Добро пожаловать на юбилейный — 10-й урок. И сегодня мы поговорим о еще одном блейде Check Point — Identity Awareness. Еще в самом начале, при описании NGFW, мы определили, что для него обязательна возможность регулирования доступа на основе учетных записей, а не IP-адресов. Связано это в первую очередь с повышенной мобильностью пользователей и повсеместным распространением модели BYOD — bring your own device. В компании может быть куча народу, которые подключаются по WiFi, получают динамический IP, да еще и из разных сегментов сети. Попробуй тут создай аксес-листы на основе ip-шников. Здесь уже без идентификации пользователей не обойтись. И вот именно блейд Identity Awareness поможет нам в этом деле.
Но для начала давайте разберемся, для чего чаще всего используется идентификация пользователей?
- Для ограничения сетевого доступа по учетным записям пользователей, а не по IP-адресам. Доступ может регулироваться как просто к Интернету, так и в любые другие сетевые сегменты, например DMZ.
- Доступ по VPN. Согласитесь, что пользователю гораздо удобнее использовать свою доменную учетку для авторизации, а не еще один придуманный пароль.
- Для управления Check Point-ом так же необходима учетная запись, у которой могут быть различные права.
- И самая приятная часть — Отчетность. Намного приятнее видеть в отчетах конкретных пользователей, а не их ip-адреса.
При этом Check Point поддерживает два тип учетных записей:
- Local Internal Users. Пользователь создается в локальной базе сервера управления.
- External Users. В качестве внешней базы пользователей может выступать Microsoft Active Directory или любой другой LDAP-сервер.
Мы сегодня будет говорить о сетевом доступе. Для управления сетевым доступом, при наличии Active Directory, в качестве объекта (source или destination) используется так называемый Access Role, который позволяет использовать три параметра пользователя:
- Network — т.е. сеть, с которой пользователь пытается подключиться
- AD User или User Group — эти данные выдергиваются непосредственно с AD сервера
- Machine — рабочая станция.
При этом идентификация пользователей может быть выполнена несколькими способами:
- AD Query. Check Point считывает логи AD сервера на предмет аутентифицированных пользователей и их IP-адресов. Компьютеры, которые находятся в AD домене идентифицируются автоматически.
- Browser-Based Authentication. Идентификация через браузер пользователя (Captive Portal или Transparent Kerberos). Чаще всего используется для устройств, которые не в домене.
- Terminal Servers. В этом случае идентификация осуществляется с помощью специального терминального агента (устанавливается на терминальный сервер).
это три самых распространенных варианта, но есть еще три:
- Identity Agents. На компьютеры пользователей ставится специальный агент.
- Identity Collector. Отдельная утилита, которая ставится на Windows Server и собирает логи аутентификации вместо шлюза. Фактически обязательный вариант при большом количестве пользователей.
- RADIUS Accounting. Ну и куда же без старого доброго RADIUS.
В этом уроке я продемонстрирую второй вариант — Browser-Based. Думаю достаточно теории, давайте уже перейдем к практике.
Видео урок
Stay tuned for more and join our
Источник: habr.com