3.  Континент 4 Getting Started. Контроль доступа

Приветствую читателей в третьей статье цикла Континент Getting Started, где рассказывается о UTM решении от компании Код Безопасности. В прошлой статье был описан процесс установки узла безопасности и произведена его первоначальная настройка. В этой статье мы более подробно рассмотрим компонент «Межсетевой экран», создадим правила фильтрации и трансляции.

В комплексе Континент компонент «Межсетевой экран» может быть реализован в двух вариантах исполнения: UTM и высокопроизводительный межсетевой экран. Правила фильтрации выполняются в строгом порядке, сверху вниз. Если проходящий трафик соответствует параметрам правила, над ним осуществляется действие, заданное этим правилом. Дальнейшая проверка трафика по последующим правилам фильтрации осуществляться не будет.

Для настройки межсетевого экранирования перейдем в «Контроль доступа» — «Межсетевой экран». По дефолту в межсетевом экране нет ни одного правила. Межсетевой экран Континента работает с объектами ЦУС.

da0f4aeba835e320954f666975803cf9.png

Сетевые объекты

Создадим следующие сетевые объекты:

  • Защищаемая сеть центрального офиса (ЦО) с адресом 192.168.1.0/24;

  • Защищаемая сеть филиала с адресом 192.168.10.0/24;

  • Хост администратора — 192.168.1.10

  • DMZ — 172.16.20.100

  • Внешний ip-адрес шлюза филиала — 10.10.1.244;

  • Внешний ip-адрес шлюза ЦО — 10.10.1.245.

875b0ddea627f4ce2dcdbba0031a82df.png

Континент 4 позволяет импортировать сетевые объекты. Для этого должен быть сформирован файл в формате .csv с указанием сетевых объектов. Структура файла следующая:

3f907b8ad9ceab3196c10896c560730c.png

Для импорта списка: ПКМ в «Сетевых объектах» — Импортировать.

Сервисы

По дефолту в Континенте уже имеются основные сервисы, которые можно дополнить.

25f5f530549757da649b63038f71ce45.png

Пользователи

Учетные записи пользователей могут быть созданы в локальной базе данных ЦУС или импортированы из каталога Active Directory.

Добавление пользователей из каталога AD возможно с помощью LDAP. Во вкладке «Администрирование» переходим в раздел «LDAP» и далее «Создать LDAP профиль».

В графе «Название» самопроизвольно указываем имя профиля. В разделе «Домен» указываем доменное имя сервера AD и атрибуты LDAP. В разделе «Аутентификация» указывается пользователь, состоящий в группе, администраторы домена. Для данной цели рекомендуется создать отдельную учетную запись. В разделе «Серверы» указывается IP-адрес сервера AD и порт подключения. Подключение к серверу AD работает по протоколу LDAPS.

9ea930833daed00710b8d64bc958fa79.png

После необходимо активировать компонент «Идентификация пользователей» и добавить созданный профиль на УБ во вкладке «Структура»: ПКМ по УБ — «Идентификация пользователей» — «Профиль LDAP». Далее возвращаемся к нашему LDAP профилю и нажимаем «Импорт LDAP-групп». Если подключение к AD будет выполнено успешно, то на экране появится окно импорта LDAP-групп. Выбираем нужные нам группы и импортируем их. Импортированные группы появятся во вкладке объектов ЦУС «Пользователи».

b67951141d803c53b7fe76b319f725f4.png83fa5cb9bed7d1403bf055b3354d3528.png

Приложения

Контролируемые комплексом сигнатуры приложений для удобства пользователя разделены по категориям. В базовый контроль приложений входит около 50 приложений. Доступны такие категории как бизнес-приложения, виртуализация, социальные сети, голосовая связь, облачные хранения, удаленный доступ и др.

eb9dfe7de687f2148b5e94a287a1766c.png

При использовании расширенного контроля приложений в БД ЦУС загружаются дополнительные сигнатуры приложений. При необходимости на основании загруженных сигнатур можно создать пользовательскую сигнатуру путем копирования и редактирования свойств существующей.

Данный компонент лицензируется отдельно. Для использования расширенного контроля приложений необходимо скачать пакет обновления (hotfix) с сервера обновлений (или запросить у вендора) и установить его на ЦУС. Далее активируется компонент в свойствах узла безопасности.

В расширенный контроль приложений входит около 3000 приложений. Например, можно разрешить WhatsApp, но запретить отправлять в нем медиа файлы; разрешить ВК, но запретить воспроизведение аудиофайлов. Полный список приложений вы можете запросить по адресу sales@tssolution.ru

2f4133a61ee6db034df9739f17a37228.png

Приложения, входящие в расширенный контроль можно кастомизировать. Для этого выбирается определенный атрибут приложения. Например, запретим воспроизведение музыки в вк. В поисковой строке ищем нужное приложение — ПКМ — Создать — Отмечаем атрибут «audio».

b673add259a2b99c252ddfd5a906be3e.png

Также можно создавать группы приложений. Создадим группы приложений, включающие себя торренты, анонимайзеры, социальные сети и новостные порталы (в категорию приложений «news» входят только иностранные новостные порталы).

f36219d8c1c29a084b2c1803b7f9b94e.pngd0746dc477d0085afa3e1935346d810d.png7385e8e05b616a1d3341e136d614c86f.png

С правилами возможны следующие действия:

  • Ввести название правила

  • Назначить отправителя и получателя пакета

  • Протокол передачи данных

  • Перечень контролируемых приложений

  • Пропустить или отбросить трафик

  • Выбрать профиль усиленной фильтрации

  • Включить или выключить систему обнаружения вторжений для конкретного правила

  • Назначить временной интервал действия правила

  • Журналирование

  • Узел безопасности, на котором будет установлено правило

Создадим следующие правила фильтрации:

  • Правила, разрешающие прохождение трафика между центральным офисом и филиалом.

  • Правила, разрешающие прохождение ICMP, HTTP (S) трафика из защищаемых сетей в DMZ и обратно.

  • Правило, разрешающее трафик по протоколам http (s), ftp, dns, icmp с хоста администратора.

  • Правила, блокирующие социальные сети, анонимайзеры, торренты и новостные порталы в защищаемых сетях с логированием. (Т.к. выше стоит правило, разрешающее прохождение трафика для администратора, то с его хоста данные приложения будут доступны. Потом мы отключим это правило, для тестирования блокировки приложений)

  • Правило, блокирующее доступ к компьютерам защищаемой сети по RDP и Telnet для всех, кроме администратора с логированием

  • Правила, разрешающие трафик по протоколам http (s), ftp, dns, icmp из защищаемых сетей.

  • Правило, запрещающее весь остальной трафик.

fb642a1edbb2cae9a5feef921368107a.pngd8bdbebed9e022ef2d232ca7fbce7fb7.png7d28565c545c9b312066cf4100cb8f74.png3a27f8e9a6e9d23121ec9e61ec1a3974.png

Для сравнения так выглядел межсетевой экран в Континент 3.9:

2145e6f68a126f9b1079fb120916ac88.png

Для прохождения трафика между ЦО и филиалом необходимо настроить маршрутизацию. На УБ с ЦУС добавим маршрут до сети филиала (192.168.10.0/24).

3678d59274621705803e75d0c46d849b.png

В версии Континент 4.1 есть возможность импорта правил МЭ из конфигурации Check Point версий R77.30 и R80.20, а также связанных с этими правилами объектов.

NAT

При выборе режима трансляции могут быть указаны следующие варианты:

  • «Не транслировать» — к трафику не применяются правила трансляции. Используется для правил-исключений при передаче части трафика без трансляции.

  • «Скрыть» — маскарадинг (hide NAT). Исходящим пакетам в качестве IP-адреса отправителя назначается IP-адрес, через который будет доступен получатель пакета.

  • «Отправителя» — изменение IP-адреса отправителя (source NAT)

  • «Получателя» — изменение IP-адреса получателя (destination NAT)

  • «Отобразить» — трансляция IP-адреса отправителя в режиме «один к одному»

Создадим 3 правила трансляции адресов:

Первое правило — не транслировать. Исключает трансляцию адресов между защищаемыми сегментами.

Второе правило — hide NAT для центрального офиса.

Третье правило — hide NAT для филиала.

0fac14500d997ce4ba294c22e7deb13e.png

Протестируем созданные правила и посмотрим, как будут выглядеть записи в система мониторинга. Не забываем, что необходимо отключить 5 правило фильтрации (прохождение трафика с хоста администратора) для тестирования блокировки приложений. IP-адрес хоста администратора попадает под действие двух сетевых объектов (Admin и 192.168.1.X), так что трафик через этот хост проходить будет, но по другим правилам.

9c0bc8ea1eeca68fe1742f097a1a3445.pngf8a214ccd3bf9c5a22b120faa0927571.png

Проверим записи в системе мониторинга:

b9cecf4e84d6f6cfe7d0b04414f3c2f1.png

Если отключить 5 правило фильтрации, то приложения будут блокироваться и для администратора:

154cf1c1252c1021ef3fcab37b37dad8.png

Щелкнув 2 раза по записи, можно посмотреть подробное описание:

75d21c029d34ed8741a5cfc63150a2c3.png

Приоритизация трафика

Для обеспечения повышения качества передачи данных в комплексе Континент используется специальный механизм Quality of Service (QoS). Данная технология предоставляет различным классам трафика приоритеты в обслуживании. Комплекс Континент поддерживает работу следующих механизмов управления QoS:

  • приоритизация трафика Представлено 8 приоритетов трафика (неприоритетный, низкий, ниже среднего, средний, выше среднего, высокий, наивысший, реального времени)

  • минимизация джиттера для трафика в приоритете реального времени

  • маркировка IP-пакетов

Маркировка IP-пакета определяется с помощью DSCP-метки в заголовке IP-пакета. Кодом DSCP называются шесть наиболее значимых бит поля DiffServ. DiffServ — это модель, в которой трафик обрабатывается в промежуточных системах с учетом его относительной приоритетности, основанной на значении поля типа обслуживания (ToS).

Выглядит это следующим образом:

1c8eb7bc317c2808044546cf7a17e205.png

В качестве DS5-DS3 используются те же самые биты приоритета. DS2, DS1 определяют вероятность сброса пакетов. DSCP использует группы CS (Class Selector), AF (Assured Forwarding), EF (Expedited Forwarding).

DSCP-метки группы CS используют только первые 3 бита приоритета, остальные устанавливаются в нули. Выглядят они следующим образом:

9e4d6578662a535c3cdf531e5c693855.png

Соответственно получается, что CS0 имеет низший приоритет, CS7 — высший приоритет.

DSCP-метки группы AF содержат два значения. Условно обозначим их как x и y. X — определяет класс трафика (всего 4 класса), y — приоритет при необходимости сброса трафика (3 значения). AFx1 имеет менее важный приоритет.

f7fe383837528e5e52610d0718166b90.pngc366c6f17351b5d5e0fade1c24178e5f.png

DSCP-метка группы EF имеет высший класс приоритета. Значение DSCP метки 46. Это означает, что трафик будет передан самым лучший способом.

Best Effort. DSCP значение — 0. Означает, что трафик будет передан по возможности.

Для обработки приоритетов используется метод HFSC, обеспечивающий распределение полосы пропускания очередей. Протестриуем данный функционал. Для этого активируем компонент «Приоритизация трафика» и создадим правила.

8d47425871f9466af72aef46fb11072c.png6c2741e9af3c217abc1e5883aa2c95ac.png

Созданные правила устанавливают, что трафику из центрального офиса в филиал по протоколам ICMP, HTTP (S) будет установлен высокий приоритет и передача будет осуществляться лучшим образом. Весь остальной трафик определен как неприоритетный и будет передан по возможности.

Профиль приоритизации трафика создается для определения полосы пропускания для каждого типа приоритета. Создается как для исходящего трафика, так и для входящего. Профиль применяется в настройках узла безопасности.

76932bc9f35477333419b957abd6d057.png

Multi-WAN

В комплексе имеется возможность сконфигурировать сеть при одновременном подключении УБ к нескольким внешним сетям. Предусмотрены следующие режимы Multi-WAN:

  • передача трафика в соответствии с таблицей маршрутизации;

  • обеспечение отказоустойчивости канала связи;

  • балансировка трафика между внешними интерфейсами УБ.

Настройки Multi-WAN происходит в свойствах узла безопасности во вкладке Multi-WAN.

7fda4cb120c2731cf4258530bf394e6c.png

Заключение

В данной статье рассмотрены функции и настройки межсетевого экрана в Континент 4.1. Создана базовая политика межсетевого экранирования и показаны записи в системе мониторинга. Подробно разобран функционал приоритизации трафика.

В следующей статье будет показана работа с веб-фильтром.

Подробную информацию о продукте можно найти на странице Код Безопасности.

P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет. Запросить версию Континент 4.1 можете обратившись на почту dl@tssolution.ru

Автор — Дмитрий Лебедев, инженер TS Solution

© Habrahabr.ru