ProHoster > Blog > Amministrazione > 10. Check Point Getting Started R80.20. Cuscenza di l'identità

10. Check Point Getting Started R80.20. Cuscenza di l'identità

10. Check Point Getting Started R80.20. Cuscenza di l'identità

Benvenuti à l'anniversariu - 10a lezione. È oghje parlemu di un'altra lama Check Point - Cuscenza di l'identità. À u principiu, quandu descrive NGFW, avemu determinatu chì deve esse capace di regulà l'accessu basatu annantu à i cunti, micca l'indirizzi IP. Questu hè principalmente per a mobilità aumentata di l'utilizatori è a diffusione generalizata di u mudellu BYOD - portate u vostru propiu dispositivu. Ci pò esse parechje persone in una cumpagnia chì cunnette via WiFi, riceve una IP dinamica, è ancu da diversi segmenti di rete. Pruvate à creà listi d'accessu basati nantu à i numeri IP quì. Quì ùn pudete micca fà senza l'identificazione di l'utilizatori. È hè a lama d'Identity Awareness chì ci aiuterà in questa materia.

Ma prima, scopremu per quale l'identificazione di l'utilizatori hè più spessu usata?

  1. Per restringere l'accessu à a rete per i cunti d'utilizatori invece di l'indirizzi IP. L'accessu pò esse regulatu solu à Internet è à qualsiasi altri segmenti di a rete, per esempiu DMZ.
  2. Accessu via VPN. Accettate chì hè assai più còmuda per l'utilizatore per utilizà u so contu di duminiu per l'autorizazione, invece di una altra password inventata.
  3. Per gestisce u Check Point, avete ancu bisognu di un contu chì pò avè diversi diritti.
  4. È a più bona parte hè di rapportu. Hè assai più piacevule per vede utilizatori specifichi in rapporti piuttostu cà i so indirizzi IP.

À u listessu tempu, Check Point supporta dui tipi di cunti:

  • Utenti Interni Locali. L'utilizatore hè creatu in a basa di dati lucale di u servitore di gestione.
  • Utenti esterni. A basa d'utilizatori esterni pò esse Microsoft Active Directory o qualsiasi altru servitore LDAP.

Oghje parlemu di l'accessu à a rete. Per cuntrullà l'accessu à a rete, in presenza di Active Directory, u cusì chjamatu Role d'accessu, chì permette trè opzioni d'utilizatori:

  1. Network - i.e. a rete à a quale l'utilizatore prova di cunnette
  2. AD User o Gruppu User - sta dati hè tiratu direttamente da u servore AD
  3. Machine - stazione di travagliu.

In questu casu, l'identificazione di l'utilizatori pò esse realizatu in parechje manere:

  • Query AD. Check Point leghje i logs di u servitore AD per l'utilizatori autentificati è i so indirizzi IP. L'urdinatori chì sò in u duminiu AD sò identificati automaticamente.
  • Autentificazione basata in u navigatore. Identificazione attraversu u navigatore di l'utilizatori (Portale Captive o Kerberos Trasparente). U più spessu usatu per i dispositi chì ùn sò micca in un duminiu.
  • Servitori di Terminal. In questu casu, l'identificazione hè fatta cù un agentu di terminal speciale (installatu nantu à u servitore di terminal).

Eccu i trè opzioni più cumuni, ma ci sò trè più:

  • Agenti d'identità. Un agente speciale hè stallatu nantu à l'urdinatori di l'utilizatori.
  • Collettore d'identità. Una utilità separata chì hè stallata in Windows Server è raccoglie i logs di autentificazione invece di a porta. In fatti, una opzione obligatoria per un gran numaru di utilizatori.
  • Contabilità RADIUS. Ebbè, induve sariamu senza u bonu vechju RADIUS.

In questu tutoriale vi dimustrà a seconda opzione - Basatu in u navigatore. Pensu chì a teoria hè abbastanza, andemu à a pratica.

Video lezioni

State sintonizzati per più è unisciti à noi canali YouTube 🙂

Source: www.habr.com

Add a comment