Взаимодействие элементов экосистемы SUMMA

Все элементы экосистемы UserGate SUMMA взаимодействуют друг с другом по защищённым каналам.

MC-NGFW, MC-LogAn/SIEM

UserGate MC для всех коммуникаций с элементами экосистемы (NGFW, LogAn, SIEM) использует зашифрованный SSH-туннель. Туннель инициируется со стороны элемента экосистемы. Внутри туннеля открывается несколько портов на каждой из сторон, чтобы MC и устройство могли между собой общаться.

SSH-соединение происходит только через ключи. Обмен ключами между устройством и MC происходит при регистрации устройства в MC. 

В настройках контроля доступа зон, через которые устанавливаются соединения с другими элементами экосистемы, настраивается доступ для соответствующих сервисов (на MC — порты TCP 9712 и 2022). 

Для работы туннеля устройства должны передать в MC свой открытый ключ, он отправляется через порт 9712 на стороне MC в виде AES-зашифрованного сообщения. Ключ для шифрования вычисляется из специальной строки, которую администратор должен получить на MC и ввести в консоли устройства при настройке работы с МС. MC принимает сообщение, расшифровывает, извлекает открытый SSH-ключ, добавляет его в свои настройки, после этого сохраняет в базе данных объект Managed Device, чтобы его нельзя было инициализировать ещё раз.

SSH-сервер на стороне MC слушает внешний порт 2022, он используется для коммуникации с уже подключёнными устройствами экосистемы.

Когда NGFW открывает туннель, в нём создаются несколько слушающих портов на каждой из сторон:

• NGFW, порт 127.0.0.1:9999 туннелируется в XML-RPC сервис приёма телеметрии, keep alive ping, итд. (порт 4042 на MC).

• MC, порт 127.0.0.1:$RAND_1 туннелируется в XML-RPC сервис NGFW (порт 4040 на стороне NGFW).

• MC, порт 127.0.0.1:$RAND_2 туннелируется в HTTP-порт веб-консоли NGFW (порт 8001 на стороне NGFW).

$RAND_1 и $RAND_2 генерируются случайным образом из свободных портов в момент создания туннеля и сохраняются в конфигурации MC.

• NGFW периодически отправляет XML-RPC запросы с телеметрией/статусом на локальный порт 9999, а они через туннель попадают в MC.

• Также NGFW периодически опрашивает другие сервисы на порту 9999, чтобы получить от MC обновления конфигурации, если они есть.

Похожим образом происходит установление туннеля между MC и устройствами LogAn/SIEM. При открытии туннеля со стороны LogAn/SIEM, в нём создаются несколько слушающих портов на каждой из сторон:

• LogAn/SIEM, порт 127.0.0.1:9999 туннелируется в XML-RPC сервис приёма телеметрии, keep alive ping, итд. (порт 4042 на MC).

• MC, порт 127.0.0.1:$RAND_1 туннелируется в XML-RPC сервис LogAn/SIEM (порт 4041 на стороне LogAn/SIEM).

• MC, порт 127.0.0.1:$RAND_2 туннелируется в HTTP-порт веб-консоли LogAn/SIEM (порт 8010 на стороне LogAn/SIEM).

• MC, порт 127.0.0.1:$RAND_3 туннелируется в SSL-порт приёма статистики от устройств с установленным ПО UserGate Client на стороне LogAn/SIEM (порт 22711 или порт 22699 — для устройств с ПО ниже версии 7).

$RAND_1, $RAND_2, $RAND_3 генерируются случайным образом из свободных портов в момент создания туннеля и сохраняются в конфигурации MC.

LogAn/SIEM-NGFW

На NGFW в настройках контроля доступа зоны, через которую устанавливается соединение с LogAn/SIEM, необходимо открыть доступ для соответствующих сервисов интеграции (порты TCP 9713 и 2023). 

LogAn/SIEM при интеграции сначала сам подключается к NGFW с помощью параметров, настроенных в сенсоре UserGate, и передаёт в NGFW настройки для подключения.

Для работы туннеля LogAn/SIEM должен сначала передать в NGFW свой открытый ключ, он отправляется через порт 9713 на стороне NGFW в виде AES-зашифрованного сообщения. Ключ для шифрования вычисляется из специальной строки (токена), которую администратор должен получить на NGFW при настройке подключения к LogAn/SIEM. Токен вводится на LogAn/SIEM при настройке сенсора UserGate для интеграции с NGFW. SSH-сервер на стороне NGFW слушает внешний порт 2023, он используется для установления SSH-туннеля со стороны LogAn/SIEM для передачи настроек подключения.

Далее NGFW собирает свои данные в локальном кэше и периодически по таймеру передаёт их в зашифрованном виде в модуль statistics в LogAn/SIEM, устанавливая соединение по порту TCP 22711 (или TCP 22699 — для устройств с ПО ниже версии 7), которые должны быть разрешены в контроле доступа соответствующей зоны на устройстве LogAn/SIEM.  

UGC-MC, UGC-NGFW

Конечные устройства с установленным ПО UserGate Client (UGC) взаимодействуют с MC и NGFW по протоколу HTTPS через порт 4045.

На NGFW доступ к порту TCP 4045 должен быть разрешён в настройках доступа зоны, через которую происходит подключение конечных устройств (порт не должен быть доступен извне, по умолчанию открывается в зоне Trusted и в зонах VPN). Сертификат и профиль SSL для соединения с конечными устройствами устанавливается в общих настройках NGFW. Конечное устройство регистрируется в NGFW и периодически отправляет данные телеметрии.

В процессе регистрации на MC конечные устройства обменивается с MC ключами шифрования, обращаясь к MC по порту 9712. Конечные устройства отправляют на MC данные телеметрии на порт 4045 с взаимной проверкой сертификатов. В ответ MC отправляет на конечное устройство параметры настроек и мониторинга конечного устройства.

Также на MC для каждого подключённого и активного сервера LogAn/SIEM открывается порт из диапазона 22000:22711, предназначенный для приёма статистики на соответствующий узел LogAn/SIEM. Порт назначается при интеграции устройства LogAn/SIEM в МС и сохраняется в конфигурации MC в специальной таблице. Подключение конечных устройств с установленным UGC к этому порту прозрачно пробрасывается на MC к подключённому устройству LogAn/SIEM через установленный SSH-туннель; в случае его недоступности, соединение не устанавливается. Конечные устройства периодически отправляет на этот порт данные, зашифрованные при помощи закрытого ключа и сертификата устройства.