Как перенаправить utm в api

Передавать отдельно UTM метки через web-hook в email-трэкинге.

В данный момент roistat отправляет UTM метки в одну строку в переменной marker, пример:

«marker»:»:utm:111_222_333_444_555″, значения передаются всегда в одной последовательности и это правильно, но если какой-нибудь метки не будет, то значение просто не будет передаваться и получится — «marker»:»:utm:111_222_444_555″.

Собственно интересует либо передача UTM-меток в отдельных переменных, либо как вариант передавать вместо отсутствующей UTM-метки какое-нибудь «пустое» значение, что бы можно было правильно распарсить метки.

Настройка и передача статических UTM-меток для обращений

Статические UTM-метки, указанные в настройках рекламной кампании, используются в отчетах по обращениям в параметре « Расширенные UTM-метки »:

Параметр « Расширенные UTM-метки » заполняется по следующей логике:

• Если обращение связано с сессией и одноименная UTM-метка определена для сессии, ее значение отображается в расширенной UTM-метке;
• Если обращение связано с сессией и одноименная UTM-метка НЕ определена для сессии, в расширенной UTM-метке отображается значение из настройки одноименной статической UTM-метки;
• Если обращение не связано с сессией, в расширенной UTM-метке отображается значение из настройки одноименной статической UTM-метки.

Данные правила работают для всех рекламных кампаний, независимо от того, подключен ли динамический коллтрекинг или нет. Если по рекламной кампании с динамическим коллтрекингом есть обращения на статический номер, для них в « Расширенных utm-метках » отображаются значения из настроек статических UTM-меток.

Передача расширенных UTM-меток через HTTP-уведомления

Расширенные UTM-метки можно передавать через HTTP-уведомления с помощью параметров eq_utm:

Форум

не нашел информации о названии полей в Битрикс24 для utm-меток. Как передать UTM-метки используя метод crm.lead.add utm в REST API?

Постоянный посетитель

Сообщений: 174 Баллов: 31 Регистрация: 08.02.2011

02.02.2018 11:57:02

https://dev.1c-bitrix.ru/rest_help/crm/leads/crm_lead_fields.php — вот здесь названия полей для UTM-меток. Они передаются так же как и другие поля

Страницы: 1

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером

1С-Битрикс http://www.1c-bitrix.ru Общие вопросы info@1c-bitrix.ru Приобретение и лицензирование продуктов : sales@1c-bitrix.ru Маркетинг/мероприятия/PR marketing@1c-bitrix.ru Партнерская программа partners@1c-bitrix.ru Мы работаем с 10:00 до 19:00 по московскому времени. Офис в Москве 127287 Россия Московская область Москва 2-я Хуторская улица дом 38А строение 9 Офис в Калининграде +7 (4012) 51-05-64 Офис в Калининграде 236001 Россия Калининградская область Калининград Московский проспект 261 Офис в Киеве ukraine@1c-bitrix.ru Телефон в Киеве +3 (8044)221-55-33 Офис в Киеве 01033 Украина Калининградская область Киев улица Шота Руставели 39/41 офис 1507

© 2001-2024 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. Политика конфиденциальности

Решение

В разделе Библиотеки ➜ Списки URL создайте новый список и добавьте следующие сайты:

• clck.yandex.ru
• *.disk.yandex.net
• push.yandex.ru
• report.appmetrica.yandex.net
• *storage.yandex.net
• webdav.yandex.
• passport.yandex.com
• downloader.disk.yandex.
• mds.yandex.net
• cloud-api.yandex.
• oauth.yandex.

Список URL также можно создать при настройке правила во вкладке Домены (кнопка Создать и добавить новый объект).

Далее во вкладке Домены свойств правил инспектирования укажите созданный ранее список URL .

Примечание Данное правило необходимо расположить в начале списка правил инспектирования SSL.
Как разрешить обновления Microsoft Edge (на базе Chromium) через UserGate

Задача

Необходимо разрешить получение обновления для Microsoft Edge (на базе Chromium)

Решение

Для того, чтобы браузер Mocrosoft Edge (версия на базе Chromium) мог получать обновления при доступе в Интернет через UserGate, необходимо создать дополнительное правило дешифрования. Для этого перейдите в раздел Политики безопасности ➜ Инспектирование SSL и добавьте правило инспектирования. Укажите необходимые данные.

Во вкладке Общие укажите:

В разделе Библиотеки ➜ Списки URL создайте новый список и укажите сайт:

• msedge.api.cdp.microsoft.com

Список URL также можно создать при настройки правила во вкладке Домены (кнопка Создать и добавить новый объект).

Далее во вкладке Домены свойств правила инспектирования укажите созданный ранее список URL .

ПримечаниеПравило следует поместить в начало списка правил
Ложные срабатывания сигнатур IDS

Задача

Происходят ложные срабатывания сигнатур СОВ

Решение

Чтобы исключить ложные срабатывания:

1. Создать профиль СОВ .

Перейдите в раздел Библиотеки ➜ Профили СОВ . На панели Профили нажмите Добавить и создайте профиль СОВ . Выбрав профиль нажмите Добавить на панели Сигнатуры. Далее укажите сигнатуры, ложные срабатывания которых нужно исключить.

1. Исключить срабатывание сигнатуры.

После создания профиля СОВ с необходимым набором сигнатур перейдите в раздел Политики безопасности ➜ СОВ . Откройте настройки правила, действие которого выполнится в результате срабатывания сигнатуры (правила с действиями Журналировать или Запретить); во вкладке Профили исключения добавьте профиль СОВ с сигнатурами, создающими ложные срабатывания.

Подробнее о настройке системы обнаружения и предотвращения вторжений читайте в UserGate 6. Руководство администратора.

Исправление авторизации на сайте Авито (разблокировка гугл-капча)

Задача

Ошибка при входе на сайт avito.ru

Решение

1. Для обнаружения правила веб-доступа, блокирующего авторизацию на сайте, нужно открыть сайт в браузере, кликнуть на «Вход и регистрация», во всплывающем окне нужно ввести имя и пароль и кликнуть на кнопку «Войти».
2. В журнале веб-доступа обнаружится сработавшее правило Веб-безопасности, следует внести в исключения URL www.avito.ru из поля Реферер (отмечен на скриншоте):

1. Еще раз повторить действия из п.1.
2. В журнале веб-доступа обнаружится еще одно сработавшее правило Веб-безопасности, в исключения которого следует внести URL www.google.com/recaptcha/ из поля Реферер:

После добавления этих исключений в правила, проблема исчезает.

Исключение из правила блокировки рекламы делается в самом правиле, пример на присоединённом скриншоте, названия листов соответствуют содержимому:

Недоступны SNMP устройства за UserGate

Задача

Недоступен мониторинг устройств, находящихся за UserGate, по SNMP.

Решение

Возможно, в свойствах зоны, на которую приходят пакеты, был включен SNMP-прокси. При разрешении данного сервиса опрос устройств, находящихся за UserGate, будет происходить с использованием адреса самого UserGate. Таким образом, нужно либо выключить SNMP-прокси, либо разрешить опрос устройств с адреса UserGate.

Примечание Опрос по SNMP самого UserGate должен производиться с использованием адреса интерфейса, на который поступает пакет, в противном случае (пакет поступил на один интерфейс, а затем, в результате внутренней маршрутизации, был перенаправлен на IP-адрес другого интерфейса UserGate) сервис SNMP доступен не будет. Это сделано для корректной отработки сервисов при наличии VRF (подробнее читайте Особенности реализации доступа к сервисам зон).

Ошибка при настройке интерфейса

Задача

При настройке интерфейса возникает ошибка: Адрес из этого диапазона уже используется на другом интерфейсе

Решение

Два разных интерфейса в UserGate не могут иметь адреса из одной подсети. Если бы это было возможно, маршрутизация была бы непредсказуемой.

Yandex Browser vs SSL inspection

Задача

Yandex Browser не использует импортированный сертификат UserGate (проблема характерна, в основном, для Linux систем).

Решение

Для доверия сертификату UserGate со стороны Yandex Browser необходимо сделать следующее:

1. В Яндекс-браузере зайдите в Настройки ➜ Системные ➜ Управление сертификатами.
2. Импортируйте сертификат UserGate: нажмите Импорт и выберите скачанный сертификат UserGate.
3. Отметьте чекбоксы Доверять этому сертификату…

Примечание Если сертификат уже импортирован, то настройка доверия сертификату производится во вкладке Центры сертификации: найдите в списке сертификат UserGate и нажмите Изменить.

Записи о блокировке широковещательных UDP-пакетов заполняют журнал трафика

Задача

Записи о блокировке широковещательных UDP-пакетов заполняют журнал трафика, что затрудняет его чтение.

Решение

Создать правило DNAT для перенаправления таких пакетов на широковещательный адрес несуществующей сети. Это предотвратит срабатывание блокирующего правила, созданного по умолчанию, и заполнение журналов лишними записями. Пример правила DNAT представлен на рисунке ниже:

Постоянное переключение шлюзов

Задача

Постоянное переключение шлюзов.

Решение

Это поведение является результатом работы проверки сети – указанный в настройках адрес периодически не проходит проверку.

Проверка сети настраивается в разделе Сеть➜ Шлюзы вкладки Настройки веб-интерфейса управления (подробнее читайте в соответствующей главе руководства администратора).

Не работают правила, содержащие ограничения по внешним пользователям

Задача

Не работают правила, содержащие ограничения по пользователям, полученным с внешних серверов (например, LDAP-коннектора).

Решение

Возможны несколько причин возникновения данной проблемы.

Возможная причина №1

Для того чтобы пользователей можно было использовать в правилах любого модуля, пользователи должны пройти аутентификацию одним из поддерживаемых методов (подробнее читайте в соответствующем разделе руководства администратора).

Примечание Для использования пользователей в правилах межсетевого экрана в соответствующем captive-профиле, если используется не агент аутентификации, в качестве метода идентификации необходимо указать Запоминать IP-адрес .

Возможная причина №2

Случай ассиметричного трафика: пакет от клиента к серверу передаётся через UserGate, а обратный — напрямую к клиенту (без обработки на UserGate). В этом случае межсетевой экран с контролем состояния обратный пакет не привязывает к пользователю. В такой ситуации необходимо правильно настроить маршрутизацию трафика, чтобы все пакеты шли через UserGate либо настроить правило SNAT для отправки такого трафика от имени UserGate.

Блокировка доступа через VPN

Задача

Необходимо оперативно заблокировать пользователю доступ через VPN.

Решение

Необходимо создать для пользователя запрещающее правило межсетевого экрана.

В результате создания правила, пользователь будет подключаться по VPN, но не будет иметь доступа к ресурсам.

Примечание Если сбросить сессию пользователя, то клиент автоматически переподключится, поэтому данный вариант не работает.

Ошибки TLS в журнале веб-доступа

Задача

При использовании инспектирования SSL в журнале веб-доступа появляются ошибки TLS Server Alert: Fatal — Bad Record Mac, TLS Server Alert: Fatal — Protocol Version, TLS Client Alert: Fatal — Unknown Ca и т.п.

Решение

Ошибки TLS Server Alert: Fatal — Bad Record Mac и TLS Server Alert: Fatal — Protocol Version возвращают браузеры пользователей вследствие наличия ошибок конфигурации. Для обеспечения максимальной совместимости UserGate поставляется с созданными по умолчанию профилями SSL (подробнее читайте в главе Профили SSL).

Ошибка TLS Client Alert: Fatal — Unknown Ca возникает, если в браузеры пользователей не установлен сертификат для дешифрования SSL-трафика. Подробнее об установке сертификата читайте соответствующей главе руководства администратора.

Выбор протокола PAP на MacOs

Задача

При настройке VPN на клиентском компьютере необходимо указать протокол PAP для авторизации пользователя.

Решение

На устройствах с операционной системой MacOS запретите использование протоколов авторизации, отличных от PAP. Для этого выполните в терминале следующие команды:

echo refuse-chap > ~/.ppprc echo refuse-mschap >> ~/.ppprc echo refuse-mschap-v2 >> ~/.ppprce>

Результатом выполнения команд является создание файла ~/ppprc cо следующим содержимым:

refuse-chap refuse-mschap refuse-mschap-v2

Избыточные записи о срабатываниях правил контентной фильтрации в журнале веб-доступа

Задача

В журнале веб-доступа присутствуют избыточные записи о срабатываниях правил контентной фильтрации (переход по ссылке может сформировать 20-30 записей).

Решение

Такое поведение обусловлено особенностями работы веб-сервиса — невозможно отличить, когда переход совершен браузером, а когда пользователем.
Для изучения рекомендуется:

• создать дубликат общего для всех пользователей правила, указав одного пользователя, который будет использоваться для тестирования правил;
• отключить журналирование общего правила.

Таким образом будет легче разобраться в механизме веб-фильтров и изучить работу созданных правил.

Примечание Представленные выше действия не уменьшат количество срабатываний, приходящееся на одного пользователя, а лишь упростят процесс изучения работы веб-фильтра, т.к. будут журналироваться действия только одного пользователя.

Как проверить работу антиспам модуля

Задача

Необходимо проверить что правила антиспам модуля находятся в рабочем состоянии и выполняют свою задачу.

Решение

Проверить работу антиспам фильтра можно с помощью шаблона GTUBE (Generic Test for Unsolicited Bulk Email). Для этого нужно создать почтовое сообщение, содержащее следующую строку(без пробелов и переносов) и отправить его на Ваш почтовый адрес:

Работу антиспам фильтра можно посмотреть с помощью виджетов Графики защиты почты и Сводные показатели защиты почты в разделе Дашборд.

Примечание Данные виджеты можно добавить с помощью кнопки Добавить виджет.

Также возможно отслеживать результаты работы антиспам фильтров UserGate по логам самих почтовых серверов, которые находятся за периметром UserGate, если в вашем правиле стоит функция Маркировать — тогда письма будут приходить с дополнительным тегом [SPAM].

Примечание Нужно учитывать, что блокировка писем будет срабатывать только при выбранном действии Блокировать в правиле фильтрации SMTP и POP3 трафика. Примечание При выбранном действии Блокировать с ошибкой UserGate будет отсылать ошибку о недоступности сервера отправителю.

Сертификация ФСТЭК России

Сертификат ФСТЭК относится к решению в целом, а не к его конкретной версии. UserGate в должном порядке вносит изменения в свое сертифицированное средство защиты информации, как это предусмотрено Приказом ФСТЭК №55 от 03 апреля 2018 года (см. п. 71, 73, 74).
Исходя из этого, в любой период времени, правильным является использование последней версии UserGate со всеми новейшими обновлениями. О выходе версии сообщено во ФСТЭК, и она передана в испытательную лабораторию для проведения испытаний. Обновления сертификатов, технических условий и формуляра происходит в установленным ФСТЭК порядке после окончания испытаний, информация об этом доводится до пользователей сертифицированного решения (сертификат ФСТЭК России и подробная информация доступны на сайте UserGate).

ОС Windows разрывает VPN-соединение

Задача

При подключении по VPN устройства c ОС Windows разрывают соединение.

Решение

Разрыв соединения происходит после получения системой отрицательного результата проверки доступности сети Интернет (для проверки доступности выполняется запрос на ресурс www.msftconnecttest.com).

Для решения проблемы добавьте разрешающее правило контентной фильтрации, указав зону источника, с которой происходит подключение пользователей по VPN.

Также можно на компьютере в свойствах VPN-подключения отключить использование основного шлюза в удалённой сети, тогда ОС Windows не будет выполнять разрыв соединения при отсутствии на NGFW разрешающего правила контентной фильтрации. В этом случае при VPN-подключении шлюз по умолчанию не изменится, а нужные маршруты будут получены компьютером от NGFW в соответствии с настройками VPN-сети.

Отсутствует доступ из локальной сети к ресурсам, опубликованным с помощью reverse-прокси, по внешнему URL

Задача

Из локальной сети нет доступа к ресурсам, опубликованным с использованием правил reverse-прокси, по внешнему URL .

Решение

Для обеспечения доступа пользователей локальной сети к ресурсам, опубликованным с помощью reverse-прокси, через адрес внешнего интерфейса необходимо:

1. Создать правило межсетевого экрана, разрешающее соединение из зоны интерфейса UserGate, за которым находится локальная сеть, в зону интерфейса, к которому подключён сервер.
2. Разрешить сервис Reverse-прокси на зоне интерфейса, к которому подключена локальная сеть.
3. В настройках правила reverse-прокси добавить зону, которой принадлежит локальная сеть, в качестве зоны источника.
4. Если локальная сеть и сервер находятся за одним интерфейсом, то не отмечайте чекбокс Сохранять адрес источника в настройках сервера reverse-прокси, в противном случае — настройте правило NAT для соединений из локальной сети.

ПримечаниеВ связи с изменениями данная инструкция неактуальна для версии 6.1.9.

Для обеспечения доступа к опубликованным ресурсам из локальной сети по внешнему URL для версии 6.1.9 необходимо на внутреннем DNS-сервере создать запись типа А, которая будет разрешать FQDN ресурса во внутренний IP-адрес сервера.

Низкая скорость передачи при Site-to-Site VPN

Задача

Настроен Site-to-Site VPN между двумя UserGate, маршруты до внутренних сетей прописаны. После подключения наблюдается низкая скорость передачи.

Решение

Необходимо сделать исключения защиты от DoS для адресов интерфейсов, которые используются для построения VPN-туннеля. Исключения добавляются в свойствах зоны, которой принадлежит интерфейс, в разделе Сеть ➜ Зоны.

VPN за UserGate

Вопрос

Можно ли развернуть VPN за UserGate, если на нём уже настроен VPN?

Ответ

Да, можно, если сервер за UserGate использует UDP-порты отличные от 500 и 4500 или на внешнем интерфейсе UserGate есть второй адрес.

На UserGate произведите следующие настройки:

1. Создайте сервис, указав протоколы и порты, используемые разворачиваемым за UserGate сервером.
2. Создайте правило DNAT и укажите созданный сервис.

Ошибка: Мало места на разделе для журналов

Задача

Возникает ошибка Мало места на разделе для журналов.

Решение

Данное сообщение информирует о превышении 92% занимаемого места от размера диска. Журналы автоматически ротируются, т.е. старые данные удаляются, освобождая место для записи новых. Место на диске освобождается небольшими блоками, поэтому данное сообщение будет периодически появляться.

Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.

ПримечаниеЗаписи журнала событий никогда не ротируются.

Если требуется хранить журналы за больший период времени, то можно добавить дополнительный диск или увеличить размер существующего диска на виртуальной машине. Далее необходимо выполнить перезагрузку UserGate; при загрузке в Support Menu необходимо выполнить увеличение раздела для журналов на весь выделенный диск (Expand log partition).

ПримечаниеЕсли NGFW подключён к Log Analyzer, то добавление дополнительного диска или увеличение размера существующего диска производится на LogAn.

Работа агента терминального сервера

Задача

У пользователя на терминальном сервере в браузере периодически появляется ошибка «Нет подключения к прокси серверу«. С чем это может быть связано?

Решение

Терминальный сервер перехватывает запросы от каждого пользователя и назначает свой диапазон портов. По диапазону портов NGFW идентифицирует пользователей терминального сервера.

Терминальный сервер использует следующий диапазон портов: 5000 — 49000 (всего 44000 портов). Агент, по умолчанию, настроен на работу 50 пользователей, на каждого из которых выделяется 880 портов; если портов не хватает, то соединения не будут установлены.

Проверьте журнал работы агента (файл entsagent в папке %ALLUSERSPROFILE%\Entensys\Terminal Server Agent\). Если есть сообщение not enought ports, то подключение не устанавливается из-за нехватки портов.

В настройках агента терминального сервера можно изменить количество пользователей, которые будут использовать агент терминального сервера. Если уменьшить количество пользователей, то на каждого пользователя будет выделено больше портов, и наоборот. Диапазон портов назначается пользователю после его регистрации на терминальном сервере, данная информация передаётся на NGFW. Освобождение диапазона происходит после прекращения сеанса работы в качестве зарегистрированного пользователя терминального сервера.

ПримечаниеВесь доступный диапазон портов делится на указанное число пользователей и, соответственно, каждому пользователю выделяется ограниченное количество портов.

Файл конфигурации tsagent.cfg находится в той же папке, что и журнал работы агента. Для указания количества пользователей измените параметр Maximum user count.

ПримечаниеЕсли выделяются порты для системной учетной записи, то в журнале формируется запись вида: user ‘NT AUTHORITY\SYSTEM’ port range 5000-5879.

ПримечаниеПосмотреть порты, используемые пользователем, можно в журнале веб-доствупа, сделав соответствующую выборку.

Если терминальных подключений много, то можно добавить на интерфейс сервера еще адрес (или несколько); при добавлении адреса количество доступных портов увеличивается в 2 раза.

Ошибка: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, во время согласований с удаленным компьютером

Задача

При попытке подключения к VPN отображается ошибка: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности, во время согласований с удаленным компьютером.

Решение

На клиентском ПК проверьте:

• параметр AssumeUDPEncapsulationContextOnSendRule в реестре должен принимать значение 2 (т.е. Windows может установить связи безопасности, когда сервер и клиентский компьютер находятся за устройствами NAT);
• значение параметра HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\ProhibitIpSec должно принимать значение 0;
• настройки безопасности адаптера:

ПримечаниеВ случае внесения изменений в реестр, компьютер необходимо перезагрузить.
Использование пула IP-адресов для NAT трансляции

Вопрос

Как правильно использовать пул IP адресов для NAT трансляции?

Ответ

В настройках правила типа NAT укажите пул IP-адресов в виде диапазона адресов, которые будут использоваться для замены адреса источника при наттировании пакетов (поле SNAT IP).

Запись трафика на NGFW

Вопрос

Как настроить запись трафика на NGFW?

Ответ

Запись трафика осуществляется на вкладке Диагностика и мониторинг в разделе Сеть ➜ Захват пакетов.

Например, для записи трафика TCP с адреса 10.0.0.1, подключённого к port1, произведите следующие действия:

1. На панели Фильтры произведите настройку фильтров:
   • Источник: 10.0.0.1 ( IP-адрес источника, трафик с которого необходимо записать);
   • IPv4 протокол: 6 (в соответствии с http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml).

При настройке фильтра также можно указать порт источника/назначения.

1. На панели Правила создайте правило захвата пакетов. При настройке укажите интерфейс NGFW, который используется для маршрутизации трафика (port1), и добавьте ранее созданный фильтр. Для начала/остановки записи трафика используйте соответствующие кнопки Начать запись/Остановить запись.
2. Файл PCAP доступен для скачивания на панели Файл (по умолчанию панель скрыта; для отображения нажмите стрелочку в правом верхнем углу).

ПримечаниеЕсли в настройках фильтра указан только адрес источника или только назначения, то будет записываться трафик в одну сторону.

Можно ли удалить записи журналов (событий, веб-доступа и т.д.)

Вопрос

Как выполнить очистку журналов (событий, веб-доступа и т.д.)?

Ответ

Журналы удалить невозможно, так как это требования информационной безопасности.

Возможность удаления журналов с устройства за определенный промежуток времени (или все сразу) позволяет скрыть нарушения безопасности. Управление журналами автоматизировано и не требует участия администратора, журналы циклически перезаписываются, обеспечивая необходимое для работы свободное дисковое пространство.

ПримечаниеЗаписи журнала событий никогда не ротируются.

Ротация записей журналов (всех, кроме журнала событий) происходит автоматически по критерию свободного пространства на данном разделе. При работе с большими дисками(более 100GB) критерий очистки установлен в 99% занятого места: удаляется раздел журналов с самыми старыми данными, освобождая место для записи новых. Записи о ротации базы данных будут отображены в журнале событий. В случае, если подключен LogAn, то запись будет отображена в журнале событий Log Analyzer.

Чем отличаются варианты резервных копий в Support Menu

Вопрос

Что предполагают Backup full и Backup system only в Support Menu?

Ответ

Backup full предполагает создание полной копии диска UserGate. Для определения размера съёмного носителя можно посмотреть информацию в Дашборд, виджет Диски (сложить значения колонки «Занято«). Для сжатия данных используется gzip.

Backup system only создаёт полную копию только системного раздела UserGate с абсолютно всеми настройками, состоянием кластера и лицензией; раздел журналов не копируется.

ПримечаниеС версии 7.x.x доступно создание только полной копии диска UserGate: Create backup.
Некорректное отображение имен пользователей в журнале Web-доступа

Задача

Некорректно отображаются пользователи в журнале веб доступа.
Вместо корректного отображения имени пользователя, оно появляется в формате логина или имени АРМ, на котором пользователь работает.

Решение

Данный эффект может наблюдаться в случае если доменный адрес в настройках сервера авторизации прописан некорректно. В этом случае ответ от LDAP-сервера содержит недопустимый по настройкам домен, что и приводит к описанному эффекту. Для устранения проблемы необходимо в настройках серверов авторизации на вкладке домены-LDAP добавить все допустимые в вашем контексте домены.

Статус портов при сканировании Nmap

Вопрос

Что означают статусы портов при сканировании nmap или им подобным.

Ответ

Nmap и ему подобные сканеры портов определяют 6 состояний программного порта:

Открыт (open)
Приложение принимает запросы на TCP соединение или UDP пакеты на этот порт.

Закрыт (closed)
Закрытый порт доступен (он принимает и отвечает на запросы Nmap), но не используется каким-либо приложением.

Фильтруется (filtered)
Администраторы могут заблокировать порты с помощью брандмауэров. в этом случае Nmap не может определить, открыт ли порт, т.к. фильтрация пакетов не позволяет достичь запросам Nmap этого порта.

Не фильтруется (unfiltered)
Это состояние означает, что порт доступен, но Nmap не может определить открыт он или закрыт.

Открыт|фильтруется (open|filtered)
Nmap характеризует порт таким состоянием, когда не может определить открыт порт или фильтруется. Это состояние возникает при таких типах сканирования, при которых открытые порты не отвечают. Отсутствие ответа также может означать, что пакетный фильтр не пропустил запрос или ответ не был получен. Поэтому Nmap не может определить наверняка открыт порт или фильтруется. При сканировании UDP, по IP протоколу, FIN, NULL, а также Xmas порт может быть охарактеризован таким состоянием.

Закрыт|фильтруется (closed|filtered)
Это состояние используется, когда Nmap не может определить закрыт порт или фильтруется.

Сканирование сети обнаруживает порты даже на тех адресах, где нет соответствующих сервисов

Задача

При сканировании IP адресов серверов, защищенных UserGate NGFW, порты, на которых нет соответствующих сервисов, показываются в статусе «закрытый».

Решение

Сканеры типа Nmap распознают статус порта по ответу от сканируемого ресурса. Статус «закрыт» означает, что на отправку сканером пакета SYN, цель ответила пакетом RST. Это означает, что данный порт доступен, но на нем не запущено никаких сетевых сервисов. Если этот порт разрешен на межсетевом экране UserGate NGFW, это нормальное поведение системы. В противном случае следует внимательно изучить настройки межсетевого экрана UserGate NGFW и устранить ошибки конфигурирования.

Если есть список устройств, для которых необходимо сделать порт недоступным, то можно создать правило DNAT в неиспользуемый адрес и заблокировать трафик на этот адрес правилом межсетевого экрана.

Можно ли отключить список DNSBL не удаляя его?

Вопрос

Можно ли отключить список DNSBL не удаляя его?

Ответ

Можно убрать галочку DNSBL проверка это не повлияет на список адресов в DNSBL, в дальнейшем ее можно включить обратно.

Также можно создать отдельное правило, с этой установленной галочкой. Правила можно отключать не удаляя их, через правую кнопку мыши

Где хранятся журналы после подключения UserGate LogAn

Вопрос

Где хранятся системные журналы после подключения UserGate NGFW к UserGate LogAn?

Ответ

После подключения UserGate LogAn, все сообщения отправляются на него. На NGFW в этом случае ничего не хранится.
При просмотре журналов на NGFW, они берутся с LogAn.

Не открываются сайты при включенном SSL-инспектировании

Задача

Не открываются сайты во всех браузерах кроме Yandex browser при включенном SSL-инспектировании. Необходимо сделать сайты доступными со всех браузеров.

Решение

Это ошибка, возможно, связана с применением браузерами механизма HSTS (в Yandex browser этот механизм по умолчанию отключен). Для решения проблемы необходимо почистить кэш браузера, в случае переносного оборудования. Либо, как вариант, заблокировать применение протокола QUIC браузерами.

Для Mozilla Firefox:

1. Откройте страницу расширенных настроек браузера, написав в адресной строке about:config и нажав Enter.
2. Скопируйте в строку поиска network.http.http3.enabled.
3. измените значение опции на FALSE (означает, что поддержка HTTP/3 включена).

Для Google Chrome/Opera:

1. Введите в адресную строку chrome://flags/ и перейдите по этому адресу (для Opera — opera://flags/).
2. В поисковой строке открывшегося меню разработчиков введите Quic .
3. Отключите пункт Experimental QUIC protocol, установив значение Disabled.

Использование нескольких идентичных контроллеров домена

Задача

Как сконфигурировать UserGate NGFW для использования нескольких контроллеров домена?

Решение

Создайте один коннектор контроллера домена и укажите в нем вместо FQDN контроллера домена сам домен. В этом случае обращение будет происходить по очереди к каждому контроллеру, указанному в зоне DNS , т.е. при недоступности первого контроллера произойдет обращение к следующему, пока не будет установлено соединение.

В случае недоступности части контроллеров домена с площадки, где работает NGFW, следует добавить статическую запись в настройки DNS , где были бы указаны адреса доступных контроллеров, и использовать имя этой записи в коннекторе.

Как разрешить работу офисной SIP АТС через UserGate?

Задача

Необходимо разрешить работу офисной SIP АТС через VPN UserGate.

Решение

Для решения нужно разрешить загрузку модуля SIP в командной строке UserGate NGFW при помощи следующей команды:

UTM> device config -set module_sip_enabled true

Ошибка: System is booting. LOM card present

Задача

На программно-аппаратных комплексах (ПАК) UserGate возникает ошибка System is booting. LOM card present; устройство зависает на этапе загрузки.

Решение

В случае возникновения ошибки выполните следующие действия:

1. Отключите питание на 5-10 минут. После включения ПАК должен загрузиться в штатном режиме, в противном случае, обратитесь в службу технической поддержки UserGate.

2. После загрузки ПАК, можно проверить версию IPMI , подключившись к DashBoard

Если версия отличается от представленной на рисунке, необходимо обновить версию IPMI .

Настройка работы AnyDesk

Задача

Необходимо настроить работу AnyDesk, используется инспектирование SSL.

Решение

Создайте список URL , содержащий запись (дословно, без кавычек): «AnyNet Relay», и добавьте этот список в исключения инспектирования SSL.

Примечание AnyDesk при запросе не отправляет SNI, а при TLS-соединении отправляет CN=AnyNet Relay.
Расписание типа Повторяющиеся события

Задача

Перестало работать правило с расписанием типа Повторящиеся события; отмечен чекбокс Весь день.

Решение

Для расписаний с типом повторения Повторяющиеся события присутствует ошибка в веб-интерфейсе управления UserGate. В настройках данного типа повторения наличие чекбокса Весь день является ошибочным, т.к. при его активации событие закончится в 00:00 и больше не повториться.

Для данного типа повторения пользователю необходимо указать интервал времени, в которое правило будет активно, и диапазон дат, т.е., чтобы правило работало весь день, можно указать период с 00:00 по 23:59, тогда правило не будет работать только 1 минуту в день. Чтобы правило работало весь день рекомендуется использовать интервал типа Диапазон времени.

Как добавить сетевые адаптеры к UserGate (Virtual Appliance)?

Задача

Необходимо добавить сетевые интерфейсы в виртуальную машину.

Решение

После добавления сетевых интерфейсов на виртуальной машине необходимо перезагрузиться и при загрузке в Boot Menu выбрать пункт Support menu ➜ Refresh NIC names, подробнее об этой и других служебных утилитах читайте в cоответствующем разделе руководства администратора.

Внимание!VMware присваивает MAC-адреса в определенном порядке, а в устройствах UserGate (Virtual Appliance) сортировка интерфейсов производится по возрастанию MAC-адресов. Поэтому после выполнения Refresh NIC names необходимо проверить соответствие MAC-адресов в настройках VMWare и на устройстве UserGate. В случае необходимости, измените в настройках виртуальной машины подключение сетевых адаптеров к виртуальным сетям.

Экспорт/импорт политик UserGate через CLI
ПримечаниеЭкспорт и импорт правил с использованием CLI доступен с версии 7.0.0.

Импорт доступен в следующих разделах:

• Сеть: правила DNS ;
• Пользователи и устройства: правила captive-портала;
• Политики сети: правила межсетевого экрана, NAT и маршрутизации, пропускной способности;
• Политики безопасности: правила фильтрации контента, веб-безопасности, инcпектирования туннелей, инспектирования SSL, инcпектирования SSH, защиты почтового трафика, ICAP, защиты DoS , системы обнаружения и предотвращения вторжений, сценарии;
• Глобальный портал: правила веб-портала и reverse-прокси;
• VPN: серверные и клиентские правила.

Указанные выше правила настраиваются с использованием UserGate Policy Language (UPL), подробную информацию о котором вы можете найти в соответствующем разделе руководства администратора.

Рассмотрим экспорт и импорт правил на примере правил межсетевого экрана. На NGFW созданы следующие правила:

ПримечаниеПравила созданы для демонстрации примера.

ПримечаниеПосле выполнения импорта все существующие правила раздела будут заменены на импортированные.

1. Для редактирования правила могут быть сохранены в файл конфигурации или скопированы из интерфейса командной строки. В обоих вариантах используется подключение к интерфейсу командной строки по SSH.

Для сохранения правил в файл, например, fw_config.cfg, выполните следующую команду:

ssh Admin@IP_ADDRESS -p 2200 show network-policy firewall >fw_config.cfg

где Admin — имя администратора;

IP_ADDRESS — адрес интерфейса UserGate.

Введите пароль учетной записи администратора, файл со списком правил будет сохранён на вашем устройстве.

Для копирования правил из интерфейса командной строки подключитесь к CLI по SSH:

ssh Admin@IP_ADDRESS -p 2200

где Admin — имя администратора;

IP_ADDRESS — адрес интерфейса UserGate.

Подключение по SSH необходимо для возможности копирования правил.

ПримечаниеКоманды выполняются в режиме конфигурации.

Для перехода в режим конфигурации используйте следующую команду:

Отобразите в CLI правила раздела, которые необходимо выгрузить:

Admin@UGOS# show network-policy firewall

ПримечаниеИспользуйте Tab или ? для просмотра текущих возможных значений или автодополнения.

Также действия над правилами могут быть выполнены после перехода на уровень раздела, в таком случае не нужно указывать уровень для каждой команды:

Admin@UGOS# edit network-policy firewall [ network-policy firewall ] Admin@UGOS# show

Результат выполнения команды:

[ network-policy firewall ] Admin@UGOS# show % ----------------- 1 ----------------- DENY \ src.zone = Trusted \ enabled(true) \ id(ba1abe50-f492-4e12-8a12-86df83b40a81) \ name(web1) % ----------------- 2 ----------------- DENY \ src.zone = DMZ \ dst.zone = Untrusted \ enabled(true) \ id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \ name(web2) % ----------------- 3 ----------------- PASS \ enabled(true) \ id("4e537010-322e-45e8-a1e1-7390f2300bce") \ name(web3)

2. Скопируйте правила для редактирования; используйте, например, текстовый редактор.

ПримечаниеНе копируйте строку с позицией первого правила.

Отредактируйте необходимые параметры правила. Для примера изменим названия правил на cli1, cli2 и cli3, соответственно:

DENY \ src.zone = Trusted \ enabled(true) \ id(ba1abe50-f492-4e12-8a12-86df83b40a81) \ name(cli1) % ----------------- 2 ----------------- DENY \ src.zone = DMZ \ dst.zone = Untrusted \ enabled(true) \ id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \ name(cli2) % ----------------- 3 ----------------- PASS \ enabled(true) \ id("4e537010-322e-45e8-a1e1-7390f2300bce") \ name(cli3)

3. Импортируйте правила. Выделите и скопируйте правила в редакторе. Перейдите в CLI, введите команду import upl-rule и вставьте скопированные правила:

[ network-policy firewall ] Admin@UGOS# import upl-rule DENY \ . src.zone = Trusted \ . enabled(true) \ . id(ba1abe50-f492-4e12-8a12-86df83b40a81) \ . name(cli1) . % ----------------- 2 ----------------- . DENY \ . src.zone = DMZ \ . dst.zone = Untrusted \ . enabled(true) \ . id(dd3b23e2-261d-48a5-8e63-3967ceb840b6) \ . name(cli2) . % ----------------- 3 ----------------- . PASS \ . enabled(true) \ . id("4e537010-322e-45e8-a1e1-7390f2300bce") \ . name(cli3) . [ network-policy firewall ] Admin@UGOS# 

4. Проверьте изменения в CLI:

[ network-policy firewall ] Admin@UGOS# show % ----------------- 1 ----------------- DENY \ src.zone = Trusted \ enabled(true) \ id("082ed6ed-20b6-4c93-921a-047eb9ff40a4") \ name(cli1) % ----------------- 2 ----------------- DENY \ src.zone = DMZ \ dst.zone = Untrusted \ enabled(true) \ id(f5f08dbd-019f-490a-8cfa-342c34a348fa) \ name(cli2) % ----------------- 3 ----------------- PASS \ enabled(true) \ id(b5ad3589-98d4-4911-8cf2-9590d0f3f4ea) \ name(cli3)

Сотрудничество с ФинЦЕРТ

Задача

Интеграция с центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ).

Решение

Компания UserGate сотрудничает с ФинЦЕРТ: информация синхронизируется со списком IP-адресов бот-сетей и списком URL фишинговых сайтов.

Поддерживается ли технология VxLAN в UserGate NGFW

Вопрос

Поддерживается ли технология VxLAN в UserGate NGFW?

Ответ

Да, UserGate NGFW может обрабатывать трафик, получаемый из удаленной сети и упакованный посредством технологии VxLAN.

Использование групп и пользователей LDAP в политиках безопасности, настраеваемых на Management Center

Задача

Добавление групп/пользователей LDAP в настройках правил в шаблонах управляемых устройств.

Решение

Начиная с версии Management Center 7.x.x для возможности использования групп и пользователей LDAP в политиках безопасности UserGate, настраиваемых в шаблонах управляемых устройств (шаблоны NGFW и конечных устройств), необходимо корректно настроить LDAP-коннектор в разделе Центр управления ➜ Каталоги пользователей консоли управления областью. Подробнее о настройке каталогов пользователей читайте в разделе Каталоги пользователей.

ПримечаниеДля NGFW: серверы аутентификации, настраиваемые в шаблонах, не будут отображены в свойствах правил в списке LDAP-серверов и, следовательно, не могут быть использованы для указания пользователей.

Ошибка подключения: не удалось найти имя хоста или домена

Задача

Часто возникают проблемы с открытием сайтов — Ошибка подключения: не удалось найти имя хоста или домен.

Решение

Ошибка такого типа может возникать в случае, когда UserGate не может разрешить доменное имя, на которое происходит обращение при явно указанном прокси. Это означает, что какие-то из DNS-серверов, указанных в настройках, работают неустойчиво.

Серверы некоторых интернет-провайдеров могут отвечать ошибкой на запросы, поступающие с адресов другого провайдера. Проверку можно произвести в разделе Сеть ➜ Запрос DNS вкладки Диагностика и мониторинг (подробнее читайте в разделе Запрос DNS ).

Для использования таких серверов необходимо настроить правила типа Policy-based routing (PBR), которые будут перенаправлять трафик на эти серверы через шлюзы соответствующего провайдера. Чтобы эти правила были применены к запросам, генерируемым UserGate, не указывайте зону источника трафика, т.е. не должно быть отмечено ни одной зоны — зона Любая. Подробнее о настройке правил PBR читайте в разделе Policy-based routing.

Также возможен вариант использования публичных DNS-серверов, отвечающих на запросы вне зависимости от используемого провайдера.

Настройка сервисов на UserGate 6.x.x

Задача

Необходимо создать сервис без указания порта назначения.

Решение

При создании сервиса на UserGate 6.x.x указание порта назначения является обязательным. Указание всего диапазона портов (0-65535) никак не скажется на работе правил.

ПримечаниеПри настройке сервисов на UserGate 7.x.x указание портов назначения не является обязательным.

Как расширить системный раздел устройства UserGate 7.x.x

Задача

Необходимо расширить системный раздел узла UseGate v7.x.

Решение

Для расширения системного раздела с сохранением конфигурации и данных узла UserGate необходимо выполнить следующие шаги:

1. Средствами гипервизора добавить новый диск необходимого размера в свойствах виртуальной машины UserGate.
2. В меню загрузки узла UserGate войти в раздел Support menu:

1. В открывшемся разделе выбрать Expand data partition и запустить процесс расширения системного раздела:

1. После завершения процесса расширения загрузить узел и в разделе Дашборд ➜ Диски проверить размер системного раздела:

ПримечаниеРасширение системного раздела путем увеличения размера имеющегося диска в свойствах виртуальной машины возможно только при сбросе узла до заводских настроек при выполнении операции factory reset.

Низкая скорость передачи данных в туннеле Site-to-Site VPN между двумя устройствами UserGate

Задача

Настроен Site-to-Site VPN между двумя устройствами UserGate. При установке соединения в направлении КЛИЕНТ- СЕРВЕР наблюдается низкая скорость и нестабильная работа туннеля; при соединениях СЕРВЕР — КЛИЕНТ проблем не наблюдается.

Решение

Одной из возможных причин такого поведения может быть фрагментация пакетов. Если пакеты, передаваемые через VPN-туннель, превышают максимальный размер MTU на любом из промежуточных устройств, они могут быть разделены на фрагменты. Это может привести к увеличению задержки и потере производительности. Путем установки оптимального значения MTU на туннельном интерфейсе можно избежать фрагментации и снизить задержку.
Значение MTU на туннельных интерфейсах, созданных по умолчанию и предназначенных для соединения Site-to-Site VPN, по умолчанию установлено 1420 байт. Требуется уменьшить значение MTU до 1384.
Редактирование свойств интерфейса производится в разделе: Сеть ➜ Интерфейсы.

ПримечаниеВажно отметить, что при изменении MTU на туннельных интерфейсах необходимо убедиться, что все устройства на пути передачи данных поддерживают выбранное значение MTU.

Как настроить правила аналитики Log Analyzer SIEM

Задача

Используя функционал Log Analyzer, настроить правило аналитики для поиска срабатываний правил защиты от DoS-атак и автоматического добавления адреса источника атаки в список блокируемых адресов на группу NGFW.

Решение

Раздел Аналитика UserGate Log Analyzer предоставляет функционал SIEM. Наличие SIEM позволяет с использованием правил аналитики производить анализ событий безопасности, получаемых с настроенных сенсоров, и определять методы реагирования на них.

В данном примере будет рассмотрена настройка правила аналитики для группы NGFW, которое срабатывает при получении события о срабатывании правила защиты DOS на одном NGFW и отсылает команду на добавление IP-адреса источника в предварительно созданный на всех NGFW список адресов, который уже используется в правилах межсетевого экрана (МЭ) для блокировки нежелательных соединений. Данная конфигурация работает в режиме Prevent защиты.

Примечание Правило аналитики сработает после того, как условие, в нашем случае — это нахождение в журнале срабатывания правила защиты от DoS , выполнится указанное количество раз. Опционально можно ограничить время выполнения условия, тогда правило аналитики сработает только в случае, если условие выполнится заданное количество раз за указанный отрезок времени.

1. Создать список IP-адресов на NGFW.
   В разделе Библиотеки ➜ IP-адреса на панели Группы нажать на кнопку Добавить, дать название списку IP-адресов, например, Blocked_addresses.
   Выполнить аналогичную настройку на каждом из NGFW в группе.

Создать правила МЭ на NGFW.
В разделе Политики сети ➜ Межсетевой экран создать запрещающие правила, используя созданный ранее список Blocked_addresses в качестве адреса источника.
Выполнить аналогичную настройку на каждом из NGFW в группе.

Подробнее о настройке правил читайте в разделе Межсетевой экран.
Создать правило защиты DoS на NGFW.
В разделе Политики безопасности ➜ Правила защиты DoS нажать на кнопку Добавить, создать правило с действием Защитить и включить журналирование.
Выполнить аналогичную настройку на каждом из NGFW в группе.

Подробнее о настройке правил защиты DOS читайте в соответствующем разделе руководства администратора.
Подключить NGFW к LogAn.
В разделе Сенсоры ➜ Сенсоры UserHate нажать на кнопку Добавить, указать параметры NGFW.
Выполнить аналогичную настройку на каждом из NGFW в группе.

Подробнее о подключении NGFW к LogAn читайте в разделе Сенсоры.

Создать список команд на LogAn.
На LogAn перейти в раздел Библиотеки ➜ Команды и создать группу команд (на панели Группы команд нажать Добавить и указать название). На панели Команды нажать Добавить и указать название и следующий текст команды (синтаксис команды аналогичен синтаксису команд CLI NGFW): set libraries ip-list Blocked_addresses ips + [ {SRC_IP} ]

Данная команда будет отправлена на NGFW в качестве действия реагирования на срабатывание правила аналитики. При написании команды использована переменная SRC_IP — адрес источника, который при отправке команды добавляет IP-адрес источника в список IP-адресов Blocked_addresses, созданный ранее на NGFW.

Создать коннектор на LogAn.
На LogAn в разделе Сенсоры ➜ Koннекторы нажать Добавить и указать свойства коннектора:

• Имя: название коннектора;
• Тип сервера: SSH;
• Адрес сервера: IP;
• IP-адрес : IP-адрес NGFW;
• Порт: порт сервера;
• Логин: логин пользователя для авторизации на коннекторе;
• Пароль: пароль учётной записи пользователя, необходимый для авторизации на коннекторе;
• Группа команд: группа команд, созданная на п.5.

Выполнить аналогичную настройку на каждом из NGFW в группе.

1. Создать действие реагирования на LogAn.
   Действие реагирования также может быть создано при настройке правила аналитики во вкладке Действия реагирования (нажать Создать и добавить новый объект). Перейти во вкладку Аналитика веб-интерфейса Log Analyzer. Во вкладке Действия реагирования нажать Добавить и указать свойства действия реагирования:

Название правила реагирования;
Действие: Послать команду на коннектор — отправка команды на выбранный коннектор.

1. Настроить правило аналитики. Перейти во вкладку Аналитика веб-интерфейса Log Analyzer. В разделе Правила аналитики нажать Добавить и указать следующие параметры: