Привет, Хабр! На связи Данила Лопатин, системный инженер в К2 Кибербезопасность. Этой осенью мы провели большое исследование рынка. Один из главных итогов — 88% российских корпораций активно используют NGFW для защиты сетей. Несмотря на эффективность этого класса решений, по ряду причин оно не может единолично обеспечить полную киберустойчивость сети. Поэтому сегодня при выборе NGFW одним из приоритетов становится его возможность интеграции с другими СЗИ (NTA/NDR, NAC, VPN и т.д.). В том числе в условиях мультивендорной архитектуры.
Как ИБ-интегратор мы тестируем лучшие продукты на рынке. В этой статье мои коллеги — системные инженеры — Алексей Зорин и Захар Пенчев описали возможности UserGate NGFW в сочетании с Efros DO, который является ярким примером решения, интегрируемого со смежными СЗИ.
Зачем нужен Efros DO
Буквально за несколько лет российский рынок средств защиты информации класса NGFW перешел от массового потребления зарубежной продукции к состоянию насыщения решениями российского производства. Сейчас насчитывается уже более 30 разработчиков NGFW разной степени функциональности. Согласно нашим данным, 38% корпораций полностью перешли на российские NGFW, 40% комбинируют их с зарубежными продуктами и лишь 22% используют исключительно иностранные решения.
С момента своего появления NGFW воспринимается как продукт с обширным функционалом в рамках одного решения. Однако, как видно из практики, «раздуть» возможности NGFW до такой степени, чтобы закрыть все потребности обеспечения безопасности сети, в наши дни не представляется возможным.
Во-первых, каждый модуль безопасности требует соответствующих мощностей. Это приводит как к удорожанию решения, так и к снижению возможностей устройства по обработке трафика. Поскольку NGFW всегда располагается на наиболее скоростных и нагруженных участках сети, от этого может пострадать вся сеть компании.
Во-вторых, требуется огромное количество ресурсов для разработки модулей, которые бы давали возможность полноценного контроля над доступом пользователей; блокировки всех категорий вредоносного трафика; выявления подозрительной активности в сети и т.д. Именно поэтому возникает потребность использования дополнительных, но не менее важных СЗИ таких классов, как: NTA/NDR, NAC, VPN, мультифакторная аутентификация и прочие средства защиты, заточенные для выявления и предотвращения угроз определенного типа.
Таким образом, принимая во внимание недостаточность одного лишь NGFW для обеспечения целостной системы защиты информации в сети компании, мы приходим к одному из важнейших требований к современным NGFW — возможности интеграции с наибольшим количеством смежных средств защиты информации, причем различных производителей. Именно эта характеристика зачастую становится решающей при выборе NGFW.
UserGate NGFW на рынке уже много лет и успел обрасти большим функционалом. В частности, нарастил те самые возможности по интеграции со смежными системами. Наиболее часто используемый и востребованный — функционал по контролю доступа пользователей в сеть посредством интеграции UserGate NGFW с средством класса NAC Efros Defense Operations (также известном как «Efros DO») от производителя ООО «Газинформсервис».
Конечно, интеграция UserGate с Efros DO гораздо более обширна и затрагивает несколько сценариев в зависимости от используемых модулей на стороне Efros DO. Среди них:
модуль контроля конфигураций и топологии сети «Efros Network Assurance» для контроля целостности конфигурации межсетевого экрана;
модуль оптимизации и настройки межсетевых экранов «Efros Firewall Assurance» для выявления избыточных, неиспользуемых правил; проведения зонного анализа, проверки настроек политик безопасности МЭ на соответствие требованиям и стандартам;
модуль анализа уязвимостей и построения векторов атак «Efros Vulnerability Control» для выявления известных уязвимостей ПО и ОС;
модуль разграничения и контроля доступа в сети «Efros Network Access Control», который и будет рассмотрен в нашей статье.
UserGate NGFW + Efros DO на практике
Рассмотрим схему сети для демонстрации возможностей UserGate по интеграции с Efros DO.
UserGate находится на периметре контура сети, являясь шлюзом в Интернет для пользователей. Также NGFW разделяет два сегмента: серверный и сегмент пользователей. В серверном сегменте располагаются контроллер домена на базе MS AD, а также сам сервер с развернутым программным комплексом Efros DO.
Несмотря на то, что в UserGate уже заложен функционал по получению таблицы сопоставления UserID с IP адресом пользователя как через Captive Portal, так и через считывание логов авторизации с контроллера домена по LDAP с помощью модуля UserID agent connector, при таком сетевом взаимодействии мы, хоть и можем использовать сетевых пользователей при фильтрации трафика и тем самым иметь возможность более гибко настраивать сетевые доступы, лишены возможности распознавать, безопасно ли давать этому пользователю доступ в сеть. Причина — ни UserGate, ни AD не знают, удовлетворяет ли рабочее место пользователя, которому предоставляется доступ, политикам безопасности компании. Например, включено ли на компьютере антивирусное ПО, не повреждены ли конфигурационные файлы, актуальная ли версия операционной системы установлена и т.п.
В связи с этим, гораздо больше возможностей как по контролю доступа в сеть, так и, в целом, по мониторингу уровня обеспечения безопасности сети компании дает включение в цепочку авторизации пользователя комплекса Efros DO. Как уже было сказано, это решение имеет большое количество модулей и, в случае использования модуля NAC, оно является RADIUS-сервером: то есть своего рода посредником между межсетевым экраном и контроллером домена, однако к функции пересылки запросов авторизации добавляется проверка, безопасно ли предоставление указанному пользователю доступа к сетевым ресурсам.
Если упростить схему сетевого взаимодействия, то ее можно описать так:
UserGate NGFW получает трафик неавторизованного пользователя, который пытается подключиться к ресурсу;
UserGate отправляет по протоколу RADIUS запрос на аутентификацию этого пользователя на Efros DO;
Efros DO, получив запрос, обращается, в зависимости от настроек, либо к локальной базе пользователей, либо, что наиболее часто, к контроллеру домена по протоколу LDAP, откуда считывает информацию о пользователе;
На основании информации, полученной из контроллера домена, и результатов проверок политик безопасности, заданных на самом программном комплексе, Efros DO определяет, можно ли предоставлять пользователю доступ к ресурсу или нет, и направляет ответ на UserGate NGFW;
UserGate, на основании полученного ответа, разрешает или блокирует пользовательский трафик к ресурсу.
Приведем пример настройки интеграции UserGate NGFW с ПК Efros DO, а также рассмотрим сценарий, когда неавторизованный пользователь пытается подключиться к ресурсам в сети Интернет.
Поскольку авторизация пользователя будет осуществляться не на самом межсетевом экране, а на Efros DO, в веб-интерфейсе UserGate необходимо добавить RADIUS-сервер, задать параметры подключения к нему, а также настроить Captive-portal. Для этого внесем следующие настройки:
В разделе «Настройки» > «Настройки» > «Модули» скорректируем такие параметры как:
— Домен Auth captive-портала;
— Домен Logout captive-портала;
В разделе «Настройки» > «Пользователи и устройства» > «Серверы аутентификации» нажмем «+ Добавить» > «Добавить RADIUS-сервер»;
В открывшемся окне внесем данные о сервере аутентификации (в нашем случае это Efros DO);
В разделе «Настройки» > «Пользователи и устройства» > «Профили аутентификации» добавим профиль аутентификации;
В открывшемся окне внесем данные о профиле аутентификации:
— В окне «Общие» укажем общие настройки профиля;
— В окне «Методы аутентификации» добавим созданный ранее сервер аутентификации;
В разделе «Настройки» > «Пользователи и устройства» > «Captive-профиль» добавим captive-профиль;
В открывшемся окне внесем данные о captive-профиле:
— В разделе «Общие» внесем общие настройки профиля;
— В разделе «Регистрация гостевых пользователей» оставим значения по умолчанию.
В разделе «Настройки» > «Пользователи и устройства» > «Captive-портал» добавим captive-портал;
В открывшемся окне внесем данные о captive-портале:
— В окне «Общие» внесем общие настройки портала;
— В окне «Источник» укажем зону «Trusted», поскольку будем проводить аутентификацию всех внутренних пользователей.
Для успешной работы captive-портала необходимо убедиться, что добавлены соответствующие политики безопасности и правила NAT, разрешающие пользовательский трафик в Интернет;
Также необходимо создать правило в разделе «Настройки» > «Инспектирование SSL» для расшифровки трафика неавторизованных пользователей. Для этого можно использовать преднастроенное в UserGate NGFW правило «Decrypt all for unknown users».
На этом настройки на стороне UserGate NGFW заканчиваются и мы переходим к настройке программного комплекса Efros DO:
Прежде всего настроим подключение к контроллеру домена по LDAP. Для этого в веб-интерфейсе Efros DO в разделе «Настройки» > «Контроль доступа» > «Источники данных» > «LDAP» создадим LDAP-подключение;
В открывшемся окне внесем параметры подключения к контроллеру домена;
Как видно из настроенных параметров подключения, необходимо наличие сервисной учетной записи с правами чтения учетных записей и групп пользователей выбранного каталога LDAP.
Также мы задали значения параметров «База пользователей» и «База групп»: то есть значения уровней, с которых будет осуществляться поиск пользователей и групп пользователей в дереве контроллера домена. В ��ашем случае этим уровнем является предварительно созданный на MS AD Organization Unit «EDO_Users», который был наполнен учетными записями пользователей и их групп.
В разделе «Контроль доступа» > «Профили оборудования» создадим профиль оборудования для UserGate NGFW. В открывшемся окне заполним параметры профиля оборудования;
В разделе «Контроль доступа» > «Сетевое оборудование» добавим подключение к UserGate NGFW. В открывшемся окне заполним параметры подключения UserGate к Efros DO;
В разделе «Контроль доступа» > «Профили авторизации» добавим профиль авторизации пользователей при подключении к сети. В открывшемся окне заполним параметры профиля авторизации;
В разделе «Контроль доступа» > «Наборы политик» > «Доступ в сеть» добавим политику, по которой пользователь будет допускаться в сеть. Именно эта настройка Efros DO позволяет гибко настроить как условия, при которых пользователь будет аутентифицирован, так и те права доступа, которые он получит по факту авторизации в сети:
— В окне «Настройки» внесем данные о том, когда должна срабатывать создаваемая политика;
— В окне «Правила аутентификации» заполним параметры аутентификации пользователя (можно как создать собственное правило аутентификации, так и отредактировать преднастроенное правило «Default»);
— В окне «Правила авторизации» заполним параметры авторизации пользователя (так же как и для правил аутентификации можно как создать собственное правило авторизации, так и отредактировать преднастроенное правило «Default»);
Перейдем к проверке.
На пользовательской машине откроем браузер и попробуем зайти на сайт в сети Интернет (например, vk.com). При отправке запроса нас переадресует на страницу аутентификации UserGate (captive-портал), где потребуется ввести учетные записи, созданные предварительно на контроллере домена:
После ввода логина и пароля нас переадресует обратно на веб-страницу искомого ресурса.
Убедимся, что все устройства аутентификации отработали корректно:
При просмотре логов в веб-интерфейсе UserGate в разделе «Журналы и отчеты» > «Журнал веб-доступа» видно, что пользовательский трафик сопоставляется с пользователем user1:
Также в разделе «Настройки» > «Пользователи и устройства» > «Пользователи» виден пользователь «user1»:
Теперь просмотрим логи на стороне Efros DO. В разделе «События» > «Доступ в сеть» > «Аутентификация» видны оповещения, свидетельствующие об успешной аутентификации и авторизации пользователя:
Заключение
Как видно из примера интеграции средств защиты информации классов NGFW и NAC, перенос функций по авторизации пользователей на сторонние средства защиты не только разгружает ресурс самого NGFW, но и позволяет повысить уровень безопасности в сети и работать не просто с учетными записями пользователей, но и проводить дополнительные проверки на стороне NAC.
Собственно, как и говорилось в начале, такая способность современного NGFW осуществлять интеграции со смежными решениями становится все более и более востребованной. Причем обусловлена эта востребованность тем, что такой подход приносит реальные результаты по защите сети, и UserGate NGFW на сегодняшний день способен удовлетворить подобный запрос рынка.
