Καλώς ήρθατε στην επέτειο - 10ο μάθημα. Και σήμερα θα μιλήσουμε για μια άλλη λεπίδα Check Point - Επίγνωση Ταυτότητας. Στην αρχή, κατά την περιγραφή του NGFW, προσδιορίσαμε ότι πρέπει να μπορεί να ρυθμίζει την πρόσβαση με βάση λογαριασμούς και όχι διευθύνσεις IP. Αυτό οφείλεται κυρίως στην αυξημένη κινητικότητα των χρηστών και στην ευρεία εξάπλωση του μοντέλου BYOD - φέρτε τη δική σας συσκευή. Μπορεί να υπάρχουν πολλά άτομα σε μια εταιρεία που συνδέονται μέσω WiFi, λαμβάνουν δυναμική IP, ακόμη και από διαφορετικά τμήματα δικτύου. Δοκιμάστε να δημιουργήσετε λίστες πρόσβασης με βάση αριθμούς IP εδώ. Εδώ δεν μπορείτε να κάνετε χωρίς αναγνώριση χρήστη. Και είναι το Identity Awareness blade που θα μας βοηθήσει σε αυτό το θέμα.
Αλλά πρώτα, ας καταλάβουμε για ποιον σκοπό χρησιμοποιείται συχνότερα η ταυτότητα χρήστη;
- Για να περιορίσετε την πρόσβαση στο δίκτυο από λογαριασμούς χρηστών και όχι από διευθύνσεις IP. Η πρόσβαση μπορεί να ρυθμιστεί τόσο απλά στο Διαδίκτυο όσο και σε οποιοδήποτε άλλο τμήμα δικτύου, για παράδειγμα DMZ.
- Πρόσβαση μέσω VPN. Συμφωνήστε ότι είναι πολύ πιο βολικό για τον χρήστη να χρησιμοποιεί τον λογαριασμό τομέα του για εξουσιοδότηση, παρά έναν άλλο επινοημένο κωδικό πρόσβασης.
- Για να διαχειριστείτε το Check Point, χρειάζεστε επίσης έναν λογαριασμό που μπορεί να έχει διάφορα δικαιώματα.
- Και το καλύτερο είναι το ρεπορτάζ. Είναι πολύ πιο ωραίο να βλέπεις συγκεκριμένους χρήστες σε αναφορές παρά τις διευθύνσεις IP τους.
Ταυτόχρονα, το Check Point υποστηρίζει δύο τύπους λογαριασμών:
- Τοπικοί Εσωτερικοί Χρήστες. Ο χρήστης δημιουργείται στην τοπική βάση δεδομένων του διακομιστή διαχείρισης.
- Εξωτερικοί Χρήστες. Η Microsoft Active Directory ή οποιοσδήποτε άλλος διακομιστής LDAP μπορεί να λειτουργήσει ως εξωτερική βάση χρήστη.
Σήμερα θα μιλήσουμε για την πρόσβαση στο δίκτυο. Για τον έλεγχο της πρόσβασης στο δίκτυο, παρουσία Active Directory, το λεγόμενο Ρόλος πρόσβασης, το οποίο επιτρέπει τρεις επιλογές χρήστη:
- Δίκτυο - δηλ. το δίκτυο στο οποίο προσπαθεί να συνδεθεί ο χρήστης
- Χρήστης AD ή Ομάδα χρηστών — αυτά τα δεδομένα αντλούνται απευθείας από τον διακομιστή AD
- Μηχανή - σταθμός εργασίας.
Σε αυτήν την περίπτωση, η αναγνώριση χρήστη μπορεί να πραγματοποιηθεί με διάφορους τρόπους:
- Ερώτημα AD. Το Check Point διαβάζει τα αρχεία καταγραφής διακομιστή AD για πιστοποιημένους χρήστες και τις διευθύνσεις IP τους. Οι υπολογιστές που βρίσκονται στον τομέα AD αναγνωρίζονται αυτόματα.
- Έλεγχος ταυτότητας βάσει προγράμματος περιήγησης. Αναγνώριση μέσω του προγράμματος περιήγησης του χρήστη (Captive Portal ή Transparent Kerberos). Τις περισσότερες φορές χρησιμοποιείται για συσκευές που δεν ανήκουν σε τομέα.
- Διακομιστές τερματικών. Σε αυτή την περίπτωση, η αναγνώριση πραγματοποιείται με χρήση ειδικού τερματικού πράκτορα (εγκατεστημένο στον διακομιστή τερματικού).
Αυτές είναι οι τρεις πιο κοινές επιλογές, αλλά υπάρχουν και άλλες τρεις:
- Πράκτορες Ταυτότητας. Ένας ειδικός πράκτορας είναι εγκατεστημένος στους υπολογιστές των χρηστών.
- Συλλέκτης ταυτότητας. Ένα ξεχωριστό βοηθητικό πρόγραμμα που είναι εγκατεστημένο στον Windows Server και συλλέγει αρχεία καταγραφής ελέγχου ταυτότητας αντί για την πύλη. Στην πραγματικότητα, μια υποχρεωτική επιλογή για μεγάλο αριθμό χρηστών.
- Λογιστική RADIUS. Λοιπόν, πού θα ήμασταν χωρίς το παλιό καλό RADIUS.
Σε αυτό το σεμινάριο θα δείξω τη δεύτερη επιλογή - Βασισμένο σε πρόγραμμα περιήγησης. Νομίζω ότι η θεωρία είναι αρκετή, ας περάσουμε στην πράξη.
Εκπαιδευτικό βίντεο
Μείνετε συντονισμένοι για περισσότερα και γίνετε μέλος μας ????
Πηγή: www.habr.com