10. Check Point Einstieg R80.20. Identity Awareness

10. Check Point Einstieg R80.20. Identity Awareness

Willkommen zur JubilĂ€ums-10. Lektion. Heute sprechen wir ĂŒber einen weiteren Check Point Blade – Identity Awareness. Zu Beginn, als wir die NGFW beschrieben, wurde deutlich, dass eine Zugriffsregelung basierend auf Benutzerdaten und nicht auf IP-Adressen erforderlich ist. Dies hĂ€ngt vor allem mit der zunehmenden MobilitĂ€t der Nutzer und der weit verbreiteten BYOD-Modell – bring your own device – zusammen. In Unternehmen gibt es viele Mitarbeiter, die sich per WLAN verbinden, dynamische IPs erhalten und zudem aus verschiedenen Netzwerksegmenten arbeiten. Versuchen Sie mal, hier Zugriffskontrolllisten basierend auf IP-Adressen zu erstellen. Ohne Benutzeridentifikation kommt man hier nicht weit. Daher wird uns der Blade Identity Awareness dabei helfen.

Aber zunĂ€chst lassen Sie uns klĂ€ren, wofĂŒr die Benutzeridentifikation am hĂ€ufigsten verwendet wird?

  1. Um den Netzwerkzugang basierend auf Benutzerkonten und nicht auf IP-Adressen einzuschrÀnken. Der Zugang kann sowohl zum Internet als auch zu anderen Netzwerksegmenten, beispielsweise zur DMZ, geregelt werden.
  2. Der Zugang zu VPN. Stimmen Sie zu, dass es fĂŒr Benutzer weitaus praktischer ist, ihr eigenes Domain-Konto zur Authentifizierung zu verwenden, anstatt ein weiteres erfundenes Passwort.
  3. FĂŒr die Verwaltung von Check Point ist ebenfalls ein Konto erforderlich, das unterschiedliche Berechtigungen haben kann.
  4. Und das Beste ist die Berichterstattung. Es ist viel angenehmer, in Berichten spezifische Benutzer zu sehen, anstatt nur ihre IP-Adressen.

Dabei unterstĂŒtzt Check Point zwei Arten von Benutzerkonten:

  • Lokale interne Benutzer. Der Benutzer wird in der lokalen Datenbank des Verwaltungsservers erstellt.
  • Externe Benutzer. Als externe Benutzerdatenbank kann Microsoft Active Directory oder ein anderer LDAP-Server verwendet werden.

Heute werden wir ĂŒber den Netzwerkzugang sprechen. FĂŒr die Verwaltung des Netzwerkzugangs wird, sofern Active Directory vorhanden ist, als Objekt (Quelle oder Ziel) die sogenannte Zugriffsrolleverwendet, die drei Benutzerparameter ermöglicht:

  1. Netzwerk — d.h. das Netzwerk, mit dem der Benutzer sich verbinden möchte
  2. AD-Benutzer oder Benutzergruppe — diese Daten werden direkt vom AD-Server abgerufen
  3. Maschine — Arbeitsplatz.

Die Identifizierung der Benutzer kann dabei auf mehrere Arten erfolgen:

  • AD-Abfrage. Der Check Point liest die Protokolle des AD-Servers bezĂŒglich authentifizierter Benutzer und deren IP-Adressen. Computer, die sich in der AD-DomĂ€ne befinden, werden automatisch identifiziert.
  • Browserbasierte Authentifizierung. Die Identifizierung erfolgt ĂŒber den Browser des Benutzers (Captive Portal oder Transparent Kerberos). Dies wird am hĂ€ufigsten fĂŒr GerĂ€te verwendet, die nicht in der DomĂ€ne sind.
  • Terminalserver. In diesem Fall erfolgt die Identifizierung ĂŒber einen speziellen Terminalagenten (der auf dem Terminalserver installiert wird).

Das sind die drei hÀufigsten Varianten, aber es gibt noch drei weitere:

  • IdentitĂ€tsagenten. Auf den Benutzercomputern wird ein spezieller Agent installiert.
  • IdentitĂ€tssammler. Ein separates Dienstprogramm, das auf Windows Server installiert wird und anstelle des Gateways Authentifizierungsprotokolle sammelt. Dies ist bei einer großen Anzahl von Benutzern praktisch unverzichtbar.
  • RADIUS-Abrechnung. Und wo kĂ€men wir ohne das bewĂ€hrte RADIUS hin?

In dieser Lektion werde ich die zweite Variante – die browserbasierte Authentifizierung – demonstrieren. Ich denke, das reicht an Theorie, lass uns zur Praxis ĂŒbergehen.

Video-Tutorial

Video abspielen

Bleiben Sie dran und abonnieren Sie unseren YouTube-Kanal 🙂

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster