ProHoster > Bloc > Administració > 10. Check Point Primers passos R80.20. Consciència de la identitat

10. Check Point Primers passos R80.20. Consciència de la identitat

10. Check Point Primers passos R80.20. Consciència de la identitat

Benvinguts a l'aniversari - 10a lliçó. I avui parlarem d'una altra fulla Check Point: Consciència de la identitat. Al principi, quan vam descriure NGFW, vam determinar que havia de poder regular l'accés en funció dels comptes, no de les adreces IP. Això es deu principalment a l'augment de la mobilitat dels usuaris i a la difusió generalitzada del model BYOD: porteu el vostre propi dispositiu. Pot haver-hi moltes persones en una empresa que es connecten mitjançant WiFi, reben una IP dinàmica i fins i tot de diferents segments de xarxa. Proveu de crear llistes d'accés basades en números IP aquí. Aquí no es pot prescindir de la identificació d'usuari. I és la fulla de consciència de la identitat la que ens ajudarà en aquesta qüestió.

Però primer, anem a esbrinar per a quina identificació d'usuari s'utilitza més sovint?

  1. Per restringir l'accés a la xarxa per comptes d'usuari en lloc de per adreces IP. L'accés es pot regular tant simplement a Internet com a qualsevol altre segment de la xarxa, per exemple DMZ.
  2. Accés mitjançant VPN. Accepteu que és molt més convenient que l'usuari utilitzi el seu compte de domini per a l'autorització, en lloc d'una altra contrasenya inventada.
  3. Per gestionar Check Point, també necessiteu un compte que pugui tenir diversos drets.
  4. I la millor part és informar. És molt més agradable veure usuaris específics als informes en lloc de les seves adreces IP.

Al mateix temps, Check Point admet dos tipus de comptes:

  • Usuaris interns locals. L'usuari es crea a la base de dades local del servidor de gestió.
  • Usuaris externs. La base d'usuaris externa pot ser Microsoft Active Directory o qualsevol altre servidor LDAP.

Avui parlarem de l'accés a la xarxa. Per controlar l'accés a la xarxa, en presència d'Active Directory, l'anomenat Rol d'accés, que permet tres opcions d'usuari:

  1. Xarxa - és a dir la xarxa a la qual s'està intentant connectar l'usuari
  2. Usuari o grup d'usuaris d'AD — aquestes dades s'extreuen directament del servidor AD
  3. Màquina - estació de treball.

En aquest cas, la identificació de l'usuari es pot realitzar de diverses maneres:

  • Consulta d'AD. Check Point llegeix els registres del servidor AD dels usuaris autenticats i les seves adreces IP. Els ordinadors que es troben al domini AD s'identifiquen automàticament.
  • Autenticació basada en navegador. Identificació mitjançant el navegador de l'usuari (Captive Portal o Transparent Kerberos). S'utilitza més sovint per a dispositius que no es troben en un domini.
  • Servidors de terminals. En aquest cas, la identificació es realitza mitjançant un agent de terminal especial (instal·lat al servidor de terminal).

Aquestes són les tres opcions més habituals, però n'hi ha tres més:

  • Agents d'identitat. S'instal·la un agent especial als ordinadors dels usuaris.
  • Col·leccionista d'identitats. Una utilitat independent que s'instal·la al Windows Server i recopila els registres d'autenticació en lloc de la passarel·la. De fet, una opció obligatòria per a un gran nombre d'usuaris.
  • Comptabilitat RADIUS. Bé, on seríem sense el bon vell RADIUS.

En aquest tutorial mostraré la segona opció - Basada en navegador. Crec que la teoria és suficient, passem a la pràctica.

Vídeo tutorial

Estigueu atents per a més i uneix-te a nosaltres Canal de YouTube 🙂

Font: www.habr.com

Afegeix comentari