10. Check Point Getting Started R80.20. Identity Awareness

10. Check Point Getting Started R80.20. Identity Awareness

Добро пожаловать на юбилейный — 10-й урок. И сегодня мы поговорим о еще одном блейде Check Point — Identity Awareness. Еще в самом начале, при описании NGFW, мы определили, что для него обязательна возможность регулирования доступа на основе учетных записей, а не IP-адресов. Связано это в первую очередь с повышенной мобильностью пользователей и повсеместным распространением модели BYOD — bring your own device. В компании может быть куча народу, которые подключаются по WiFi, получают динамический IP, да еще и из разных сегментов сети. Попробуй тут создай аксес-листы на основе ip-шников. Здесь уже без идентификации пользователей не обойтись. И вот именно блейд Identity Awareness поможет нам в этом деле.

Но для начала давайте разберемся, для чего чаще всего используется идентификация пользователей?

  1. Для ограничения сетевого доступа по учетным записям пользователей, а не по IP-адресам. Доступ может регулироваться как просто к Интернету, так и в любые другие сетевые сегменты, например DMZ.
  2. Доступ по VPN. Согласитесь, что пользователю гораздо удобнее использовать свою доменную учетку для авторизации, а не еще один придуманный пароль.
  3. Для управления Check Point-ом так же необходима учетная запись, у которой могут быть различные права.
  4. И самая приятная часть — Отчетность. Намного приятнее видеть в отчетах конкретных пользователей, а не их ip-адреса.

При этом Check Point поддерживает два тип учетных записей:

  • Local Internal Users. Пользователь создается в локальной базе сервера управления.
  • External Users. В качестве внешней базы пользователей может выступать Microsoft Active Directory или любой другой LDAP-сервер.

Мы сегодня будет говорить о сетевом доступе. Для управления сетевым доступом, при наличии Active Directory, в качестве объекта (source или destination) используется так называемый Access Role, который позволяет использовать три параметра пользователя:

  1. Network — т.е. сеть, с которой пользователь пытается подключиться
  2. AD User или User Group — эти данные выдергиваются непосредственно с AD сервера
  3. Machine — рабочая станция.

При этом идентификация пользователей может быть выполнена несколькими способами:

  • AD Query. Check Point считывает логи AD сервера на предмет аутентифицированных пользователей и их IP-адресов. Компьютеры, которые находятся в AD домене идентифицируются автоматически.
  • Browser-Based Authentication. Идентификация через браузер пользователя (Captive Portal или Transparent Kerberos). Чаще всего используется для устройств, которые не в домене.
  • Terminal Servers. В этом случае идентификация осуществляется с помощью специального терминального агента (устанавливается на терминальный сервер).

это три самых распространенных варианта, но есть еще три:

  • Identity Agents. На компьютеры пользователей ставится специальный агент.
  • Identity Collector. Отдельная утилита, которая ставится на Windows Server и собирает логи аутентификации вместо шлюза. Фактически обязательный вариант при большом количестве пользователей.
  • RADIUS Accounting. Ну и куда же без старого доброго RADIUS.

В этом уроке я продемонстрирую второй вариант — Browser-Based. Думаю достаточно теории, давайте уже перейдем к практике.

Видео урок

Stay tuned for more and join our YouTube channel 🙂

Источник: habr.com