ProHoster > Блог > Administracija > 10. Check Point Getting Started R80.20. Identity Awareness

10. Check Point Getting Started R80.20. Identity Awareness

10. Check Point Getting Started R80.20. Identity Awareness

Dobrodošli na godišnjicu - 10. lekcija. A danas ćemo pričati o još jednoj Check Point oštrici - Identity Awareness. Na samom početku, pri opisivanju NGFW-a, utvrdili smo da on mora moći regulisati pristup na osnovu naloga, a ne IP adresa. To je prvenstveno zbog povećane mobilnosti korisnika i raširenosti BYOD modela – ponesite svoj uređaj. U kompaniji može biti puno ljudi koji se povezuju preko WiFi-a, primaju dinamički IP, pa čak i iz različitih segmenata mreže. Pokušajte kreirati pristupne liste na osnovu IP brojeva ovdje. Ovdje ne možete bez identifikacije korisnika. I to je oštrica svijesti o identitetu koja će nam pomoći u ovom pitanju.

Ali prvo, hajde da shvatimo za šta se najčešće koristi identifikacija korisnika?

  1. Da ograničite pristup mreži preko korisničkih naloga, a ne preko IP adresa. Pristup se može regulisati i jednostavno na Internet i na bilo koji drugi segment mreže, na primjer DMZ.
  2. Pristup preko VPN-a. Slažete se da je korisniku mnogo zgodnije da koristi svoj račun domene za autorizaciju, nego drugu izmišljenu lozinku.
  3. Za upravljanje Check Point-om potreban vam je i račun koji može imati različita prava.
  4. A najbolji dio je izvještavanje. Mnogo je ljepše vidjeti određene korisnike u izvještajima, a ne njihove IP adrese.

U isto vrijeme, Check Point podržava dvije vrste računa:

  • Lokalni interni korisnici. Korisnik se kreira u lokalnoj bazi podataka servera za upravljanje.
  • Eksterni korisnici. Eksterna korisnička baza može biti Microsoft Active Directory ili bilo koji drugi LDAP server.

Danas ćemo razgovarati o pristupu mreži. Za kontrolu pristupa mreži, uz prisustvo Active Directory, tzv Pristupna uloga, koji omogućava tri korisničke opcije:

  1. mreža - tj. mreža na koju se korisnik pokušava povezati
  2. AD korisnik ili korisnička grupa — ovi podaci se povlače direktno sa AD servera
  3. Mašina - radna stanica.

U ovom slučaju identifikacija korisnika može se izvršiti na nekoliko načina:

  • AD Query. Check Point čita logove AD servera za autentifikovane korisnike i njihove IP adrese. Računari koji su u AD domenu se identifikuju automatski.
  • Autentifikacija zasnovana na pretraživaču. Identifikacija putem pretraživača korisnika (Captive Portal ili Transparent Kerberos). Najčešće se koristi za uređaje koji nisu u domeni.
  • Terminalni serveri. U ovom slučaju, identifikacija se vrši pomoću posebnog terminalskog agenta (instaliranog na terminal serveru).

Ovo su tri najčešće opcije, ali postoje još tri:

  • Identity Agents. Na računarima korisnika je instaliran poseban agent.
  • Identity Collector. Zaseban uslužni program koji je instaliran na Windows Serveru i prikuplja evidencije provjere autentičnosti umjesto mrežnog prolaza. Zapravo, obavezna opcija za veliki broj korisnika.
  • RADIUS Accounting. Pa gdje bismo bili bez dobrog starog RADIJA.

U ovom tutorijalu demonstrirat ću drugu opciju - baziranu na pretraživaču. Mislim da je teorija dovoljna, pređimo na praksu.

Video lekcija

Pratite nas za više i pridružite nam se YouTube kanal 🙂

izvor: www.habr.com

Dodajte komentar