ProHoster > Blog > podávání > 10. Check Point Začínáme R80.20. Povědomí o identitě

10. Check Point Začínáme R80.20. Povědomí o identitě

10. Check Point Začínáme R80.20. Povědomí o identitě

Vítejte na výročí - 10. lekci. A dnes budeme mluvit o další čepeli Check Point - Povědomí o identitě. Na úplném začátku, když jsme popisovali NGFW, jsme si stanovili, že musí umět regulovat přístup na základě účtů, nikoli IP adres. Je to dáno především zvýšenou mobilitou uživatelů a rozšířeným rozšířením modelu BYOD – přineste si vlastní zařízení. Ve společnosti může být mnoho lidí, kteří se připojují přes WiFi, dostávají dynamickou IP a dokonce z různých segmentů sítě. Zkuste zde vytvořit přístupové seznamy na základě čísel IP. Zde se bez identifikace uživatele neobejdete. A právě čepel Identity Awareness nám v této věci pomůže.

Nejprve si ale ujasněme, k čemu se identifikace uživatele nejčastěji používá?

  1. Omezit přístup k síti spíše uživatelskými účty než IP adresami. Přístup lze regulovat jak jednoduše do internetu, tak i do jiných segmentů sítě, např. DMZ.
  2. Přístup přes VPN. Souhlaste s tím, že pro uživatele je mnohem pohodlnější použít k autorizaci svůj doménový účet než další vymyšlené heslo.
  3. Ke správě Check Point také potřebujete účet, který může mít různá práva.
  4. A nejlepší na tom je hlášení. Je mnohem lepší vidět v přehledech konkrétní uživatele než jejich IP adresy.

Check Point zároveň podporuje dva typy účtů:

  • Místní interní uživatelé. Uživatel je vytvořen v lokální databázi management serveru.
  • Externí uživatelé. Externí uživatelskou základnou může být Microsoft Active Directory nebo jakýkoli jiný LDAP server.

Dnes budeme hovořit o přístupu k síti. Pro řízení přístupu k síti, v přítomnosti Active Directory, tzv Přístupová role, který umožňuje tři uživatelské možnosti:

  1. Síť - tj. síť, ke které se uživatel pokouší připojit
  2. Uživatel AD nebo skupina uživatelů — tato data jsou stahována přímo z AD serveru
  3. Stroj - pracovní stanice.

V tomto případě lze identifikaci uživatele provést několika způsoby:

  • AD dotaz. Check Point čte protokoly AD serveru pro ověřené uživatele a jejich IP adresy. Počítače, které jsou v doméně AD, jsou identifikovány automaticky.
  • Ověřování založené na prohlížeči. Identifikace prostřednictvím prohlížeče uživatele (Captivní Portal nebo Transparent Kerberos). Nejčastěji se používá pro zařízení, která nejsou v doméně.
  • Terminálové servery. V tomto případě se identifikace provádí pomocí speciálního terminálového agenta (instalovaného na terminálovém serveru).

Toto jsou tři nejběžnější možnosti, ale existují tři další:

  • Agenti identity. Na počítačích uživatelů je nainstalován speciální agent.
  • Sběratel identity. Samostatný nástroj, který se instaluje na Windows Server a shromažďuje protokoly ověřování namísto brány. Ve skutečnosti povinná volba pro velké množství uživatelů.
  • Účetnictví RADIUS. No, kde bychom byli bez starého dobrého RADIUSU.

V tomto tutoriálu předvedu druhou možnost - Browser-Based. Myslím, že teorie stačí, přejděme k praxi.

Výukový program pro video

Zůstaňte naladěni na další a připojte se k nám YouTube kanál ????

Zdroj: www.habr.com

Přidat komentář