Инсталляция Sangfor aTrust Integrated Gateway — SENETSY

Инсталляция Sangfor aTrust Integrated Gateway

КУРС ОБУЧЕНИЯ
В ПОДАРОК

Check Point, Fortinet, Juniper, Positive Technologies, UserGate, Лаборатория Касперского

Статьи и заметки сотрудников
19 декабря 2024
Автор:
Виталий Павленко
инженер по информационной безопасности

Инсталляция Sangfor aTrust Integrated Gateway

Разворачивается сие чудо на виртуальной машине ESXi из тяжеленького 9 Гб (!) образа .ova (см. Рис 1.), включающего в себя систему CentOS и готовый Gateway.
Рис.1

УТОЧНЕНИЕ! Если ваш сервер ESXi находится удаленно, а еще хуже, если в другой стране, позаботьтесь о надежном и быстром коннекте до сервера, так как на момент текущей версии ESXi 5.0 развернуть виртуальную машину из локального хранилища не представляется возможным, ввиду отсутствия данного функционала. Поэтому заливать образ приходится с локального компьютера только через диалог создания виртуальной машины (см. Рис 2), что само по себе мучительно. Веб-морда должна быть открыта пока заливается образ и в том случае, если у вас, к примеру, нестабильное электричество в районе — это повлечет за собой отключение роутера и прерывание сессии аплоада(см. Рис 4.).
Рис.2
Рис.3
Рис.4

После того как образ будет успешно залит, перед первым запуском меняем объем выделенной памяти для данных до ~500 Гб, а так же добавляем сетевой адаптер (одного для начала хватит).

После поднятия системы останется подогнать сетевые настройки к вашим и вуаля — все готово к полету. Запускаем виртуальную машину и подключаемся к консоли, вводим креды для входа: quickstart/SangforSDP@1220 Если возникают проблемы с регистром при вводе данных, перезагружаем машинку и пробуем снова. Подключившись, пишем ifconfig eth0 и route, чтобы узнать изначальные данные(см. рис 5).
Рис.5

Для интерфейса управления можем оставить ip адрес по умолчанию 10.254.254.254. Далее можем развернуть другую виртуальную машину в той же сети и стучимся на Gateway по веб-морде. Либо добавляем свой ip адрес и дефолтный route, чтобы стучаться к Gateway из другой сети.

Первый вариант разбирать не будем ввиду его простоты. Разберем второй:

Указываем ip адрес (вместо курсива указываем свой): ifconfig eth0 172.168.60.82/24

Затем добавляем статичный маршрут до сети, в которой будет aTrust: route add -net 172.168.60.0/24 eth0

Далее задаем дефолтный маршрут: route add default gw 172.168.60.254

УТОЧНЕНИЕ! Данные настройки являются временными и после перезагрузки сервера будут сброшены.

После этого подключаемся к веб-морде и в адресной строке указываем наш ip адрес: https://172.168.60.82:4433 (на Рис 6. указан другой адрес):

Рис.6

Сразу после входа будет предложено сменить логин и пароль. Смена пароля произойдет автоматически и для доступа к консоли! Логин останется quickstart, однако новый пароль будет: «*пароль от пользователя веб-морды*+@sdp», то есть если у вас будет новый пароль «password», то поменяется «password@sdp» от консоли.

Далее осуществим первичную настройку, чтобы всегда иметь доступ к устройству. Переходим в System → Network → Interfaces(см. Рис 7.):

Рис.7

Добавляем интерфейс, через который будем подключаться. Как раз тут нам понадобится дополнительный сетевой адаптер, который мы добавили в настройках VM. Выбираем его и прописываем ему ip адрес, шлюз и dns(см. Рис 8.).
Рис.8
Рис.9

Добавляем маршрут по умолчанию. Переходим в System → Network → Static Routes и указываем нули в адресе назначения, маску и шлюз, через который производится выход в интернет(см. Рис 10.).
Рис.10

Далее разрешаем подключение через наш ip адрес к веб-морде. Для этого переходим в System → System Settings → General → Console Options и включаем птичку "Enable access restriction on source IP addresses"(см. Рис 11).
Рис.11

И если в предписанном наборе нет нужного адреса, то ниже можно его указать(см. Рис 12.). Далее жмем кнопку Save.
Рис.12

После возведения этих костылей мы имеем постоянный доступ и перезагрузка не страшна.

Для скачивания клиента aTrust Endpoint переходим по назначенному серверу адресу без порта 4433, в моем случае это https://10.254.254.254 (см. Рис 13).
Рис.13

Теперь можно приступить к конфигурированию aTrust Gateway. Переходим по адресу управления сервером теперь уже с портом 4433 https://10.254.254.254:4433

Создаем юзеров, группы (см. Рис 14.), политики доступа, прикручиваем аутентификацию из огромного списка AD/LDAP/Radius и прочими (см. Рис 15.).
Рис.14
Рис.15

Приправляем это двухфакторной аутентификацией по SMS, токенам TOTP/Radius, сертификатам или HTTPS(см. Рис 16.).
Рис.16

Включаем авторизацию UDP-TCP (SPA) для уверенности по различным портам с добавлением политик по IP адресам(см. Рис 17 и 18).
Рис.17
Рис.18

Следом можем добавить виртуальные пулы IP адресов и добавить статические маршруты, если требуется (см. Рис 19, 20).
Рис.19
Рис.20

После создания виртуальных сетей, можно добавить и настроить кластеризацию (см. Рис 21, 22). Важное уточнение! Для добавления кластера, сервер должен иметь как минимум два сетевых интерфейса.
Рис.21
Рис.22

Отдельное внимание хотел бы уделить политикам доступа для разрешения или запрета всего. Очень гибкие условия дают возможность настроить реализацию очень тонко даже самых сложных задач.

К примеру, мы хотим запретить на конечной машине запуск файла с конкретным именем и расширением. Результатом срабатывания политики будет логаут приложения endpoint’а из сети с последующей блокировкой.

Для этого переходим в раздел Security → Security Baseline →Access Policies и жмем Add (см. Рис 23).
Рис.23

Далее выбираем критерии политики соответствующие вашим потребностям, в моем случае действие в системе Windows для пользователей test1 и test3. На пользователя test2 эта политика распространяться не будет (см Рис 24).
Рис.24

Далее настраиваем условия (список довольно большой и не вижу смысла его публиковать) срабатывания правила и результат после срабатывания. В моем случае срабатывание происходит при запуске файла/процесса с именем testsang.bat на конечном клиенте (см. Рис 25).
Рис.25

Далее можно настроить исключения из правила, а также текст оповещения на конечную машину с превью (см Рис 26).
Рис.26

Инициируем на конечной машине срабатывание правила запуском запрещенного файла и получаем пинка из нашей VPN сети с последующей блокировкой (см Рис 27, 28).
Рис.27
Рис.28

И ждем когда админы заметят в логах наше нарушение (см Рис 29), чтобы пожурить нас и пустить снова в рабочую защищенную VPN сеть.
Рис.29

Кроме всего прочего можем ознакомиться с проверкой всех систем, поиска уязвимостей и их последующего устранения (см. Рис 30).
Рис.30

Дополнительно хочется добавить наличие API, для интеграции со сторонними системами, если вам окажется мало того, что умеет aTrust.

В этой статье охвачен далеко не весь спектр функционала, однако основной был затронут, для того, чтобы начать полноценно работать с aTrust.

Наверх
Остались вопросы? Нужна бесплатная консультация?
Свяжитесь с нами ​любым ​удобным для вас способом и ​мы предложим​ ​оптимальное решение вашей задачи
Если вы обращаетесь по вопросам, связанным с уже имеющимся у вас оборудованием или программным продуктом, пожалуйста пришлите его серийный номер
Написать нам