Программное обеспечение UserGate Client | UserGate

. Приложение 3. Описание форматов журналов¶

20.1. Экспорт журналов в формате CEF

20.1.2. Формат журнала веб-доступа

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

Usergate

Device Product

Тип продукта.

UTM

Device Version

Версия продукта.

6

Source

Название журнала.

webaccess

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта.

{“id”:39,”name”:”Social Networking”,”threat_level”:3}

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Default Allow

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает было ли содержимое расшифровано.

Decrypted

cs6

Расшифровано или нет.

true, false

app

Протокол прикладного уровня и его версия.

HTTP/1.1

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20220101 Firefox/96.0

cn3Label

Поле указывает исходный ответ сервера.

Response

cn3

Код ответа HTTP.

302

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString2

Категория URL.

Computers & Technology

in

Количество переданных входящих байтов; данные передаются в направлении источник – назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение – источник.

40

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник – назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник – назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение – источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение – источник.

1

20.1.3. Формат журнала трафика

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

Usergate

Device Product

Тип продукта.

UTM

Device Version

Версия продукта.

6

Source

Тип журнала.

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие.

firewall

Threat Level

Уровень угрозы приложения.

Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

proto

Используемый протокол 4-го уровня.

TCP или UDP

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT).

192.168.174.134 (0.0.0.0 – если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 – если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT).

192.226.127.130 (0.0.0.0 – если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 – если нет)

in

Количество переданных входящих байтов; данные передаются в направлении источник – назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение – источник.

40

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник – назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник – назначение.

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение – источник.

Packets received

cn2

Количество пакетов, переданных в направлении назначение – источник.

1

20.1.5. Формат журнала АСУ ТП

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

Usergate

Device Product

Тип продукта.

UTM

Device Version

Версия продукта.

6

Source

Название журнала.

scada

Name

Тип источника.

log

PDU Severity

Критичность АСУ ТП.

1

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Scada Rule Example

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

app

Протокол прикладного уровня.

Modbus

cs6Label

Поле указывает на информацию об устройстве.

PDU Details

cs6

Информация об устройстве в формате JSON.

{“protocol”:”modbus”,”pdu_severity”:0,”pdu_func”:”3″,”pdu_address”:0, “mb_value”:0,”mb_quantity”:0,”mb_payload”:”AAIAAA==”, “mb_message”:”response”,”mb_addr”:0}

20.1.6. Формат журнала инспектирования SSH

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

Usergate

Device Product

Тип продукта.

UTM

Device Version

Версия продукта.

6

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Указание на команду, передаваемую по SSH.

Command

cs6

Команда, передаваемая по SSH, в формате JSON.

whoami

20.2. Экспорт журналов в формате JSON

20.2.1. Описание журнала событий

Название поля

Описание

Пример значения

user

Имя пользователя.

Admin

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

ip_address

IPv4-адрес источника события.

192.168.174.134

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

attributes

Детали события в формате JSON.

{“rule”:{“logrotate”:12,”attributes”:{“timezone”:”Asia/Novosibirsk”},”id”:”66f9de9f-d698-4bec-b3b0-ba65b46d3608″,”name”:”Example log export ftp”}

event_type

Тип события.

logexport_rule_updated

event_severity

Важность события.

info (информационные), warning (предупреждения), error (ошибки), critical (критичные).

event_origin

Модуль, в котором произошло событие.

core

event_component

Компонент, в котором произошло событие.

console_auth

20.2.2. Описание журнала веб-доступа

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

url_categories

id

Идентификатор категории, к которой относится URL.

39

threat_level

Уровень угрозы категории URL.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название категории, к которой относится URL.

Social Networking

bytes_sent

Количество байтов, переданных в направлении источник – назначение.

52

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

packets_recv

Количество байтов, переданных в направлении назначение – источник.

5

request_method

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

url

Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

packets_sent

Количество пакетов, переданных в направлении источник – назначение.

2

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

media_type

Тип контента.

application/json

host

Имя хоста.

www.google.com

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

app_protocol

Протокол прикладного уровня и его версия.

HTTP/1.1

status_code

Код ответа HTTP.

302

bytes_recv

Количество пакетов, переданных в направлении назначение – источник.

100

http_referer

URL источника запроса (реферер HTTP).

https://www.google.com/

decrypted

Поле указывает было ли содержимое расшифровано.

true, false

reasons

Причина, по которой было создано событие, например, причина блокировки сайта.

“url_cats”:[{“id”:39,”name”:”Social Networking”,”threat_level”:3}]

useragent

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20220101 Firefox/96.0

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника.

Trusted

country

Страна источника трафика.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Страна назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения.

192.168.174.134

port

Порт назначения.

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого вызвало создание события.

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила.

Default allow

user

guid

Уникальный идентификатор пользователя.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя

user_name

groups

guid

Уникальный идентификатор группы, в которой состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

20.2.3. Описание журнала трафика

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

bytes_sent

Количество байтов, переданных в направлении источник – назначение.

100

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

packets_recv

Количество пакетов, переданных в направлении назначение – источник.

1

proto

Используемый протокол 4-го уровня.

TCP или UDP

packets_sent

Количество пакетов, переданных в направлении источник – назначение.

1

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

bytes_recv

Количество байтов, переданных в направлении назначение – источник.

6

signatures

id

Идентификатор сработавшей сигнатуры.

999999

threat_level

Уровень угрозы сработавшей сигнатуры.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название сработавшей сигнатуры.

BlackSun Test

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название приложения.

Youtube

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

nat

source

ip

Адрес источника после переназначения (если настроены правила NAT).

192.168.117.85 (если NAT не настроен, то: “nat”:null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: “nat”:null)

destination

ip

Адрес назначения после переназначения (если настроены правила NAT).

64.233.164.198 (если NAT не настроен, то: “nat”:null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: “nat”:null)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила.

firewall

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

20.2.4. Описание журнала СОВ

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

packets_sent

Количество пакетов, переданных в направлении источник – назначение.

1

packets_recv

Количество пакетов, переданных в направлении назначение – источник.

1

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

proto

Используемый протокол 4-го уровня.

TCP или UDP

bytes_sent

Количество байтов, переданных в направлении источник – назначение.

100

bytes_recv

Количество байтов, переданных в направлении назначение – источник.

6

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название приложения.

Youtube

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

signatures

id

Идентификатор сработавшей сигнатуры.

999999

threat_level

Уровень угрозы сработавшей сигнатуры.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название сработавшей сигнатуры.

BlackSun Test

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

20.2.5. Описание журнала АСУ ТП

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

pdu_severity

Критичность АСУ ТП.

1

pdu_func

Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).

12

pdu_address

Адрес регистра, с которым необходимо провести операцию.

3154

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

details

pdu_varname

Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.

VAR

pdu_device

Адрес устройства, используемый в протоколах MMS и OPCUA.

DEV

mb_write_quantity

Количество значений для записи (команда Read Write Register).

998

mb_write_addr

Начальный адрес регистра для записи (команда Read Write Register).

776

mb_value

Записываемое значение (для команд Write Single Coil, Write Single Register).

322

mb_unit_id

Адрес устройства.

186

mb_read_quantity

Количество значений для чтения (команда Read Write Register).

658

mb_read_addr

Начальный адрес регистра для чтения (команда Read Write Register).

122

mb_quantity

Количество значений для чтения.

875

mb_payload

Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).

75be5ecdc24f9883

mb_or_mask

Значение маски OR команды Mask Write Register.

1024

mb_message

Сообщение Modbus.

exception

mb_exception_code

Код ошибки. Актуален для типа сообщения error_response.

255

mb_and_mask

Значение маски AND команды Mask Write Register.

121

mb_addr

Адрес регистра.

3154

iec104_msgtype

Тип запроса.

request, response, error_response

iec104_ioa

Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.

23

iec104_cot

Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).

6

iec104_asdu

Адрес ASDU (COA – Common Object Address). Параметр относится к протоколу IEC-104.

123

app_protocol

Протокол прикладного уровня.

Modbus

action

Действие, принятое устройством в соответствии с настроенными политиками.

pass

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

SCADA Sample Rule

Похожее:  Личный кабинет КВЦ Рязань: оплата ЖКХ, официальный сайт

20.2.6. Описание журнала инспектирования SSH

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

command

Команда, передаваемая по SSH.

whoami

app_threat

Уровень угрозы приложения.

Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2)

app_protocol

Протокол прикладного уровня.

SSH или SFTP

app_id

Идентификатор приложения.

195

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника.

FA:16:3E:65:1C:B4

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

SSH Rule Example

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

.2. Экспорт журналов в формате JSON¶

20.2.1. Описание журнала событий

Название поля

Описание

Пример значения

user

Имя пользователя.

Admin

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

ip_address

IPv4-адрес источника события.

192.168.174.134

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

attributes

Детали события в формате JSON.

{“rule”:{“logrotate”:12,”attributes”:{“timezone”:”Asia/Novosibirsk”},”id”:”66f9de9f-d698-4bec-b3b0-ba65b46d3608″,”name”:”Example log export ftp”}

event_type

Тип события.

logexport_rule_updated

event_severity

Важность события.

info (информационные), warning (предупреждения), error (ошибки), critical (критичные).

event_origin

Модуль, в котором произошло событие.

core

event_component

Компонент, в котором произошло событие.

console_auth

20.2.2. Описание журнала веб-доступа

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

url_categories

id

Идентификатор категории, к которой относится URL.

39

threat_level

Уровень угрозы категории URL.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название категории, к которой относится URL.

Social Networking

bytes_sent

Количество байтов, переданных в направлении источник – назначение.

52

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

packets_recv

Количество байтов, переданных в направлении назначение – источник.

5

request_method

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

url

Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

packets_sent

Количество пакетов, переданных в направлении источник – назначение.

2

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

media_type

Тип контента.

application/json

host

Имя хоста.

www.google.com

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

app_protocol

Протокол прикладного уровня и его версия.

HTTP/1.1

status_code

Код ответа HTTP.

302

bytes_recv

Количество пакетов, переданных в направлении назначение – источник.

100

http_referer

URL источника запроса (реферер HTTP).

https://www.google.com/

decrypted

Поле указывает было ли содержимое расшифровано.

true, false

reasons

Причина, по которой было создано событие, например, причина блокировки сайта.

“url_cats”:[{“id”:39,”name”:”Social Networking”,”threat_level”:3}]

useragent

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20220101 Firefox/96.0

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника.

Trusted

country

Страна источника трафика.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Страна назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения.

192.168.174.134

port

Порт назначения.

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого вызвало создание события.

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила.

Default allow

user

guid

Уникальный идентификатор пользователя.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя

user_name

groups

guid

Уникальный идентификатор группы, в которой состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

20.2.3. Описание журнала трафика

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

bytes_sent

Количество байтов, переданных в направлении источник – назначение.

100

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

packets_recv

Количество пакетов, переданных в направлении назначение – источник.

1

proto

Используемый протокол 4-го уровня.

TCP или UDP

packets_sent

Количество пакетов, переданных в направлении источник – назначение.

1

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

bytes_recv

Количество байтов, переданных в направлении назначение – источник.

6

signatures

id

Идентификатор сработавшей сигнатуры.

999999

threat_level

Уровень угрозы сработавшей сигнатуры.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название сработавшей сигнатуры.

BlackSun Test

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название приложения.

Youtube

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

nat

source

ip

Адрес источника после переназначения (если настроены правила NAT).

192.168.117.85 (если NAT не настроен, то: “nat”:null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: “nat”:null)

destination

ip

Адрес назначения после переназначения (если настроены правила NAT).

64.233.164.198 (если NAT не настроен, то: “nat”:null)

port

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (если NAT не настроен, то: “nat”:null)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила.

firewall

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

20.2.4. Описание журнала СОВ

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии.

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

packets_sent

Количество пакетов, переданных в направлении источник – назначение.

1

packets_recv

Количество пакетов, переданных в направлении назначение – источник.

1

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

proto

Используемый протокол 4-го уровня.

TCP или UDP

bytes_sent

Количество байтов, переданных в направлении источник – назначение.

100

bytes_recv

Количество байтов, переданных в направлении назначение – источник.

6

action

Действие, принятое устройством в соответствии с настроенными политиками.

accept

application

id

Идентификатор приложения.

195

threat_level

Уровень угрозы приложения.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название приложения.

Youtube

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

signatures

id

Идентификатор сработавшей сигнатуры.

999999

threat_level

Уровень угрозы сработавшей сигнатуры.

Может принимать значения:

  • 1 – очень низкий.

  • 2 – низкий.

  • 3 – средний.

  • 4 – высокий.

  • 5 – очень высокий.

name

Название сработавшей сигнатуры.

BlackSun Test

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

20.2.5. Описание журнала АСУ ТП

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

pdu_severity

Критичность АСУ ТП.

1

pdu_func

Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).

12

pdu_address

Адрес регистра, с которым необходимо провести операцию.

3154

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

details

pdu_varname

Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.

VAR

pdu_device

Адрес устройства, используемый в протоколах MMS и OPCUA.

DEV

mb_write_quantity

Количество значений для записи (команда Read Write Register).

998

mb_write_addr

Начальный адрес регистра для записи (команда Read Write Register).

776

mb_value

Записываемое значение (для команд Write Single Coil, Write Single Register).

322

mb_unit_id

Адрес устройства.

186

mb_read_quantity

Количество значений для чтения (команда Read Write Register).

658

mb_read_addr

Начальный адрес регистра для чтения (команда Read Write Register).

122

mb_quantity

Количество значений для чтения.

875

mb_payload

Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).

75be5ecdc24f9883

mb_or_mask

Значение маски OR команды Mask Write Register.

1024

mb_message

Сообщение Modbus.

exception

mb_exception_code

Код ошибки. Актуален для типа сообщения error_response.

255

mb_and_mask

Значение маски AND команды Mask Write Register.

121

mb_addr

Адрес регистра.

3154

iec104_msgtype

Тип запроса.

request, response, error_response

iec104_ioa

Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.

23

iec104_cot

Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).

6

iec104_asdu

Адрес ASDU (COA – Common Object Address). Параметр относится к протоколу IEC-104.

123

app_protocol

Протокол прикладного уровня.

Modbus

action

Действие, принятое устройством в соответствии с настроенными политиками.

pass

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

SCADA Sample Rule

20.2.6. Описание журнала инспектирования SSH

Название поля

Описание

Пример значения

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

command

Команда, передаваемая по SSH.

whoami

app_threat

Уровень угрозы приложения.

Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2)

app_protocol

Протокол прикладного уровня.

SSH или SFTP

app_id

Идентификатор приложения.

195

action

Действие, принятое устройством в соответствии с настроенными политиками.

block

source

zone

guid

Уникальный идентификатор зоны источника трафика.

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика.

Trusted

country

Название страны источника.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика.

10.10.10.10

port

Порт источника.

Может принимать значения от 0 до 65535.

mac

MAC-адрес источника.

FA:16:3E:65:1C:B4

destination

zone

guid

Уникальный идентификатор зоны назначения трафика.

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика.

Untrusted

country

Название страны назначения.

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика.

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535.

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие.

59e38e06-533a-4771-9664-031c3e8b2e1f

name

Название правила, срабатывание которого вызвало событие.

SSH Rule Example

user

guid

Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.

a7a3cd49-8232-4f1a-962a-3659af89e96f

name

Имя пользователя.

Admin

groups

guid

Уникальный идентификатор группы, в которых состоит пользователь.

919878b2-e882-49ed-3331-8ec72c3c79cb

name

Название группы, в которой состоит пользователь.

Default Group

Настройка устройства¶

4.1. Общие настройки

Раздел Общие настройки определяет базовые установки UserGate:

Наименование

Описание

Часовой пояс

Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.

Язык интерфейса по умолчанию

Язык, который будет использоваться по умолчанию в консоли.

Режим авторизации веб-консоли

Способ аутентификации пользователя (администратора) при входе в веб-консоль управления. Возможны следующие варианты:

  • По имени и паролю. Администратор должен ввести имя и пароль для получения доступа к веб-консоли.

  • По X.509-сертификату. Для авторизации по сертификату необходимо иметь сертификат пользователя, подписанный сертификатом удостоверяющего центра веб-консоли и установленный в браузер. При включении этого режима авторизации режим авторизации по имени и паролю отключается. Вернуть режим авторизации по имени и паролю можно с помощью команд CLI.

Профиль SSL для веб-консоли

Выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробно о профилях SSL смотрите в главе Профили SSL.

Профиль SSL для страниц блокировки/авторизации

Выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации Captive-портала. Подробно о профилях SSL смотрите в главе Профили SSL.

Настройка времени сервера

Настройка параметров установки точного времени.

  • Использовать NTP – использовать сервера NTP из указанного списка для синхронизации времени.

  • Основной сервер NTP – адрес основного сервера точного времени. Значение по умолчанию – pool.ntp.org.

  • Запасной сервер NTP – адрес запасного сервера точного времени.

  • Время на сервере – позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC.

Модули

Позволяет настроить модули UserGate:

  • HTTP(S)-прокси порт – позволяет указать нестандартный (дополнительный) номер порта, который будет использоваться для подключения к встроенному прокси-серверу. По умолчанию используется порт TCP 8090; при изменении порт продолжает функционировать.

    Важно! Нельзя использовать следующие порты, поскольку они используются внутренними сервисами UserGate: 2200, 8001, 4369, 9000-9100.

  • Домен auth captive-портала – служебный домен, который используется UserGate при авторизации пользователей через Captive-портал. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то разрешение адресов (resolving) настроено автоматически. По умолчанию используется имя auth.captive, которое может быть изменено на другое доменное имя, принятое в организации.

  • Домен logout captive-портала – служебный домен, который используется пользователями UserGate для окончания сессии (logout). Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то разрешение адресов (resolving) настроено автоматически. По умолчанию используется имя logout.captive, которое может быть изменено на другое доменное имя, принятое в организации.

  • Домен страницы блокировки – служебный домен, который используется для отображения страницы блокировки пользователям. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то резолвинг настроен автоматически. По умолчанию используется имя block.captive, которое может быть изменено на другое доменное имя, принятое в организации.

  • FTP поверх HTTP – включение или отключение модуля, позволяющего получать доступ к содержимому FTP-серверов из пользовательского браузера.

    Требуется явное указание прокси-сервера для протокола FTP в браузере пользователя.

    Администратор может ограничивать доступ к ресурсам FTP с помощь правил контентной фильтрации (только по условиям Пользователи и URL).

  • FTP поверх HTTP домен – служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то резолвинг настроен автоматически. По умолчанию используется имя ftpclient.captive, которое может быть изменено на другое доменное имя, принятое в организации.

  • SNMP Engine ID – каждое устройство UserGate имеет уникальный идентификатор SNMPv3 Engine ID. По умолчанию Engine ID генерируется на основании имени узла UserGate. При редактировании Engine ID необходимо указать длину, тип и значение идентификатора. Длина может быть определена как фиксированная (не более 8 байт) или динамическая (не более 27 байт). Фиксированная длина идентификатора применима только для типа text.

    Engine ID может быть сформирован в формате:

    • IPv4 (ip4).

    • IPv6 (ip6).

    • MAC-адрес (mac).

    • Текст (text).

    • Октеты (octets).

  • Пароль агентов терминального сервиса – настройка пароля для подключения агентов авторизации терминальных серверов.

Настройка кэширования HTTP

Настройка кэша прокси-сервера:

  • Включен/Выключен – включение или отключение кэширования.

  • Исключения кэширования – список URL, которые не будут кэшироваться.

  • Максимальный размер объекта, Мбайт – объекты с размером более, чем указано в данной настройке, не будут кэшироваться. Рекомендуется оставить значение по умолчанию – 1 Мбайт.

  • Размер RAM-кэша, Мбайт – размер оперативной памяти, отведенный под кэширование. Не рекомендуется ставить более 20% от объема оперативной памяти системы.

Log Analyzer

Настройки модуля Log Analyzer:

  • Локальный сервер/Внешний сервер. Выберите внешний сервер, если у вас есть внешний сервер Log Analyzer, в противном случае выберите локальный сервер.

  • Состояние – показывает текущее состояние сервиса статистики.

Web-портал

Настройки для предоставления доступа к внутренним ресурсам компании с помощью веб-портала (SSL VPN). Подробное описание данных настроек смотрите в главе Веб-портал.

Настройка PCAP

Настройка записи трафика при срабатывании сигнатур системы обнаружения вторжений. Настройка захвата пакетов:

  • Без захвата.

  • Один пакет.

  • Предшествующие пакеты (от 4 до 30 пакетов).

  • Предшествующие и последующие пакеты (предшествующие: от 4 до 30; последующие: от 2 до 15).

Важно! Большой размер PCAP может вести к значительному замедлению обработки данных.

Настройка учета изменений

При включении данной опции и создания Типов изменений любое изменение в конфигурацию, вносимое администратором через веб-консоль, будет требовать указание типа изменения и описания вносимого изменения. В качестве типов изменения могут быть, например, указаны:

  • Распоряжение.

  • Приказ.

  • Регламентные работы, и т.д.

Количество типов изменений не ограничено.

Агент UserGate Management Center

Настройки для подключения устройства к центральной консоли управления, позволяющей управлять парком устройств UserGate из одной точки.

Расписание скачивания обновлений

Настройки для управления скачиванием обновлений программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие).

  • Обновления ПО – настройка расписания проверки наличия новых обновлений UGOS и скачивания обновлений.

  • Обновления библиотек – настройка расписания проверки наличия новых обновлений библиотек и скачивания библиотек. Чекбокс Единое расписание для всех обновлений применяет расписание ко всем библиотекам, иначе для каждой библиотеки необходимо настроить собственное расписание.

При задании расписания возможно указать следующие варианты:

  • Отключено. Проверка наличия обновлений для выбранного элемента производиться не будет.

  • Ежедневно.

  • Еженедельно.

  • Ежемесячно.

  • Каждые … часов.

  • Каждые … минут.

  • Задать вручную.

При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:

  • Звездочка (*) – обозначает весь диапазон (от первого до последнего).

  • Дефис (-) – обозначает диапазон чисел. Например, “5-7” будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, “1,5,10,11” или “1-11,19-23”.

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, “2-10/2” будет значить “2,4,6,8,10”, а выражение “*/2″ в поле “часы” будет означать “каждые два часа.

Похожее:  4. UserGate Getting Started. Работа с пользователями / Хабр

4.2. Управление устройством

Раздел Управление устройством определяет следующие настройки UserGate:

  • Кластеризация.

  • Настройки диагностики.

  • Операции с сервером.

  • Экспорт настроек.

Возможности кластеризации устройств UserGate описаны в разделе Кластеризация и отказоустойчивость.

4.2.3. Экспорт настроек

Администратор имеет возможность сохранить текущие настройки UserGate в файл и впоследствии восстановить эти настройки на этом же или другом сервере UserGate. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.

Имеется возможность сделать экспорт всех настроек (за исключением вышеперечисленных), либо сделать только экспорт сетевых настроек. При экспорте только сетевых настроек сохраняется информация о:

  • Настройки DNS.

  • Настройки DHCP.

  • Настройки всех интерфейсов, включая туннели.

  • Настройки шлюзов.

  • Настройки виртуальных маршрутизаторов (VRF).

  • Настройки WCCP.

  • Настройки зон.

Для экспорта настроек необходимо выполнить следующие действия:

Для применения созданных ранее настроек необходимо выполнить следующие действия:

Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать правило экспорта

В разделе Управление устройством –> Экспорт настроек нажать кнопку Добавить, указать имя и описание правила.

Шаг 2. Указать параметры удаленного сервера

Во вкладке правила Удаленный сервер указать параметры удаленного сервера:

Шаг 3. Выбрать расписание выгрузки

Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в CRONTAB-формате, задайте его в следующем виде:

(минуты:0-59) (часы:0-23) (дни месяца:1-31) (месяц:1-12) (день недели:0-6, 0-воскресенье)

Каждое из первых пяти полей может быть задано следующим образом:

  • Звездочка (*)- обозначает весь диапазон (от первого до последнего).

  • Дефис (-) – обозначает диапазон чисел. Например, “5-7” будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, “1,5,10,11” или “1-11,19-23”.

  • Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, “2-10/2” будет значить “2,4,6,8,10”, а выражение “*/2″ в поле “часы” будет означать “каждые два часа.

4.3. Кластеризация и отказоустойчивость

UserGate поддерживает 2 типа кластеров:

  1. Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые настройки в рамках кластера.

  2. Кластер отказоустойчивости. До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости.

4.3.1. Кластер конфигурации

Ряд настроек уникален для каждого из узлов кластера, например, настройка сетевых интерфейсов и IP-адресация. Список уникальных настроек:

Для создания кластера конфигурации необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Выполнить первоначальную настройку на первом узле кластера.

Смотрите главу Первоначальная настройка.

Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера.

В разделе Зоны создать выделенную зону для репликации настроек кластера или использовать существующую (Cluster). В настройках зоны разрешить следующие сервисы:

  • Консоль администрирования

  • Кластер

Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету.

Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера.

В разделе Управление устройством в окне Кластерконфигурации выбрать текущий узел кластера и нажать на кнопку Редактировать. Указать IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.

Шаг 4. Сгенерировать Секретный код на первом узле кластера.

В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер.

Шаг 5. Подключить второй узел в кластер.

Подключиться к веб-консоли второго узла кластера, выбрать язык установки.

Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все настройки первого кластера реплицируются на второй.

Состояние узлов кластера конфигурации можно определить по цветовой индикации напротив названия узла UserGate в разделе UserGate –> Управление устройством –> Кластер конфигурации:

  • Зелёный: узел доступен.

  • Жёлтый: происходит синхронизация между узлами кластера конфигурации.

  • Красный: связь до узла потеряна, узел недоступен.

Шаг 6. Назначить зоны интерфейсам второго узла.

В веб-консоли второго узла кластера в разделе Сеть –> Интерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера.

Шаг 7. Настроить параметры, индивидуальные для каждого узла кластера (опционально).

Настроить шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например, в кластер конфигурации добавлены узлы A, B, C и D на основе которых создано 2 кластера отказоустойчивости – A-B и C-D.

Поддерживаются 2 режима кластера отказоустойчивости – Актив-Актив и Актив-Пассив. Состояние узлов кластера можно определить по цвету индикатора около названия узла UserGate в разделе UserGate –> Управление устройством –> Кластеры отказоустойчивости:

  • Красный: нет связи с соседними узлами конфигурации.

  • Жёлтый: кластер отказоустойчивости не запущен на узле.

Отсутствие индикатора напротив названия узла говорит о доступности узла кластера.

4.3.2. Кластер отказоустойчивости Актив-Пассив

В режиме Актив-Пассив один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные – в качестве резервных. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

При переходе роли мастер на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Отключение одного или нескольких сетевых интерфейсов, на которых назначены виртуальные IP-адреса понижает приоритет узла, но не обязательно приведет к изменению роли сервера. Переход на запасной узел произойдет, если приоритет запасного узла окажется выше, чем мастер-узла. По умолчанию приоритет узла, назначенный мастер-узлу, равен 250, приоритет резервного узла равен 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, у которого отсутствует физическое подключение к сети. Соответственно, для кластера отказоустойчивости, состоящего из двух узлов, при пропадании физического подключения к сети одного интерфейса на мастер-узле, роль мастера переместится на запасной сервер, если на запасном сервере все кластерные интерфейсы подключены к сети (приоритет мастер-сервера будет равен 248, приоритет резервного – 249). При восстановлении физического подключения на первоначальном мастер-узле роль мастера вернется обратно на него, поскольку его приоритет вернется в значение 250 (справедливо для случая если виртуальные адреса сконфигурированы на двух и более интерфейсах. Если на одном, то роль мастера не возвращается).

Отключение одного или нескольких кластерных сетевых интерфейсов на запасном узле, понижает приоритет узла, тем не менее данный запасной узел может стать мастер-узлом при безусловном переходе роли, или в случае, когда приоритет мастер узла станет меньше, чем приоритет данного запасного узла.

Ниже представлена пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Пассив. Интерфейсы настроены следующим образом:

  • Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).

  • Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).

  • Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации настроек.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий сервер, который станет мастер сервером, например, UG2.

image0

Отказоустойчивый кластер в режиме Актив-Пассив

4.3.3. Кластер отказоустойчивости Актив-Актив

В режиме Актив-Актив один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Виртуальные IP-адреса всегда находятся на интерфейсах Мастер-узла, поэтому Мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий.

При переходе роли мастер на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Отключение одного или нескольких сетевых интерфейсов мастер-узла, на которых назначены виртуальные IP-адреса, понижает приоритет узла, но не обязательно приведет к изменению роли сервера. Переход на запасной узел произойдет, если приоритет запасного узла окажется выше, чем мастер-узла. По умолчанию приоритет узла, назначенный мастер-узлу, равен 250, приоритет резервного узла равен 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, у которого отсутствует физическое подключение к сети. Соответственно, для кластера отказоустойчивости, состоящего из двух узлов, при пропадании физического подключения к сети одного интерфейса на мастер-узле, роль мастера переместится на запасной сервер, если на запасном сервере все кластерные интерфейсы подключены к сети (приоритет мастер-сервера будет равен 248, приоритет резервного – 249). При восстановлении физического подключения на первоначальном мастер-узле роль мастера вернется обратно на него, поскольку его приоритет вернется в значение 250.

Отключение одного или нескольких кластерных сетевых интерфейсов на запасном узле, понижает приоритет узла, а также исключает данный узел из балансировки трафика. Тем не менее данный запасной узел может стать мастер-узлом при безусловном переходе роли, или в случае, когда приоритет мастер узла станет меньше, чем приоритет данного запасного узла.

Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Актив. Интерфейсы настроены следующим образом:

  • Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).

  • Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).

  • Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации настроек.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий сервер, который станет мастер сервером, например, UG2.

image1

Отказоустойчивый кластер в режиме Актив-Актив

Для создания отказоустойчивого кластера необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать кластер конфигурации.

Создать кластер конфигурации, как это описано на предыдущем шаге.

Шаг 2. Настроить зоны, интерфейсы которых будут участвовать в отказоустойчивом кластере.

В разделе Зоны следует разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше).

Шаг 3. Создать кластер отказоустойчивости.

В разделе Управление устройством –> Кластер отказоустойчивости нажать на кнопку Добавить и указать параметры кластера отказоустойчивости.

Шаг 4. Указать виртуальный IP-адрес для хостов auth.captive, logout.captive, block.captive, ftpclient.captive.

Если предполагается использовать авторизацию с помощью Captive-портала, то необходимо, чтобы системные имена хостов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, резолвились в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе Общие настройки.

Параметры отказоустойчивого кластера:

4.4. Управление доступом к консоли UserGate

Доступ к веб-консоли UserGate регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:

При создании профиля доступа администратора необходимо указать следующие параметры:

Администратор UserGate может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.

Для настройки этих параметров необходимо:

Наименование

Описание

Шаг 1. Настроить политику паролей.

В разделе Администраторы –> Администраторы нажать кнопку Настроить.

Шаг 2. Заполнить необходимые поля.

Указать значения следующих полей:

  • Сложный пароль – включает дополнительные параметры сложности пароля, задаваемые ниже, такие как – минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.

  • Число неверных попыток аутентификации – количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.

  • Время блокировки – время, на которое блокируется учетная запись.

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе Контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.

Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):

Наименование

Описание

Шаг 1. Создать учетные записи дополнительных администраторов.

Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54.

Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли.

Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами.

Например, для создания УЦ с помощью утилиты openssl требуется выполнить команды:

В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem – публичный ключ. Импортировать публичный ключ в UserGate.

Шаг 3. Создать сертификаты для учетных записей администраторов.

С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UserGate.

Для openssl и пользователя Administrator54 команды будут следующими:

openssl req -subj ‘/C=RU/ST=Moscow/O= MyCompany /CN=Administrator54’ -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes

Шаг 4. Подписать сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра.

С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли.

Для openssl команды будут следующими:

Файл admin.p12 содержит подписанный сертификат администратора.

Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль.

Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС.

Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509.

В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату.

Похожее:  reactjs - Cookie-based authentication via REST API in react-admin - Stack Overflow

В разделе Администраторы –> Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UserGate. При необходимости любую из сессий администраторов можно сбросить (закрыть).

4.5. Управление сертификатами

UserGate использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.

Для выполнения данных функций UserGate использует различные типы сертификатов:

Наименование

Описание

SSL веб-консоли

Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate.

SSL Captive-портала

Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами:

По умолчанию используется подписанный с помощью сертификата инспектирование SSL сертификат, выпущенный для домена auth.captive, со следующими параметрами:

Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то UserGate самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive).

SSL инспектирование

Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный:

Subject name = yahoo.com

Issuer name = VeriSign Class 3 Secure Server CA – G3,

подменяется на

Subject name = yahoo.com

Issuer name = компания, как она указана в сертификате центра сертификации, заведенного в UserGate.

Данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала.

SSL инспектирование(промежуточный)

Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата.

SSL инспектирование(корневой)

Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата.

Пользовательский сертификат

Сертификат, который назначается пользователю UserGate. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси.

УЦ авторизации веб-консоли

Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа.

SAML server

Используется для работы UserGate с сервером SSO SAML IDP. Подробно о настройке работы UserGate с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства.

Веб-портал

Сертификат, используемый для веб-портала. Если данный сертификат не указан явно, то UserGate использует сертификат SSL Captive-портала, выпущенный сертификатом для инспектирования SSL. Подробно о настройке веб-портала смотрите в соответствующем разделе руководства.

Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.

Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать сертификат

Нажать на кнопку Создать в разделе Сертификаты.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Название – название сертификата, под которым он будет отображен в списке сертификатов.

  • Описание – описание сертификата.

  • Страна – страна, в которой выписывается сертификат.

  • Область или штат – область или штат, в котором выписывается сертификат.

  • Город – город, в котором выписывается сертификат.

  • Название организации – название организации, для которой выписывается сертификат.

  • Common name – имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров.

  • E-mail – email вашей компании.

Шаг 3. Указать, для чего будет использован данный сертификат

После создания сертификата необходимо указать его роль в UserGate. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали. Более детально об инспектировании HTTPS смотрите в главе Инспектирование SSL.

UserGate позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.

Для экспорта сертификата необходимо:

Для импорта сертификата необходимо иметь файлы сертификата и – опционально – приватного ключа сертификата и выполнить следующие действия:

4.5.1. Использование корпоративного УЦ для создания сертификата инспектирования SSL

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, то можно указать в качестве сертификата для инспектирования SSL сертификат, созданный внутренним УЦ. В случае, если внутренний УЦ является доверяемым для всех пользователей компании, то перехват SSL будет происходить незаметно, пользователи не будут получать предупреждение о подмене сертификата.

Рассмотрим более подробно процедуру настройки UserGate. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая:

image2

Рисунок 3 Пример структуры корпоративного УЦ

Необходимо выписать с помощью Sub CA2 сертификат для UserGate и настроить его в качестве сертификата для инспектирования SSL. Необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.

Для выполнения этой задачи следует выполнить следующие шаги:

4.6. Интерфейс командной строки (CLI)

UserGate позволяет создавать базовые настройки устройства с помощью интерфейса командной строки, или CLI (command line interface). С помощью CLI администратор может выполнить ряд диагностирующих команд, таких, как ping, nslookup, traceroute, осуществить настройку сетевых интерфейсов и зон, а также перезагрузить или выключить устройство.

CLI полезно использовать для диагностики сетевых проблем или в случае, когда доступ к веб-консоли утерян, например, некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу.

Подключение к CLI можно выполнить через стандартные порты VGA/клавиатуры (при наличии таких портов на оборудовании UserGate), через последовательный порт или с помощью SSH по сети.

Для подключения к CLI с использованием монитора и клавиатуры необходимо выполнить следующие шаги:

Для подключения к CLI с использованием последовательного порта необходимо выполнить следующие шаги:

Для подключения к CLI по сети с использованием протокола SSH необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Разрешить доступ к CLI (SSH) для выбранной зоны.

Разрешить доступ для протокола CLI по SSH в настройках зоны, к которой вы собираетесь подключаться для управления с помощью CLI. Будет открыт порт TCP 2200.

Шаг 2. Запустить SSH-терминал.

Запустить у себя на компьютере SSH-терминал, например, SSH для Linux или Putty для Windows. Указать в качестве адреса адрес UserGate, в качестве порта подключения – 2200, в качестве имени пользователя – имя пользователя с правами Full administrator (по умолчанию Admin). Для Linux команда на подключение должна выглядеть так:

ssh Admin@IPUserGate -p 2200

Шаг 3. Войти в CLI.

Войти в CLI, используя пароль пользователя, указанного на предыдущем шаге. Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля – utm.

После успешного входа в CLI можно посмотреть список возможных команд с помощью команды help. Для подробного описания любой команды необходимо использовать синтаксис

help command

Например, для получения подробной справки по использованию команды настройки сетевого интерфейса iface необходимо выполнить

help iface

Полный список команд:

Наименование

Описание

help

Показывает список доступных команд.

exit

quit

Ctrl D

Выйти из CLI.

cache ldap-clear

Очистка кэша LDAP-записей.

code-change-control

Набор команд для просмотра и настройки параметров защиты исполняемого кода продукта от потенциального несанкционированного изменения. Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate.

code-change-control show – показывает текущий режим работы. По умолчанию отслеживание несанкционированных изменений исполняемого кода отключено.

code-change-control set log – активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

code-change-control set block – активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.

code-change-control set off – отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода.

config-change-control

Набор команд для просмотра и настройки параметров защиты конфигурации (настроек) продукта от изменения. Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего “замораживает” настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима.

Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate.

config-change-control show – показывает текущий режим работы. По умолчанию отслеживание изменений конфигурации отключено.

config-change-control set log – активирует режим отслеживания изменений конфигурации. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

config-change-control set block – активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для отключения созданного правила межсетевого экрана необходимо сбросить состояние блокировки с помощью следующей команды:

config-change-control set off – отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации.

date

Посмотреть текущее время на сервере.

device

Набор команд для изменения параметров устройства.

Список доступных параметров:

gateway

Посмотреть или задать значения шлюза. Смотрите gateway help для детальной информации.

iface

Набор команд для просмотра и настройки параметров сетевого интерфейса. Смотрите iface help для детальной информации.

Следующие параметры команды iface позволяют управлять пересылкой пакетов directed broadcast, приходящих на указанный интерфейс:

iface config -name port X -link-info ‘bc_forwarding=1’ -enabled true

iface config -name port X -link-info ‘bc_forwarding=1’ -enabled false

Следующие параметры команды iface включают механизм Proxy ARP, UserGate будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса:

iface config -name port X -link-info ‘proxy_arp=1’ -enabled true

Следующие параметры команды iface включают механизм Proxy ARP, UserGate будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса:

iface config -name port X -link-info ‘proxy_arp_pvlan=1’ -enabled true

license

Посмотреть информацию о лицензии.

netcheck

Проверить доступность стороннего HTTP/HTTPS-сервера.

netcheck [-t TIMEOUT] [-d] URL

Опции:

-t – максимальный таймаут ожидания ответа от веб-сервера

-d – запросить содержание сайта. По умолчанию запрашиваются только заголовки.

node

Набор команд для просмотра и настройки узлов кластера. Смотрите node help для детальной информации.

nslookup

Выполнить определение IP-адреса по имени хоста.

ping

Выполнить ping определенного хоста.

proxy

Набор команд для просмотра и настройки параметров прокси-сервера. Позволяет настроить такие параметры, как добавление заголовков HTTP – via и forwarded, а также настройки таймаутов на подключение к сайтам и на загрузку контента:

  • add_via_enabled – добавлять HTTP заголовок via. По умолчанию отключено.

  • add_forwarded_enabled – добавлять HTTP заголовок forwarded. По умолчанию отключено.

  • add_xforwarded_enabled – добавлять HTTP заголовок X-Forwarded-For. По умолчанию отключено.

  • http_connection_timeout – время ожидания, выделяемое на подключение http. По умолчанию – 20 секунд.

  • http_loading_timeout – время ожидания, выделяемое на загрузку контента http. По умолчанию – 60 секунд.

  • proxy_host_rfc – разрешить использование протокола HTTP PROXY 1.1 без указания параметра host. Данный режим противоречит RFC, но необходим для совместимости с некоторыми программами. По умолчанию установлено значение strict (соблюдать RFC).

  • fmode_enabled (boolean) – включает режим ускорения загрузки контента. Может быть несовместим с работой некоторых сайтов. По умолчанию отключен.

  • icap_wait_timeout – время в секундах, которое сервер UserGate ждет ответа от ICAP-сервера. Если ответ сервера не был получен в заданный промежуток времени, то в случае, если действие правила Переслать и игнорировать, UserGate отправит данные пользователю без модификации, если же действие правила Переслать, UserGate не отдаст данные пользователю. Значение по умолчанию – 10 секунд.

  • smode_enabled (boolean) – включает режим SYN Proxy. По умолчанию выключен.

  • legacy_ssl_enabled (boolean) – отключает поддержку дешифрования протокола SSL TLSv1.3. При включении данного режима UserGate поддерживает работу протоколов TLSv1.0-TLSv1.2. Если режим отключен, то поддерживается работа только TLSv1.0-TLSv1.3. По умолчанию отключен.

Рекомендуется не изменять значения по умолчанию. Смотрите proxy help для детальной информации.

radmin

Включить или отключить удаленный доступ к серверу для технической поддержки UserGate.

radmin_e

Включить или отключить удаленный доступ к серверу для технической поддержки UserGate, в случаях, когда сервер UserGate завис.

В случаях, когда произошла проблема с ядром UserGate, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации UserGate. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля – пароль корневого администратора.

reboot

Перезагрузить сервер UserGate.

route

Создать, изменить, удалить маршрут.

shutdown

Выключить сервер UserGate.

telemetry

Набор команд для просмотра и настройки режима работы телеметрии. Телеметрия позволяет отправлять разработчику анонимную статистику, такую как, популярность веб-сайтов, веб-сайты с неизвестной категорией, вирусные атаки, события СОВ, активность малваре. Данные телеметрии имеют вид обезличенных данных и не содержат персональную информацию. Отправка телеметрии активирована по умолчанию.

telemetry show – показать текущий режим.

telemetry set -enabled true – активировать телеметрию.

telemetry set -enabled false – отключить отсылку телеметрической информации.

traceroute

Выполнить трассировку соединения до определенного хоста.

usersession

Команда для сброса авторизации указанного пользователя.

usersession terminate -ipv4 IP_ADDRESS – сбрасывает авторизацию для указанного IP_ADDRESS.

webaccess

Набор команд для просмотра режима авторизации веб-консоли. Позволяет вернуть режим По имени и паролю при невозможности авторизоваться с помощью сертификатов.

zone

Набор команд для просмотра и настройки параметров зоны. Смотрите zone help для детальной информации.

4.7. Системные утилиты

Системные утилиты доступны администратору во время загрузки сервера UserGate через меню загрузки (boot menu). Для получения доступа к этому меню необходимо подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB (при наличии соответствующих разъемов на устройстве) или используя специальный кабель для последовательного порта или переходник USB-Serial, подключить свой компьютер к UserGate. Запустить терминал, позволяющий подключение через последовательный порт, например, Putty для Windows. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1.

Во время загрузки администратор может выбрать один из нескольких пунктов загрузки в boot-меню:

Раздел системных утилит (Support menu) позволяет выполнить следующие действия:

Наименование

Описание

Check filesystems

Запуск проверки файловой системы устройства на наличие ошибок и их автоматическое исправление.

Clear logs

Очистка диагностических журналов для освобождения пространства на системном разделе. Журналы UserGate не очищаются (журналы веб-доступа, трафика, событий, СОВ и т.п.).

Export logs

Выгрузка диагностических журналов на внешний USB носитель. Все данные на внешнем носителе будут удалены.

Expand log partition

Увеличение раздела для журналов на весь выделенный диск. Эта операция обычно используется после увеличения дискового пространства, выделенного гипервизором для виртуальной машины UserGate. Данные и настройки UserGate не сбрасываются.

Backup full

Создать полную копию диска UserGate на внешний USB носитель. Все данные на внешнем носителе будут удалены.

Backup system only

Создать копию системного раздела UserGate, исключая журналы (журналы веб-доступа, трафика, событий, СОВ и т.п.) на внешний USB носитель. Все данные на внешнем носителе будут удалены.

Restore from backup

Восстановление UserGate с внешнего USB носителя.

Update from USB

Установка обновления ПО UserGate c внешнего USB носителя. Обновление должно быть скопировано в корень съемного диска, диск должен иметь формат NTFS или FAT32.

Refresh NIC names

Упорядочивание имен сетевых портов в необходимом порядке. Упорядочивание производится в соответствии с номером порта на шине PCI. Эту операцию необходимо выполнять после добавления сетевых портов в настроенный аплаенс UserGate, например, после установки дополнительной сетевой карты в физический аплаенс или после добавления портов в виртуальный аплаенс. Данные и настройки UserGate не сбрасываются.

Factory reset

Сброс состояния UserGate к первоначальному состоянию системы. Все данные и настройки будут утеряны.

Exit

Выход и перезагрузка устройства.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector