Dobrodošli na godišnjicu - 10. lekcija. A danas ćemo pričati o još jednoj Check Point oštrici - Identity Awareness. Na samom početku, pri opisivanju NGFW-a, utvrdili smo da on mora moći regulisati pristup na osnovu naloga, a ne IP adresa. To je prvenstveno zbog povećane mobilnosti korisnika i raširenosti BYOD modela – ponesite svoj uređaj. U kompaniji može biti puno ljudi koji se povezuju preko WiFi-a, primaju dinamički IP, pa čak i iz različitih segmenata mreže. Pokušajte kreirati pristupne liste na osnovu IP brojeva ovdje. Ovdje ne možete bez identifikacije korisnika. I to je oštrica svijesti o identitetu koja će nam pomoći u ovom pitanju.
Ali prvo, hajde da shvatimo za šta se najčešće koristi identifikacija korisnika?
- Da ograničite pristup mreži preko korisničkih naloga, a ne preko IP adresa. Pristup se može regulisati i jednostavno na Internet i na bilo koji drugi segment mreže, na primjer DMZ.
- Pristup preko VPN-a. Slažete se da je korisniku mnogo zgodnije da koristi svoj račun domene za autorizaciju, nego drugu izmišljenu lozinku.
- Za upravljanje Check Point-om potreban vam je i račun koji može imati različita prava.
- A najbolji dio je izvještavanje. Mnogo je ljepše vidjeti određene korisnike u izvještajima, a ne njihove IP adrese.
U isto vrijeme, Check Point podržava dvije vrste računa:
- Lokalni interni korisnici. Korisnik se kreira u lokalnoj bazi podataka servera za upravljanje.
- Eksterni korisnici. Eksterna korisnička baza može biti Microsoft Active Directory ili bilo koji drugi LDAP server.
Danas ćemo razgovarati o pristupu mreži. Za kontrolu pristupa mreži, uz prisustvo Active Directory, tzv Pristupna uloga, koji omogućava tri korisničke opcije:
- mreža - tj. mreža na koju se korisnik pokušava povezati
- AD korisnik ili korisnička grupa — ovi podaci se povlače direktno sa AD servera
- Mašina - radna stanica.
U ovom slučaju identifikacija korisnika može se izvršiti na nekoliko načina:
- AD Query. Check Point čita logove AD servera za autentifikovane korisnike i njihove IP adrese. Računari koji su u AD domenu se identifikuju automatski.
- Autentifikacija zasnovana na pretraživaču. Identifikacija putem pretraživača korisnika (Captive Portal ili Transparent Kerberos). Najčešće se koristi za uređaje koji nisu u domeni.
- Terminalni serveri. U ovom slučaju, identifikacija se vrši pomoću posebnog terminalskog agenta (instaliranog na terminal serveru).
Ovo su tri najčešće opcije, ali postoje još tri:
- Identity Agents. Na računarima korisnika je instaliran poseban agent.
- Identity Collector. Zaseban uslužni program koji je instaliran na Windows Serveru i prikuplja evidencije provjere autentičnosti umjesto mrežnog prolaza. Zapravo, obavezna opcija za veliki broj korisnika.
- RADIUS Accounting. Pa gdje bismo bili bez dobrog starog RADIJA.
U ovom tutorijalu demonstrirat ću drugu opciju - baziranu na pretraživaču. Mislim da je teorija dovoljna, pređimo na praksu.
Video lekcija
Pratite nas za više i pridružite nam se
izvor: www.habr.com