Willkommen zum Jubiläum – 10. Lektion. Und heute werden wir über eine weitere Check Point-Klinge sprechen - Identitätsbewusstsein. Ganz am Anfang, als wir NGFW beschrieben haben, haben wir festgestellt, dass es in der Lage sein muss, den Zugriff auf der Grundlage von Konten und nicht von IP-Adressen zu regulieren. Dies ist vor allem auf die gestiegene Mobilität der Nutzer und die weite Verbreitung des BYOD-Modells – Bring Your Own Device – zurückzuführen. In einem Unternehmen gibt es möglicherweise viele Personen, die sich über WLAN verbinden, eine dynamische IP erhalten und sogar aus verschiedenen Netzwerksegmenten. Versuchen Sie hier, Zugriffslisten basierend auf IP-Nummern zu erstellen. Hier kann auf eine Benutzeridentifizierung nicht verzichtet werden. Und es ist das Identity Awareness Blade, das uns in dieser Angelegenheit helfen wird.
Aber lassen Sie uns zunächst herausfinden, wofür die Benutzeridentifikation am häufigsten verwendet wird.
- Um den Netzwerkzugriff nach Benutzerkonten und nicht nach IP-Adressen einzuschränken. Der Zugriff kann sowohl einfach zum Internet als auch zu beliebigen anderen Netzwerksegmenten, beispielsweise DMZ, geregelt werden.
- Zugriff über VPN. Stimmen Sie zu, dass es für den Benutzer viel bequemer ist, sein Domänenkonto zur Autorisierung zu verwenden, als ein anderes erfundenes Passwort.
- Um Check Point zu verwalten, benötigen Sie außerdem ein Konto, das über verschiedene Rechte verfügen kann.
- Und das Beste daran ist die Berichterstattung. Es ist viel schöner, bestimmte Benutzer in Berichten zu sehen, als ihre IP-Adressen.
Gleichzeitig unterstützt Check Point zwei Arten von Konten:
- Lokale interne Benutzer. Der Benutzer wird in der lokalen Datenbank des Managementservers angelegt.
- Externe Benutzer. Die externe Benutzerbasis kann Microsoft Active Directory oder ein beliebiger anderer LDAP-Server sein.
Heute werden wir über den Netzwerkzugriff sprechen. Um den Netzwerkzugriff zu kontrollieren, wird bei Vorhandensein von Active Directory das sogenannte Zugriffsrolle, was drei Benutzeroptionen ermöglicht:
- Netzwerk - d.h. das Netzwerk, mit dem der Benutzer eine Verbindung herstellen möchte
- AD-Benutzer oder Benutzergruppe – Diese Daten werden direkt vom AD-Server abgerufen
- Maschine - Arbeitsplatz.
In diesem Fall kann die Benutzeridentifizierung auf verschiedene Arten erfolgen:
- AD-Abfrage. Check Point liest die AD-Serverprotokolle für authentifizierte Benutzer und deren IP-Adressen. Computer, die sich in der AD-Domäne befinden, werden automatisch identifiziert.
- Browserbasierte Authentifizierung. Identifizierung über den Browser des Benutzers (Captive Portal oder Transparent Kerberos). Wird am häufigsten für Geräte verwendet, die sich nicht in einer Domäne befinden.
- Terminalserver. In diesem Fall erfolgt die Identifizierung über einen speziellen Terminalagenten (installiert auf dem Terminalserver).
Dies sind die drei häufigsten Optionen, aber es gibt noch drei weitere:
- Identitätsagenten. Auf den Computern der Benutzer wird ein spezieller Agent installiert.
- Identitätssammler. Ein separates Dienstprogramm, das auf Windows Server installiert wird und Authentifizierungsprotokolle anstelle des Gateways sammelt. Tatsächlich eine obligatorische Option für viele Benutzer.
- RADIUS-Buchhaltung. Was wären wir ohne den guten alten RADIUS?
In diesem Tutorial werde ich die zweite Option demonstrieren – browserbasiert. Ich denke, die Theorie reicht aus, lasst uns zur Praxis übergehen.
Videoanleitung
Bleiben Sie dran für mehr und kommen Sie zu uns 🙂
Source: habr.com