Разделение уровней доступа для VPN клиентов

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Разделение уровней доступа для VPN клиентов

Сообщение Юрий_Павлов » 15 июл 2018, 14:56

Здравствуйте!
Подскажите, как реализовать разделение уровней доступа для VPN пользователей?
Нужно сделать так, чтобы одни пользователи получали доступ ко всем ресурсам сети без ограничений, а другие могли обращаться только к заданным. Например, к принтеру, ПК и внутреннему сайту... А доступ к остальным ресурсам локальной сети был для них закрыт.
Возможно реализовать такое?
Юрий_Павлов
Пользователь
 
Сообщения: 18
Зарегистрирован: 29 апр 2018, 22:03

Re: Разделение уровней доступа для VPN клиентов

Сообщение Юрий_Павлов » 15 июл 2018, 20:48

Дошел до решения самостоятельно. Только прошу подтвердить верность данного решения.
Те пользователи VPN, которым нужен полноценный доступ, получают IP адрес из того же диапазона, что и пользователи локальной сети. Пользователи, которым нужно ограничить доступ до ресурсов, получают IP адрес из другого диапазона.
Далее в настройках пользовательского файрвола создаём разрешающие правила с источником подсети данных VPN пользователей и назначением конкретных разрешенных IP адресов в основной подсети.
Данное решение рабочее. Только хотелось бы понять насколько безопасное.
Юрий_Павлов
Пользователь
 
Сообщения: 18
Зарегистрирован: 29 апр 2018, 22:03

Re: Разделение уровней доступа для VPN клиентов

Сообщение ideco.dmitriy » 16 июл 2018, 08:21

Добрый день! Да,это верное и вполне безопасное решение.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43

Re: Разделение уровней доступа для VPN клиентов

Сообщение Юрий_Павлов » 16 июл 2018, 10:38

Чем больше разбираюсь с iDecoICS, тем больше понимаю, что совершенно не понимаю, как работает устроен его файрвол.
В посту выше я написал, что у меня всё получилось. Но, не тут-то было. У меня реально всё заработало, хотя работать было не должно. И вот почему:
Я прописал правило в ПОЛЬЗОВАТЕЛЬСКОМ файрволе, но не подсоединил его ни к одному пользователю или группе. И вроде всё работало, пока я не решил ограничить доступ к выходу в интернет. В этот же список правил я добавил ещё одно запрещающее правило и стало у меня это выглядеть так:
1. Источник: 10.1.3.0/24, Назначение: 10.0.5.14, Протокол: TCP, Порт назначения: 80, Действие: DNAT 10.0.5.14:3000
2. Источник: 10.1.3.0/24, Назначение: 10.0.5.0/24, Протокол: ALL, Действие: Запретить
Здесь: 10.1.3.0/24 - Подсеть, выдаваемая VPN пользователем, которым хочу предоставить доступ только к одному ресурсу. 10.0.5.14 - IP из локальной подсети, к которому хочу предоставить доступ этим пользователям. Порт 3000 - это порт на котором доступен корпоративный сайт на этом IP. Использую DNAT, чтобы этот сайт был доступен для этих пользователей по стандартному 80 порту.
Теперь я прописал список данных правил в группу VPN пользователей. И вот, что получилось:
Если активно только первое правило, то сайт открывается как по IP на стандартном 80 порту, так и на 3000. При этом не знаю почему, но стала доступна вся сеть из диапазона 10.0.5.0/24 для VPN пользователей из диапазона 10.1.3.0/24 - никаких маршрутов я туда не прописывал.
Если активирую второе правило (которое расположено под первым), то становится не доступным вся сеть, кроме IP адреса самого шлюза ICS. Т.е. первое правило перестаёт работать.
Также пробовал второму правилу изменять вид следующим образом:
2. Источник: 0.0.0.0/0, Назначение: 0.0.0.0/0, Протокол: ALL, Действие: Запретить
Но, результата нет. Либо недоступно ничего, любо доступно всё (при отключении правила). Почему ICS автоматом стал маршрутизировать одну подсеть в другую, и как это отключить?
Последний раз редактировалось Юрий_Павлов 16 июл 2018, 15:36, всего редактировалось 2 раз(а).
Юрий_Павлов
Пользователь
 
Сообщения: 18
Зарегистрирован: 29 апр 2018, 22:03

Re: Разделение уровней доступа для VPN клиентов

Сообщение ideco.dmitriy » 16 июл 2018, 10:52

Нужно пользоваться системным фаерволом для таких ограничений.
Тем более для DNAT-правил.

Маршрутизация между всеми подсетями работает, если ее не ограничить фаерволом.

Без схемы сети, к сожалению по тексту сложно сказать, какие правила точно нужно сделать.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43

Re: Разделение уровней доступа для VPN клиентов

Сообщение Юрий_Павлов » 16 июл 2018, 14:02

Удалил все правила из пользовательского фаервола и перенёс в системный. Для простоты тестирования для начала решил обойтись без DNAT, поэтому изменил правило. Нарисовать схему проблематично, поэтому постараюсь объяснить ещё раз всё подробно:
Локальная сеть находится в диапазоне: 10.0.5.0/24. В этой сети все компьютеры получают IP адреса от DHCP сервера iDeco ICS.
В этой сети один из компьютеров получает IP адрес: 10.0.5.14. На нём крутится корпоративный сайт, который отвечает на 3000 порту.
Задача состоит в том, чтобы допустить к локальной сети несколько VPN пользователей, которым в сети будет доступен только корпоративный сайт по адресу: 10.0.5.14:3000. Другие ресурсы в локальной сети им должны быть не доступны.
Для этого я задаю этим VPN пользователям получение IP адреса из диапазона 10.1.3.0/24. В системном фаерволе создаю следующую группу правил:
1. Источник: 10.1.3.0/24, Назначение: 10.0.5.14, Протокол: TCP, Действие: Разрешить {Разрешаю доступ только к нужному IP адресу}
2. Источник: 10.1.3.0/24, Назначение: 10.0.5.0/24, Протокол: ALL, Действие: Запретить {Запрещаю доступ к локальной подсети}
Рассуждая чисто логически, если VPN пользователь обратился по IP 10.0.5.14 по любому порту, то он должен получить к нему доступ, согласно первого правила.
Если же он обратился по любому другому IP, то согласно второго правила он получает отказ. Но, проблема в том, что первое правило не срабатывает, если включено второе правило (блокируется сразу вся подсеть в том числе и нужный IP). А если второе правило отключено, то в первом правиле смысла нет, так как маршрутизация из подсети 10.1.3.0/24 в подсеть 10.0.5.0/24 работает и без него по умолчанию. Поэтому делаю вывод, что разрешающее правило не нужно. А вот запрещающее нужно как-то изменить, чтобы заблокировать доступ ко всей подсети, кроме нужного IP адреса. Вопрос, как правильно создать данное правило или их набор?
Юрий_Павлов
Пользователь
 
Сообщения: 18
Зарегистрирован: 29 апр 2018, 22:03

Re: Разделение уровней доступа для VPN клиентов

Сообщение Юрий_Павлов » 16 июл 2018, 14:56

Пока жду от Вас ответа рассуждаю и эксперементирую дальше, и даже стало опять получаться. Вернулся к решению с DNAT и создал в системном фаерволе следующие правила:
1. Источник: 10.1.3.0/24, Назначение: 10.0.5.14, Протокол: TCP, Порт назначения: 80, Действие: DNAT 10.0.2.14:3000
2. Источник: 10.1.3.0/24, Назначение: 10.0.5.1 - 10.0.5.13, Протокол: ALL, Действие: Запретить {Запрещаю доступ к локальной к первой половине подсети до 14 IP}
3. Источник: 10.1.3.0/24, Назначение: 10.0.5.15 - 10.0.5.255, Протокол: ALL, Действие: Запретить {Запрещаю доступ к локальной ко второй половине подсети после 14 IP}
4. Источник: 10.1.3.0/24, Назначение: 0.0.0.0/0, Протокол: ALL, Действие: Запретить {Запрещаю доступ к интернет ресурсам, чтобы не выходил в интернет через нашу сеть}
И вроде как всё работает. Сайт отвечает только по стандартному 80 порту. Т.е., в принципе, я добился чего хотел. Но интернет ресурсы заблокировались не полностью. Какие-то сайты не отвечают на запросы, а какие-то открываются без проблем.
Куда ещё копнуть, как убедиться, что моя сеть в безопасности и у этих VPN пользователей нет возможности проникнуть в мою сеть?
А если пользователь самостоятельно жестко пропишет у себя IP адрес из диапазона локальной сети? Как обезопасить себя от этого?
Юрий_Павлов
Пользователь
 
Сообщения: 18
Зарегистрирован: 29 апр 2018, 22:03

Re: Разделение уровней доступа для VPN клиентов

Сообщение ideco.dmitriy » 17 июл 2018, 10:48

Добрый день!
Первый вариант с одним разрешающим, а вторым запрещающим правилом должен работать, если в нем все пропасано правильно (путь Forward, например).

Во втором варианте скорее всего какие-то веб-ресурсы доступны, поскольку идут через прокси-сервер. Можно исключить VPN-сеть из обработки прокси-сервером, тогда они будут обрабатываться этими правилами файервола.

При изменении адреса для VPN, она станет не работоспособной.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1858
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1