Сардэчна запрашаем на юбілейны - 10-ы ўрок. І сёння мы пагаворым пра яшчэ адзін блэйд Check Point. Identity Awareness. Яшчэ ў самым пачатку, пры апісанні NGFW, мы вызначылі, што для яго абавязковая магчымасць рэгулявання доступу на аснове уліковых запісаў, а не IP-адрасоў. Звязана гэта ў першую чаргу з падвышанай мабільнасцю карыстачоў і паўсюдным распаўсюджваннем мадэлі BYOD - bring your own device. У кампаніі можа быць куча народа, якія падключаюцца па WiFi, атрымліваюць дынамічны IP, ды яшчэ і з розных сегментаў сеткі. Паспрабуй тут ствары аксес-лісты на аснове ip-шнікаў. Тут ужо без ідэнтыфікацыі карыстальнікаў не абысціся. І вось менавіта блейд Identity Awareness дапаможа нам у гэтай справе.
Але для пачатку давайце разбяромся, для чаго часцей за ўсё выкарыстоўваецца ідэнтыфікацыя карыстальнікаў?
- Для абмежавання сеткавага доступу па ўліковых запісах карыстальнікаў, а не па IP-адрасах. Доступ можа рэгулявацца як проста да Інтэрнету, так і ў любыя іншыя сеткавыя сегменты, напрыклад DMZ.
- Доступ да VPN. Пагадзіцеся, што карыстачу значна зручней выкарыстоўваць свой даменный улік для аўтарызацыі, а не яшчэ адзін прыдуманы пароль.
- Для кіравання Check Point-ым гэтак жа неабходны ўліковы запіс, у якой могуць быць розныя правы.
- І самая прыемная частка - Справаздачнасць. Нашмат прыемней бачыць у справаздачах пэўных карыстачоў, а не іх ip-адрасы.
Пры гэтым Check Point падтрымлівае два тып уліковых запісаў:
- Local Internal Users. Карыстальнік ствараецца ў лакальнай базе сервера кіравання.
- Знешнія карыстальнікі. У якасці знешняй базы карыстальнікаў можа выступаць Microsoft Active Directory або любы іншы LDAP-сервер.
Мы сёння будзе казаць аб сеткавым доступе. Для кіравання сеткавым доступам, пры наяўнасці Active Directory, у якасці аб'екта (source або destination) выкарыстоўваецца так званы Access Role, які дазваляе выкарыстоўваць тры параметры карыстальніка:
- сетка - Г.зн. сетку, з якой карыстальнік спрабуе падключыцца
- AD User або User Group - гэтыя дадзеныя выдзіраюцца непасрэдна з AD сервера
- Машына - працоўная станцыя.
Пры гэтым ідэнтыфікацыя карыстальнікаў можа быць выканана некалькімі спосабамі:
- AD Query. Check Point счытвае логі AD сервера на прадмет аўтэнтыфікаваных карыстачоў і іх IP-адрасоў. Кампутары, якія знаходзяцца ў AD дамене ідэнтыфікуюцца аўтаматычна.
- Browser-Based Authentication. Ідэнтыфікацыя праз браўзэр карыстальніка (Captive Portal або Transparent Kerberos). Часцей за ўсё выкарыстоўваецца для прылад, якія не ў дамене.
- Тэрмінальныя серверы. У гэтым выпадку ідэнтыфікацыя ажыццяўляецца з дапамогай спецыяльнага тэрмінальнага агента (усталёўваецца на тэрмінальны сервер).
гэта тры самых распаўсюджаных варыянта, але ёсць яшчэ тры:
- Identity Agents. На кампутары карыстальнікаў ставіцца спецыяльны агент.
- Identity Collector. Асобная ўтыліта, якая ставіцца на Windows Server і збірае логі аўтэнтыфікацыі замест шлюза. Фактычна абавязковы варыянт пры вялікай колькасці карыстальнікаў.
- Бухгалтэрыя RADIUS. Ну і куды ж без старога добрага Radius.
У гэтым уроку я прадэманструю другі варыянт – Browser-Based. Думаю дастаткова тэорыі, давайце ўжо пяройдзем да практыкі.
Відэа ўрок
Stay tuned for more and join our
Крыніца: habr.com