Welcome sa anibersaryo - ika-10 nga leksyon. Ug karon maghisgot kita bahin sa lain nga sulab sa Check Point - Pagkahibalo sa Identidad. Sa sinugdanan pa lang, sa dihang naghubit sa NGFW, among nadeterminar nga kini kinahanglang makontrolar ang pag-access base sa mga account, dili sa mga IP address. Kini nag-una tungod sa dugang nga paglihok sa mga tiggamit ug ang kaylap nga pagkaylap sa modelo sa BYOD - pagdala sa imong kaugalingon nga aparato. Mahimong adunay daghang mga tawo sa usa ka kompanya nga nagkonektar pinaagi sa WiFi, nakadawat usa ka dinamikong IP, ug bisan gikan sa lainlaing mga bahin sa network. Sulayi ang paghimo og mga lista sa pag-access base sa mga numero sa IP dinhi. Dinhi dili nimo mahimo kung wala ang pag-ila sa gumagamit. Ug kini ang blade sa Identity Awareness nga makatabang kanato niining butanga.
Apan una, atong mahibal-an kung para sa unsa nga user identification ang kasagarang gigamit?
- Aron higpitan ang pag-access sa network pinaagi sa mga account sa gumagamit kaysa sa mga adres sa IP. Ang pag-access mahimong i-regulate sa yano sa Internet ug sa bisan unsang ubang mga bahin sa network, pananglitan ang DMZ.
- Pag-access pinaagi sa VPN. Uyon nga mas sayon ββββalang sa tiggamit ang paggamit sa iyang domain account alang sa pagtugot, kay sa laing giimbento nga password.
- Aron madumala ang Check Point, kinahanglan nimo ang usa ka account nga adunay lainlaing mga katungod.
- Ug ang labing kaayo nga bahin mao ang pagreport. Mas nindot tan-awon ang mga piho nga tiggamit sa mga taho kaysa sa ilang mga adres sa IP.
Sa samang higayon, ang Check Point nagsuporta sa duha ka matang sa mga account:
- Lokal nga Internal nga mga Gumagamit. Ang user gimugna sa lokal nga database sa management server.
- Mga Eksternal nga Gumagamit. Ang external user base mahimong Microsoft Active Directory o bisan unsang LDAP server.
Karon maghisgot kita bahin sa pag-access sa network. Aron makontrol ang pag-access sa network, sa presensya sa Active Directory, ang gitawag nga Papel sa Pag-access, nga nagtugot sa tulo ka mga kapilian sa user:
- network - i.e. ang network nga gisulayan sa user nga makonektar
- AD User o User Group - kini nga datos gibira direkta gikan sa AD server
- machine - estasyon sa trabaho.
Sa kini nga kaso, ang pag-ila sa gumagamit mahimo sa daghang mga paagi:
- Pangutana sa AD. Ang Check Point nagbasa sa AD server logs para sa authenticated users ug sa ilang mga IP address. Ang mga kompyuter nga naa sa AD domain awtomatik nga mailhan.
- Pagpamatuod nga Gibase sa Browser. Pag-ila pinaagi sa browser sa user (Captive Portal o Transparent Kerberos). Kasagaran nga gigamit alang sa mga aparato nga wala sa usa ka domain.
- Mga Terminal Server. Sa kini nga kaso, ang pag-ila gihimo gamit ang usa ka espesyal nga ahente sa terminal (gi-install sa terminal server).
Kini ang tulo ka labing kasagaran nga mga kapilian, apan adunay tulo pa:
- Mga Ahente sa Identidad. Usa ka espesyal nga ahente ang gi-install sa mga kompyuter sa mga tiggamit.
- Kolektor sa Identidad. Usa ka bulag nga utility nga gi-install sa Windows Server ug nagkolekta sa mga log sa pag-authenticate imbes sa gateway. Sa tinuud, usa ka mandatory nga kapilian alang sa daghang mga tiggamit.
- RADIUS Pag-account. Aw, asa man ta kon wala ang maayong karaang RADIUS.
Sa kini nga panudlo akong ipakita ang ikaduha nga kapilian - Gibase sa Browser. Sa akong hunahuna igo na ang teorya, magpadayon kita sa pagpraktis.
Video nga leksyon
Magpabilin nga tuned alang sa dugang ug apil sa among π
Source: www.habr.com