик событий домена (WEC), читает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает её в формате syslog на коллектор UserID на LogAn (подробнее об агенте читайте в статье UserID агент для AD/WEC ).

Главные достоинства данного способа получения данных из домена AD:

  • Не требуется предоставлять доступ извне в контроллер домена для сбора данных об аутентификации пользователей, как это требуется при доступе по технологии WMI.

  • Не требуется создавать в домене специальный аккаунт с особыми привилегиями для узлов, на которых работает UserID агент.

 Рассмотрим принцип работы технологии UserID на примере сценария взаимодействия с Active Directory в качестве источника данных для аутентификации пользователей через технологию WMI.

На контроллере домена AD работает аудит событий безопасности, который записывает события по настроенным категориям в специальный журнал аудита.

После создания и настройки UserID агента и коннектора "Microsoft Active Directory" на DCFW, UserID агент начинает периодически отправлять на контроллер AD WMI-запросы для извлечения следующих событий по Event ID из журнала аудита:

  • 4624 — успешный вход в систему;

  • 4768 — запрос билета аутентификации Kerberos TGT;

  • 4769 — запрос билета аутентификации Kerberos TGS; 

  • 4770 — обновление билета аутентификации Kerberos TGS;

  • 4627 — сведения о членстве в группах.

Данные события позволяют UserID агенту получать информацию о регистрации пользователей и членстве в группах. Полученная информация записывается в специальную системную базу данных на DCFW.

UserID агент периодически обращается к этой базе данных, извлекает из записей имя пользователя, домен, SID, IP-адрес, список групп пользователя. Эти данные кэшируются. Интервал поиска записей в базе данных можно задать в настройках UserID агента. Время жизни данных о пользователе в кэше устанавливается в настройках коннектора UserID агента на DCFW. 

В случае, если список групп, в которые входит пользователь, не был получен, UserID агент обращается к контроллеру домена по протоколу LDAP в соответствии с настроенным профилем аутентификации для получения информации о группах. 

При обработке сетевого трафика, в том случае, если в правилах настроены условия для определённых пользователей и групп, DCFW обращается к кэшу для поиска информации о том, какие пользователи зарегистрированы с какими IP-адресами. Эта информация используется для принятия решения о том, как будут обрабатываться пакеты. 

Завершение сессий пользователей может принудительно инициироваться администратором DCFW. Для этого администратор может выполнить сброс всех пользователей или сброс отдельного пользователя:

  • В веб-консоли администратора в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации на панели инструментов нажать кнопку Сбросить аутентификацию всех пользователей:

Admin@nodename# execute termination user-sessions ip <IP-address>

В сценарии с использованием в качестве источника данных аутентификации пользователей серверов-источников данных syslog принцип работы аналогичен, только DCFW в этом случае выступает в роли syslog listener — принимает сообщения от отправителя syslog (номер порта и протокол устанавливаются в настройках UserID агента, по умолчанию порт TCP 514) и затем отфильтровывает нужные события из потока принятых данных с помощью настроенных фильтров из библиотеки "Syslog фильтры UserID агента". В этом случае в базу данных сохраняются: имя пользователя, IP-адрес, SID (опционально). Для получения информации о группах, в которых зарегистрирован пользователь, UserID агент обращается к контроллеру домена по LDAP протоколу в соответствии с настроенным профилем аутентификации UserID агента.

В сценарии с использованием сообщений RADIUS accounting в качестве источника данных аутентификации пользователей принцип работы в целом схож. DCFW в этом сценарии выступает в роли пропускного RADIUS-сервера — принимает сообщения RADIUS accounting от серверов NAS (по порту UDP 1813) и проверяет пользователя на контроллере домена AD по LDAP в соответствии с настроенным профилем аутентификации UserID агента.

Настройка UserID агента на DCFW не является кластерной, а значит ее нужно производить на каждом узле отдельно. После настройки UserID агент будет работать самостоятельно и самостоятельно получать данные о событиях логин\логаут из журналов источников.

Помимо DCFW UserID может работать на устройствах LogAn (Log Analyzer). Подробнее о работе UserID на LogAn читайте в руководстве администратора Log Analyzer. Использование LogAn позволяет масштабировать технологию UserID на другие устройства сети. Принцип работы UserID на устройстве LogAn аналогичен принципу работы на DCFW. Найденные в собранных данных события отправляются на другие DCFW в соответствии с политикой UserID Sharing на основании настроенных профилей редистрибуции. Данная политика позволяет при необходимости отправлять разные данные на разные узлы DCFW. На DCFW отправляются только GUID пользователя, его IP-адрес и список идентификаторов групп, участником которых он является. Такая архитектура позволяет использовать один или несколько серверов LogAn для централизованного сбора информации о пользователях с различных источников и далее централизованно и избирательно распространять эту информацию на узлы DCFW в сети.     

Алгоритм настройки UserID

Для настройки работы UserID необходимо выполнить ряд действий как на стороне источников данных аутентификации, так и на DCFW.

На стороне источников данных

При работе с Active Directory в качестве источника данных об аутентификации пользователей, необходимо включить аудит событий безопасности. Потребуются следующие категории:

  • Audit LogOn;

  • Audit LogOff;

  • Audit Kerberos Authentication Service;

  • Audit Group Membership;

  • Audit Kerberos Service Ticket Operations.

При работе с серверами-источниками данных syslog необходимо на них настроить отправку журналов на адрес UserID агента (то есть на IP-адрес DCFW; номер порта и протокол устанавливаются в настройках UserID агента, по умолчанию порт TCP 514).

При работе с серверами RADIUS NAS необходимо на серверах настроить отправку сообщений RADIUS accounting на адрес UserID агента (то есть на IP-адрес DCFW, порт UDP 1813).

На стороне DCFW

На стороне DCFW необходимо выполнить следующие настройки:

  • Создать сервер аутентификации для UserID агента. Подробнее о создании и настройке сервера аутентификации читайте в статье Серверы аутентификации.

  • Создать профиль аутентификации для UserID агента. Подробнее о создании и настройке профиля аутентификации читайте в статье Профили аутентификации.

  • Для сценария с серверами-источниками данных syslog активировать сервис "UserID syslog collector" в настройках контроля доступа зоны, где будет находиться отправитель syslog. Для сценария с RADIUS NAS-серверами активировать сервис "Агент аутентификации" в настройках контроля доступа зон, где будет находиться серверы RADIUS NAS. Подробнее о создании и настройке зон читайте в статье Настройка зон.

  • Создать коннектор UserID агента в соответствии с методом получения данных аутентификации;

  • Настроить общие параметры UserID агента.

Создание коннектора UserID агента

Коннектор UserID агента в веб-консоли администратора DCFW создаётся в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы. Необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора:

  • Microsoft Active Directory;

  • Отправитель syslog;

  • RADIUS-сервер.

Microsoft Active Directory

В случае, если в качестве источника информации выступает Microsoft Active Directory, необходимо:

1. Настроить источник событий. 

2. Настроить параметры коннектора UserID агента для мониторинга AD.

Для включения аудита событий на сервере AD необходимо отредактировать Политики Аудита в Политике домена по умолчанию и Конфигурацию расширенной политики, как указано на следующих снимках экрана, используя оснастку gpedit.msc:

Для выполнения WMI-запросов необходимо создать пользователя с соответствующими привилегиями по процедуре, указанной ниже.

Внимание!Эти настройки нужны для подключения агента по WMI посредством учётной записи с ограниченными правами.

1. Создать учётную запись пользователя на контроллере домена:

  • Перейти в меню Пуск ➜ Диспетчер серверов ➜ Средства ➜ Active Directory — пользователи и компьютеры

  • В необходимом Подразделении (OU) создать Нового пользователя для UserID.

2. Сконфигурировать членство в группах для новой учётной записи пользователя:

  • Нажать правой кнопкой мыши по новой учётной записи пользователя UserID и выбрать Свойства.

  • Нажать на вкладку Членство в группах.

  • Нажать Добавить ➜ Дополнительно ➜ Поиск.

  • Выбрать следующие группы:

    • Пользователи DCOM

    • Пользователи журналов производительности

    • Пользователи удалённого рабочего стола

    • Читатели журнала событий

  • Нажать OK

3. Назначить права Distributed Component Object Model (DCOM):

  • Перейти в меню Windows Пуск  Администрирование  Службы компонентов. Откроется окно Службы компонентов.

  • Раскрыть Службы компонентов  Компьютеры  Мой компьютер.

  • Нажать правой кнопкой мыши по Мой компьютер и выбрать Свойства. Откроется окно Свойства: Мой компьютер.

  • Перейти во вкладку Безопасность COM.

  • В области Права доступа нажать Изменить ограничения.

  • Убедиться, что для Пользователи DCOM выбрано Локальный доступ и Удалённый доступ.

  • Нажать OK, чтобы сохранить настройки.

  • В окне Свойства: Мой компьютер нажать в области Разрешения на запуск и активацию на Изменить ограничения.

  • Убедиться, что для Пользователи DCOM выбрано Локальный запускУдалённый запускЛокальная активация и Удалённая активация.

  • Нажать OK, чтобы сохранить настройки, и ещё раз нажать OK, чтобы закрыть окно Свойства: Мой компьютер.

  • Выбрать Файл  Выход, чтобы закрыть окно Службы компонентов.

4. Сконфигурировать назначения защиты пространства имён WMI:

  • Перейти в меню Пуск  Выполнить.

  • Ввести wmimgmt.msc и нажать OK.

  • Нажать правой кнопкой мыши на Элемент управления WMI (локальный) и выбрать Свойства.

  • Перейти на вкладку Безопасность.

  • Нажать Безопасность ➜ Добавить ➜ Дополнительно ➜ Поиск.

  • Выбрать новую учётную запись пользователя, нажимать OK, пока вы не вернётесь в окно Безопасность для Root.

  • Нажать Дополнительно и выбрать добавленную учётную запись пользователя.

  • Нажать Изменить.

  • В меню Применяется к: выбрать Данное пространство и подпространство имён.

  • Убедиться, что выбрано Выполнение методовВключить учётную записьВключить удалённо и Прочесть безопасность.

  • Нажать OK, пока вы не вернётесь в окно wmimgmt.

  • Выбрать Файл  Выход, чтобы закрыть окно wmimgmt.

Внимание! Обновление Windows KB5014692 может привести к появлению ошибок доступа к WMI типа: NTSTATUS: NT_STATUS_ACCESS_DENIED. В этом случае можно попробовать добавить в реестр Windows следующую информацию:
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: 0x00000000

При использовании серверов AD в качестве источников событий UserID агент выполняет WMI-запросы для поиска событий, связанных с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627).

В веб-консоли администратора DCFW в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: Microsoft Active Directory. Далее указать следующие данные:

  • Включено — Включение/отключение получения журналов с источника.

  • Название — Название источника.

  • Описание — Описание источника (опционально).

  • Адрес сервера — Адрес сервера Microsoft Active Directory.

  • Протокол — Протокол доступа к AD (WMI).

  • Пользователь — Имя пользователя для подключения к AD.

  • Пароль — Пароль пользователя для подключения к AD.

  • Профиль аутентификации — Название созданного ранее профиля аутентификации, с помощью которого производится поиск пользователей, найденных в журналах AD.

  • Время жизни аутентифицированного пользователя (сек.) — Период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кэша на DCFW. Значение по умолчанию – 2700 секунд (45 минут).

Syslog

В случае, если в качестве источника информации выступает отправитель syslog, необходимо:

1. Настроить источник событий.

Для корректной работы коннектора UserID агента syslog, необходимо настроить сервер-источник данных syslog для отправки журналов на адрес UserID агента. Подробнее см. документацию на отправитель syslog.

Параметры сервера syslog на DCFW можно посмотреть/скорректировать в общих настройках UserID агента.

2. Разрешить сбор информации с удалённых устройств по протоколу syslog.

В настройках контроля доступа зоны, в которой находится отправитель syslog, разрешить сервис "UserID syslog коллектор".

3. Настроить параметры коннектора UserID агента для отправителя syslog.

В веб-консоли администратора DCFW в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: Отправитель syslog. Далее указать следующие данные:

  • Включено — Включение/отключение получения журналов с источника.

  • Название — Название источника.

  • Описание — Описание источника (опционально).

  • Адрес сервера — Адрес хоста, с которого DCFW будет получать события по протоколу syslog.

  • Домен по умолчанию — Название домена, который используется для поиска найденных в журналах syslog пользователей.

  • Часовой пояс — Часовой пояс, установленный на источнике.

  • Профиль аутентификации — Профиль аутентификации, с использованием которого происходит поиск пользователя, найденного в журналах syslog.

  • Время жизни аутентифицированного пользователя (сек.) — Период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кэша на DCFW. Значение по умолчанию – 2700 секунд (45 минут).

На вкладке Фильтры выбираются фильтры для поиска необходимых записей журнала. 

Фильтры создаются и настраиваются в разделе Библиотеки ➜ Syslog фильтры UserID агента. Подробнее читайте в разделе Syslog фильтры UserID агента.

RADIUS accounting 

(Доступно начиная с версии ПО 7.2.0).

В случае, если источником информации выступают сообщения RADIUS accounting, необходимо:

1. Настроить источник событий.

Для корректной работы коннектора UserID агента, необходимо настроить NAS-сервер для отправки сообщений RADIUS accounting на адрес UserID агента (порт UDP 1813). Подробнее см. документацию на NAS-сервер.

2. Разрешить получение запросов RADIUS accounting от удалённых устройств.

В настройках контроля доступа зон, в которых находятся NAS-серверы, разрешить сервис "Агент аутентификации".

3. Настроить параметры коннектора UserID агента для RADIUS-сервера.

В веб-консоли администратора DCFW в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: RADIUS-сервер. Далее указать следующие данные:

  • Включено — Включение/отключение получения журналов с источника.

  • Название — Название источника.

  • Описание — Описание источника (опционально).

  • Время жизни аутентифицированного пользователя (сек.) — Период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кэша на DCFW. Значение по умолчанию – 2700 секунд (45 минут).

  • Профиль аутентификации — Профиль аутентификации, с использованием которого происходит поиск пользователя, найденного в журналах RADIUS accounting.

  • Атрибут для имени — Номер radius attribute type, в котором находится имя пользователя. Значение по умолчанию: 1.

  • Атрибут для групп — Номер radius attribute type, в котором находится группа пользователя, по умолчанию группа не проверяется.

  • Домен по умолчанию — Имя домена, в котором будет производиться поиск пользователя в случае, если в запросе не было явно указано какому домену принадлежит пользователь.

  • Секретный код — Общий ключ, используемый протоколом RADIUS для аутентификации.

На вкладке Адреса указываются адреса хостов (NAS-серверов), с которых UserID агент будет получать события RADIUS accounting:

Настройка UserID агента

Настройка общих параметров UserID агента производится в разделе Настройки ➜ Пользователи и устройства ➜ Свойства агента UserID. Необходимо нажать кнопку Редактировать на панели инструментов:

На вкладке Общие настраиваются интервалы опроса дынных:

  • Интервал опроса WMI — Период опроса серверов Active Directory. Значение по умолчанию – 120 секунд.

  • Интервал опроса syslog — Период опроса базы данных для поиска событий начала/завершения сеанса пользователей syslog-источников. Значение по умолчанию – 60 секунд.

  • Интервал опроса RADIUS — Период опроса базы данных для поиска событий начала/завершения сеанса пользователей по RADIUS-логу. Значение по умолчанию – 120 секунд. (Опция доступна начиная с релиза ПО 7.2.0).

На вкладке Протоколы syslog настраиваются параметры соединения с сервером syslog:

Для протокола TCP:

  • Включено — Включение/отключение протокола TCP для приёма журналов syslog.

  • Порт — Номер порта, используемого для сбора syslog-событий. По умолчанию — порт 514.

  • Максимальное количество сессий — Максимальное количество устройств, подключённых одновременно с целью отправки сообщений.

  • Безопасное соединение — Включение/отключение шифрования потока данных. 

  • Файл сертификата УЦ — Сертификат удостоверяющего центра, который используется для установления безопасного соединения.

  • Файл сертификата — Сертификат, созданный пользователем и подписанный удостоверяющим центром.

Для протокола UDP:

  • Включено — Включение/отключение протокола UDP для приёма журналов syslog.

  • Порт — Номер порта, используемого для сбора syslog-событий. По умолчанию — порт 514.

На вкладке Списки Ignore server указываются списки IP-адресов, события от которых будут проигнорированы UserID агентом. Запись об игнорировании источника появится в журнале UserID:

Список может быть создан в разделе Библиотеки ➜ IP-адреса, или при настройке UserID агента (кнопка Создать и добавить новый объект). Подробнее о создании и настройке списков IP-адресов читайте в разделе IP-адреса.

Данная настройка является глобальной и относится ко всем источникам.

На вкладке Списки Ignore user указываются имена пользователей, события от которых будут проигнорированы UserID агентом. Поиск производится по Common Name (CN) пользователя AD:

Данная настройка является глобальной и относится ко всем источникам. Запись об игнорировании пользователя появится в журнале UserID.

Важно! При задании имени допустимо использовать символ астериск (*), но только в конце строки.

ПримечаниеПри подключении DCFW к Log Analyzer возможна одновременная работа UserID агентов, настроенных на обоих устройствах. Агенты устройств будут работать независимо друг от друга. События журналов UserID агента, полученные DCFW, как и события других журналов, будут переданы на LogAn.

Журналирование

UserID агент периодически обращается к настроенным источникам данных. Полученные события сохраняются в служебной базе данных без каких-либо изменений. Содержимое данной базы можно посмотреть в соответствующих журналах:

  • Журнал Windows AD коннектора;

  • Syslog коннектор;

  • RADIUS коннектор.

В веб-консоли администратора DCFW их можно посмотреть в разделе Журналы и отчеты ➜ Журналы ➜ Агент UserID:

UserID агент периодически обращается к служебной базе данных и извлекает из записей событий имя пользователя, SID, домен, IP-адрес, списки групп. Результаты обработки записей событий заносятся в журнал "UserID агент события аутентификации". Посмотреть его можно в том же разделе: Журналы и отчеты ➜ Журналы ➜ Агент UserID.

Описание журналов источников данных и UserID агента читайте в статье Агент UserID раздела "Журналы и отчёты".

Описание форматов экспорта журналов UserID находится в Приложении в статье Описание форматов журналов.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1624
Последнее обновление: 18 ноя, 2024
Ревизия: 3
Просмотры: 4
Комментарии: 0
Теги