Vítejte na výročí - 10. lekci. A dnes budeme mluvit o další čepeli Check Point - Povědomí o identitě. Na úplném začátku, když jsme popisovali NGFW, jsme si stanovili, že musí umět regulovat přístup na základě účtů, nikoli IP adres. Je to dáno především zvýšenou mobilitou uživatelů a rozšířeným rozšířením modelu BYOD – přineste si vlastní zařízení. Ve společnosti může být mnoho lidí, kteří se připojují přes WiFi, dostávají dynamickou IP a dokonce z různých segmentů sítě. Zkuste zde vytvořit přístupové seznamy na základě čísel IP. Zde se bez identifikace uživatele neobejdete. A právě čepel Identity Awareness nám v této věci pomůže.
Nejprve si ale ujasněme, k čemu se identifikace uživatele nejčastěji používá?
- Omezit přístup k síti spíše uživatelskými účty než IP adresami. Přístup lze regulovat jak jednoduše do internetu, tak i do jiných segmentů sítě, např. DMZ.
- Přístup přes VPN. Souhlaste s tím, že pro uživatele je mnohem pohodlnější použít k autorizaci svůj doménový účet než další vymyšlené heslo.
- Ke správě Check Point také potřebujete účet, který může mít různá práva.
- A nejlepší na tom je hlášení. Je mnohem lepší vidět v přehledech konkrétní uživatele než jejich IP adresy.
Check Point zároveň podporuje dva typy účtů:
- Místní interní uživatelé. Uživatel je vytvořen v lokální databázi management serveru.
- Externí uživatelé. Externí uživatelskou základnou může být Microsoft Active Directory nebo jakýkoli jiný LDAP server.
Dnes budeme hovořit o přístupu k síti. Pro řízení přístupu k síti, v přítomnosti Active Directory, tzv Přístupová role, který umožňuje tři uživatelské možnosti:
- Síť - tj. síť, ke které se uživatel pokouší připojit
- Uživatel AD nebo skupina uživatelů — tato data jsou stahována přímo z AD serveru
- Stroj - pracovní stanice.
V tomto případě lze identifikaci uživatele provést několika způsoby:
- AD dotaz. Check Point čte protokoly AD serveru pro ověřené uživatele a jejich IP adresy. Počítače, které jsou v doméně AD, jsou identifikovány automaticky.
- Ověřování založené na prohlížeči. Identifikace prostřednictvím prohlížeče uživatele (Captivní Portal nebo Transparent Kerberos). Nejčastěji se používá pro zařízení, která nejsou v doméně.
- Terminálové servery. V tomto případě se identifikace provádí pomocí speciálního terminálového agenta (instalovaného na terminálovém serveru).
Toto jsou tři nejběžnější možnosti, ale existují tři další:
- Agenti identity. Na počítačích uživatelů je nainstalován speciální agent.
- Sběratel identity. Samostatný nástroj, který se instaluje na Windows Server a shromažďuje protokoly ověřování namísto brány. Ve skutečnosti povinná volba pro velké množství uživatelů.
- Účetnictví RADIUS. No, kde bychom byli bez starého dobrého RADIUSU.
V tomto tutoriálu předvedu druhou možnost - Browser-Based. Myslím, že teorie stačí, přejděme k praxi.
Výukový program pro video
Zůstaňte naladěni na další a připojte se k nám
Zdroj: www.habr.com