UserID — технология прозрачной аутентификации пользователей. Источниками данных для однозначной идентификации пользователей являются журналы безопасности операционных систем доменных контроллеров, данные журналов серверов приложений и доступа, в которых пользователи уже аутентифицированы.

Чтобы создавать политики, включающие пользователей и группы, межсетевому экрану необходимо сопоставить IP-адреса с пользователями, получившими эти адреса и извлечь информацию о группах, в которые они входят. UserID предоставляет несколько методов, позволяющих выполнить такое сопоставление. Например, для получения информации о пользователях UserID может просматривать журналы на серверах в поисках сообщений от служб аутентификации. Те пользователи, чьи имена не удалось сопоставить с IP-адресами, могут быть перенаправлены на специальный портал (Captive Portal) для прохождения аутентификации. Для получения информации о группах межсетевой экран подключается напрямую к серверам LDAP.

В качестве источников данных для аутентификации в UserID используются журналы Microsoft Active Directory, данные, полученные по syslog или сообщения RADIUS accounting (в версии 7.2.0 и выше).

Для конечных пользователей работа UserID полностью прозрачна, то есть пользователям нет необходимости в явном виде проходить аутентификацию на UserGate NGFW.

Принцип работы UserID

В зависимости от сценария использования и настройки UserID-агент получает данные о событиях, связанных с аутентификацией пользователей, одним из следующих способов:

Непосредственное получение данных узлом с UserID-агентом от источников данных аутентификации с помощью настроенных коннекторов:
- UserID-агент может подключаться к контроллеру домена AD с помощью технологии WMI и считывать журналы событий безопасности;
- UserID-агент может принимать со сторонних серверов сообщения по протоколу syslog;
- UserID-агент может принимать со сторонних RADIUS NAS-серверов сообщения RADIUS accounting.

Получение данных через посредника — специального программного агента, который устанавливается на контроллер домена или сервер-сборщик событий (WEC):

Программный агент UserID для AD/WEC устанавливается на контроллер домена (AD) или сервер-сборщик событий домена (WEC), читает необходимую для идентификации пользователя информацию из журналов безопасности Windows и пересылает ее в формате syslog на коллектор UserID на UserGate Log Analyzer (подробнее об агенте читайте в статье UserID-агент для AD/WEC ).

Главные достоинства такого способа получения данных из домена AD:

не требуется предоставлять доступ извне в контроллер домена для сбора данных об аутентификации пользователей, как это требуется при доступе по технологии WMI;
не требуется создавать в домене специальный аккаунт с особыми привилегиями для узлов, на которых работает UserID-агент.

Рассмотрим принцип работы технологии UserID на примере сценария взаимодействия с Active Directory в качестве источника данных для аутентификации пользователей через технологию WMI.

На контроллере домена AD работает аудит событий безопасности, который записывает события по настроенным категориям в специальный журнал аудита.

После создания и настройки UserID-агента и коннектора Microsoft Active Directory на UserGate NGFW, UserID-агент начинает периодически отправлять на контроллер AD WMI-запросы для извлечения следующих событий по Event ID из журнала аудита:

4624 — успешный вход в систему;
4768 — запрос билета аутентификации Kerberos TGT;
4769 — запрос билета аутентификации Kerberos TGS;
4770 — обновление билета аутентификации Kerberos TGS;
4627 — сведения о членстве в группах.

Данные события позволяют UserID-агенту получать информацию о регистрации пользователей и членстве в группах. Полученная информация записывается в специальную системную базу данных на UserGate NGFW.

Информация из Microsoft AD о выходе пользователя из системы в настоящий момент не обрабатывается.

UserID-агент периодически обращается к этой базе данных, извлекает из записей имя пользователя, домен, SID, IP-адрес, список групп пользователя. Эти данные кэшируются. Интервал поиска записей в базе данных можно задать в настройках UserID-агента. Время жизни данных о пользователе в кеш-памяти устанавливается в настройках коннектора UserID-агента на UserGate NGFW.

В случае, если список групп, в которые входит пользователь, не был получен, UserID-агент обращается к контроллеру домена по протоколу LDAP в соответствии с настроенным профилем аутентификации для получения информации о группах.

При обработке сетевого трафика, в том случае, если в правилах настроены условия для определенных пользователей и групп, UserGate NGFW обращается к кеш-памяти для поиска информации о том, какие пользователи зарегистрированы с какими IP-адресами. Эта информация используется для принятия решения о том, как будут обрабатываться пакеты.

Завершение сессий пользователей может принудительно инициироваться администратором UserGate NGFW. Для этого администратор может выполнить сброс всех пользователей или сброс отдельного пользователя:

в веб-консоли UserGate NGFW в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации на панели инструментов нажать Сбросить аутентификацию всех пользователей:
В консоли CLI — командой:

Admin@nodename# execute termination user-sessions ip <IP-address>

В сценарии с использованием серверов-источников данных syslog в качестве источника данных аутентификации пользователей принцип работы аналогичен, только UserGate NGFW в этом случае выступает в роли syslog listener — принимает сообщения от отправителя syslog (номер порта и протокол устанавливаются в настройках UserID-агента, по умолчанию порт TCP 514) и затем отфильтровывает нужные события из потока принятых данных с помощью настроенных фильтров из библиотеки Syslog фильтры UserID-агента. В этом случае в базу данных сохраняются: имя пользователя, IP-адрес, SID (опционально). Для получения информации о группах, в которых зарегистрирован пользователь, UserID-агент обращается к контроллеру домена по LDAP протоколу в соответствии с настроенным профилем аутентификации UserID-агента.

В сценарии с использованием сообщений RADIUS accounting в качестве источника данных аутентификации пользователей принцип работы в целом схож. UserGate NGFW выступает в роли пропускного RADIUS-сервера — принимает сообщения RADIUS accounting от серверов NAS (по порту UDP 1813) и проверяет пользователя на контроллере домена AD по LDAP в соответствии с настроенным профилем аутентификации UserID-агента.

Настройка UserID-агента на UserGate NGFW не является кластерной, а значит ее нужно производить на каждом узле отдельно. После настройки UserID-агент будет работать самостоятельно и самостоятельно получать данные о событиях логин\логаут из журналов источников.

Помимо UserGate NGFW UserID может работать на устройствах UserGate Log Analyzer. Подробнее о работе UserID на Log Analyzer читайте в руководстве администратора UserGate Log Analyzer. Использование Log Analyzer позволяет масштабировать технологию UserID на другие устройства сети. Принцип работы UserID на устройстве UserGate Log Analyzer аналогичен принципу работы на UserGate NGFW. Найденные в собранных данных события отправляются на другие UserGate NGFW в соответствии с политикой UserID Sharing на основании настроенных профилей редистрибуции. Данная политика позволяет при необходимости отправлять разные данные на разные узлы UserGate NGFW. На NGFW отправляются только GUID пользователя, его IP-адрес и список идентификаторов групп, участником которых он является. Такая архитектура позволяет использовать один или несколько серверов UserGate Log Analyzer для централизованного сбора информации о пользователях с различных источников и далее централизованно и избирательно распространять эту информацию на узлы UserGate NGFW в сети.

ПримечаниеВ инфраструктурах с серверами Active Directory и высоким потоком событий аутентификации (свыше 50 событий в секунду) для корректной работы функции UserID рекомендуется применять сценарий сбора событий через AD/WEC-агент вместо сценария с технологией WMI. Это связано с ограниченной производительностью технологии WMI, которая может вызывать ошибки при получении данных и приводить к некорректной работе правил фильтрации.

Алгоритм настройки UserID

Для настройки работы UserID необходимо выполнить ряд действий как на стороне источников данных аутентификации, так и на UserGate NGFW.

Настройка на стороне источников данных:

При работе с Active Directory в качестве источника данных об аутентификации пользователей включите аудит событий безопасности. Потребуются следующие категории:
- Audit LogOn;
- Audit LogOff;
- Audit Kerberos Authentication Service;
- Audit Group Membership;
- Audit Kerberos Service Ticket Operations.
При работе с серверами-источниками данных syslog настройте отправку журналов на адрес UserID-агента (то есть на IP-адрес UserGate NGFW; номер порта и протокол устанавливаются в настройках UserID-агента, по умолчанию порт TCP 514).
При работе с серверами RADIUS NAS настройте отправку сообщений RADIUS accounting на адрес UserID-агента (то есть на IP-адрес UserGate NGFW, порт UDP 1813).

Настройка на стороне UserGate NGFW:

Создайте сервер аутентификации для UserID-агента. Подробнее о создании и настройке серверов аутентификации — в разделе «Серверы аутентификации».
Создайте профиль аутентификации для UserID-агента. Подробнее о создании и настройке профилей аутентификации — в разделе «Профили аутентификации».
Для сценария с серверами-источниками данных syslog активируйте сервис UserID syslog collector в параметрах контроля доступа зоны, где будет находиться отправитель syslog. Для сценария с RADIUS NAS-серверами активируйте сервис Агент аутентификации в настройках контроля доступа зон, где будет находиться серверы RADIUS NAS. Подробнее о создании и настройке зон — в разделе «Настройка зон».
Создайте коннектор UserID-агента в соответствии с методом получения данных аутентификации.
Настройте общие параметры UserID-агента.

Создание коннектора UserID-агента

Коннектор UserID-агента в веб-консоли UserGate NGFW создается в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы. Нажмитеь Добавить на панели инструментов и выберите тип создаваемого коннектора:

Microsoft Active Directory;
Отправитель syslog;
RADIUS-сервер.

Microsoft Active Directory

В случае, если в качестве источника информации выступает Microsoft Active Directory:

1. Настройте источник событий.

2. Настройте параметры коннектора UserID-агента для мониторинга AD.

Для включения аудита событий на сервере AD отредактируйте Политики Аудита в Политике домена по умолчанию и Конфигурацию расширенной политики, как указано на следующих снимках экрана, используя оснастку gpedit.msc:

Для выполнения WMI-запросов создайте пользователя с соответствующими привилегиями по процедуре, указанной ниже.

Внимание!Эти настройки нужны для подключения агента по WMI посредством учетной записи с ограниченными правами.

1. Создайте учетную запись пользователя на контроллере домена:

Перейдите в меню Пуск ➜ Диспетчер серверов ➜ Средства ➜ Active Directory — пользователи и компьютеры.
В соответствующем Подразделении (OU) создайте Нового пользователя для UserID.

2. Настройте членство в группах для новой учетной записи пользователя:

Нажмите правой кнопкой мыши на новой учетной записи пользователя UserID и выберите Свойства.
Перейдите на вкладку Членство в группах.
Нажмите Добавить ➜ Дополнительно ➜ Поиск.
Выберите следующие группы:
- Пользователи DCOM;
- Пользователи журналов производительности;
- Пользователи удаленного рабочего стола;
- Читатели журнала событий.
Нажмите OK.

3. Назначьте права Distributed Component Object Model (DCOM):

Перейдите в меню Windows Пуск ➜ Администрирование ➜ Службы компонентов. Откроется окно Службы компонентов.
Раскройте Службы компонентов ➜ Компьютеры ➜ Мой компьютер.
Нажмите правой кнопкой мыши на Мой компьютер и выберите Свойства. Откроется окно Свойства: Мой компьютер.
Перейдите на вкладку Безопасность COM.
В области Права доступа нажмите Изменить ограничения.
Убедитесь, что для Пользователи DCOM выбрано: Локальный доступ и Удаленный доступ.
Нажмите OK, чтобы сохранить параметры.
В окне Свойства: Мой компьютер нажмите в разделе Разрешения на запуск и активацию на Изменить ограничения.
Убедитесь, что для Пользователи DCOM выбрано: Локальный запуск, Удаленный запуск, Локальная активация и Удаленная активация.
Нажмите OK, чтобы сохранить настройки; еще раз нажмите OK, чтобы закрыть окно Свойства: Мой компьютер.
Выберите Файл ➜ Выход, чтобы закрыть окно Службы компонентов.

4. Настройте назначения защиты пространства имен WMI:

Перейдите в меню Пуск ➜ Выполнить.
Введите wmimgmt.msc и нажмите OK.
Нажмите правой кнопкой мыши на Элемент управления WMI (локальный) и выберите Свойства.
Перейдите на вкладку Безопасность.
Нажмите Безопасность ➜ Добавить ➜ Дополнительно ➜ Поиск.
Выберите новую учетную запись пользователя, нажмите OK, пока вы не вернетесь в окно Безопасность для Root.
Нажмите Дополнительно и выберите добавленную учетную запись пользователя.
Нажмите Изменить.
В меню Применяется к: выберите Данное пространство и подпространство имен.
Убедитесь, что выбрано Выполнение методов, Включить учетную запись, Включить удаленно и Прочесть безопасность.
Нажмите OK, пока вы не вернетесь в окно wmimgmt.
Выберите Файл ➜ Выход, чтобы закрыть окно wmimgmt.

Внимание! Обновление Windows KB5014692 может привести к появлению ошибок доступа к WMI типа: NTSTATUS: NT_STATUS_ACCESS_DENIED. В этом случае можно попробовать добавить в реестр Windows следующую информацию:

Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat

Value Name: "RequireIntegrityActivationAuthenticationLevel"

Type: dword

Value Data: 0x00000000

При использовании серверов AD в качестве источников событий UserID-агент выполняет WMI-запросы для поиска событий, связанных с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627).

В веб-консоли UserGate NGFW в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы нажмите Добавить и выберите тип создаваемого коннектора: Microsoft Active Directory. Укажите следующие параметры:

Включено — включение и отключение получения журналов с источника.
Название — название источника.
Описание — описание источника (опционально).
Адрес сервера — адрес сервера Microsoft Active Directory.
Протокол — протокол доступа к AD (WMI).
Пользователь — имя пользователя для подключения к AD.
Пароль — пароль пользователя для подключения к AD.
Профиль аутентификации — название созданного ранее профиля аутентификации, с помощью которого производится поиск пользователей, найденных в журналах AD.
Время жизни аутентифицированного пользователя (сек.) — период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кеш-памяти на UserGate NGFW. Значение по умолчанию – 2700 секунд (45 минут).

Syslog

В случае, если в качестве источника информации выступает отправитель syslog:

1. Настройте источник событий.

Для корректной работы коннектора UserID-агента syslog, настройте сервер-источник данных syslog для отправки журналов на адрес UserID-агента. Подробнее см. документацию на отправитель syslog.

Параметры сервера syslog на UserGate NGFW можно посмотреть или изменить в общих параметрах UserID-агента.

2. Разрешите сбор информации с удаленных устройств по протоколу syslog.

В параметрах контроля доступа зоны, в которой находится отправитель syslog, разрешите сервис UserID syslog коллектор.

3. Настройте параметры коннектора UserID-агента для отправителя syslog.

В веб-консоли UserGate NGFW в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы нажмите Добавить и выберите тип создаваемого коннектора Отправитель syslog. Далее укажите следующие данные:

Включено — включение или отключение получения журналов с источника.
Название — название источника.
Описание — описание источника (опционально).
Адрес сервера — адрес хоста, с которого UserGate NGFW будет получать события по протоколу syslog.
Домен по умолчанию — название домена, который используется для поиска найденных в журналах syslog пользователей.
Часовой пояс — часовой пояс, установленный на источнике. При использовании UserID-агента для AD/WEC в syslog-коннекторе всегда должно быть время в UTC независимо от настроек времени на контроллере домена.
Профиль аутентификации — профиль аутентификации, с использованием которого происходит поиск пользователя, найденного в журналах syslog.
Время жизни аутентифицированного пользователя (сек.) — период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кэша на UserGate NGFW. Значение по умолчанию: 2700 секунд (45 минут).

На вкладке Фильтры выбираются фильтры для поиска необходимых записей журнала.

Фильтры создаются и настраиваются в разделе Библиотеки ➜ Syslog фильтры UserID-агента. Подробнее — в разделе «Syslog фильтры UserID-агента».

RADIUS accounting

В случае, если источником информации выступают сообщения RADIUS accounting (доступно в версии 7.2.0 и выше):

1. Настройте источник событий.

Для корректной работы коннектора UserID-агента, настройте NAS-сервер для отправки сообщений RADIUS accounting на адрес UserID-агента (порт UDP 1813). Подробнее см. документацию на NAS-сервер.

2. Разрешите получение запросов RADIUS accounting от удаленных устройств.

В параметрах контроля доступа зон, в которых находятся NAS-серверы, разрешите сервис Агент аутентификации.

3. Настройте параметры коннектора UserID-агента для RADIUS-сервера.

В веб-консоли UserGate NGFW в разделе Настройки ➜ Пользователи и устройства ➜ UserID-агент коннекторы нажмите Добавить и выберите тип создаваемого коннектора: RADIUS-сервер. Укажите следующие данные:

Включено — включение и отключение получения журналов с источника.
Название — название источника.
Описание — описание источника (опционально).
Время жизни аутентифицированного пользователя (сек.) — период времени, по истечении которого сессия пользователя будет завершена, то есть информация о нем будет удалена из кеш-памяти. Значение по умолчанию – 2700 секунд (45 минут).
Профиль аутентификации — профиль аутентификации, с использованием которого происходит поиск пользователя, найденного в журналах RADIUS accounting.
Атрибут для имени — номер radius attribute type, в котором находится имя пользователя. Значение по умолчанию: 1.
Атрибут для групп — номер radius attribute type, в котором находится группа пользователя, по умолчанию группа не проверяется.
Домен по умолчанию — имя домена, в котором будет производиться поиск пользователя в случае, если в запросе не было явно указано какому домену принадлежит пользователь.
Секретный код — общий ключ, используемый протоколом RADIUS для аутентификации.

На вкладке Адреса указываются адреса хостов (NAS-серверов), с которых UserID-агент будет получать события RADIUS accounting:

Настройка UserID-агента

Настройка общих параметров UserID-агента производится в разделе Настройки ➜ Пользователи и устройства ➜ Свойства агента UserID. Нажмите Редактировать на панели инструментов.

На вкладке Общие настраиваются интервалы опроса дынных:

Интервал опроса WMI — период опроса серверов Active Directory. Значение по умолчанию: 120 секунд.
Интервал опроса syslog — период опроса базы данных для поиска событий начала и завершения сеанса пользователей syslog-источников. Значение по умолчанию: 60 секунд.
Интервал опроса RADIUS — период опроса базы данных для поиска событий начала и завершения сеанса пользователей по RADIUS-логу (доступно в версии 7.2.0 и выше). Значение по умолчанию: 120 секунд.

На вкладке Протоколы syslog настраиваются параметры соединения с сервером syslog.

Для протокола TCP:

Включено — включение и отключение протокола TCP для приема журналов syslog.
Порт — номер порта, используемого для сбора syslog-событий. По умолчанию: порт 514.
Максимальное количество сессий — максимальное количество устройств, подключенных одновременно с целью отправки сообщений.
Безопасное соединение — включение и отключение шифрования потока данных.
Файл сертификата УЦ — сертификат удостоверяющего центра, который используется для установления безопасного соединения.
Файл сертификата — сертификат, созданный пользователем и подписанный удостоверяющим центром.

Для протокола UDP:

Включено — включение и отключение протокола UDP для приема журналов syslog.
Порт — номер порта, используемого для сбора syslog-событий. По умолчанию: порт 514.

На вкладке Списки Ignore server указываются списки IP-адресов, события от которых будут проигнорированы UserID-агентом. Запись об игнорировании источника появится в журнале UserID:

Список может быть создан в разделе Библиотеки ➜ IP-адреса, или при настройке UserID-агента (нажмите Создать и добавить новый объект). Подробнее о создании и настройке списков IP-адресов — в разделе «IP-адреса».

Этот параметр является глобальным и относится ко всем источникам.

На вкладке Списки Ignore user указываются имена пользователей, события от которых будут проигнорированы UserID-агентом. Поиск производится по Common Name (CN) пользователя AD.

Этот параметр является глобальным и относится ко всем источникам. Запись об игнорировании пользователя появится в журнале UserID.

Важно! При задании имени допустимо использовать символ астериск (*) только в конце строки.

ПримечаниеПри подключении UserGate NGFW к UserGate Log Analyzer возможна одновременная работа UserID-агентов, настроенных на обоих устройствах. Агенты устройств будут работать независимо друг от друга. События журналов UserID-агента, полученные UserGate NGFW, как и события других журналов, будут переданы на UserGate Log Analyzer.

Журналирование

UserID-агент периодически обращается к настроенным источникам данных. Полученные события сохраняются в служебной базе данных без каких-либо изменений. Содержимое этой базы можно посмотреть в соответствующих журналах:

Журнал Windows AD коннектора;
Syslog коннектор;
RADIUS коннектор.

В веб-консоли UserGate NGFW журналы доступны в разделе Журналы и отчеты ➜ Журналы ➜ Агент UserID:

UserID-агент периодически обращается к служебной базе данных и извлекает из записей событий имя пользователя, SID, домен, IP-адрес, списки групп. Результаты обработки записей событий заносятся в журнал UserID-агент события аутентификации. Посмотр журнала доступен в том же разделе: Журналы и отчеты ➜ Журналы ➜ Агент UserID.

О журналах источников данных и UserID-агента — в разделе «Агент UserID» документации.

Описание форматов экспорта журналов UserID доступно в Приложении в разделе «Описание форматов журналов».