Добре дошли на юбилея - 10-ти урок. И днес ще говорим за друго острие на Check Point - Осъзнаване на идентичността. В самото начало, когато описвахме NGFW, решихме, че той трябва да може да регулира достъпа въз основа на акаунти, а не на IP адреси. Това се дължи преди всичко на повишената мобилност на потребителите и широкото разпространение на модела BYOD - носете свое устройство. Може да има много хора в една компания, които се свързват чрез WiFi, получават динамичен IP и дори от различни мрежови сегменти. Опитайте да създадете списъци за достъп въз основа на IP номера тук. Тук не можете без идентификация на потребителя. И това е острието за осъзнаване на самоличността, което ще ни помогне в този въпрос.
Но първо, нека разберем за какво най-често се използва идентификацията на потребителя?
- За ограничаване на достъпа до мрежата по потребителски акаунти, а не по IP адреси. Достъпът може да се регулира както просто до Интернет, така и до всякакви други мрежови сегменти, например DMZ.
- Достъп през VPN. Съгласете се, че е много по-удобно за потребителя да използва своя акаунт в домейна за оторизация, а не друга измислена парола.
- За да управлявате Check Point, вие също се нуждаете от акаунт, който може да има различни права.
- И най-добрата част е отчитането. Много по-приятно е да видите конкретни потребители в отчетите, а не техните IP адреси.
В същото време Check Point поддържа два типа акаунти:
- Местни вътрешни потребители. Потребителят се създава в локалната база данни на сървъра за управление.
- Външни потребители. Microsoft Active Directory или всеки друг LDAP сървър може да действа като външна потребителска база.
Днес ще говорим за достъп до мрежата. За контрол на достъпа до мрежата, при наличие на Active Directory, т.нар Роля за достъп, което позволява три потребителски опции:
- мрежа - т.е. мрежата, към която потребителят се опитва да се свърже
- AD потребител или потребителска група — тези данни се изтеглят директно от AD сървъра
- Машина - работна станция.
В този случай идентификацията на потребителя може да се извърши по няколко начина:
- AD Заявка. Check Point чете регистрационните файлове на AD сървъра за удостоверени потребители и техните IP адреси. Компютрите, които са в домейна на AD, се идентифицират автоматично.
- Удостоверяване, базирано на браузър. Идентификация чрез браузъра на потребителя (Captive Portal или Transparent Kerberos). Най-често се използва за устройства, които не са в домейн.
- Терминални сървъри. В този случай идентификацията се извършва с помощта на специален терминален агент (инсталиран на терминалния сървър).
Това са трите най-често срещани опции, но има още три:
- Агенти за самоличност. Специален агент е инсталиран на компютрите на потребителите.
- Колектор на самоличност. Отделна помощна програма, която е инсталирана на Windows Server и събира регистрационни файлове за удостоверяване вместо шлюза. Всъщност задължителна опция за голям брой потребители.
- Счетоводство РАДИУС. Е, къде щяхме да бъдем без добрия стар RADIUS.
В този урок ще демонстрирам втората опция - базирана на браузър. Мисля, че теорията е достатъчна, нека да преминем към практиката.
Видео урок
Очаквайте още и се присъединете към нас ????
Източник: www.habr.com