ProHoster > Blog > administración > 10. Punto de verificación Primeros pasos R80.20. Conciencia de identidad

10. Punto de verificación Primeros pasos R80.20. Conciencia de identidad

10. Punto de verificación Primeros pasos R80.20. Conciencia de identidad

Bienvenido al aniversario - Décima lección. Y hoy hablaremos de otra hoja Check Point: Conciencia de identidad. Al principio, al describir NGFW, determinamos que debe poder regular el acceso en función de cuentas, no de direcciones IP. Esto se debe principalmente a la mayor movilidad de los usuarios y a la amplia difusión del modelo BYOD: traiga su propio dispositivo. Puede haber muchas personas en una empresa que se conectan vía WiFi, reciben una IP dinámica e incluso desde diferentes segmentos de red. Intente crear listas de acceso basadas en números de IP aquí. Aquí no puede prescindir de la identificación del usuario. Y es la hoja de Conciencia de Identidad la que nos ayudará en este asunto.

Pero primero, averigüemos para qué se utiliza con mayor frecuencia la identificación de usuario.

  1. Para restringir el acceso a la red por cuentas de usuario en lugar de por direcciones IP. El acceso se puede regular tanto a Internet como a cualquier otro segmento de la red, por ejemplo DMZ.
  2. Acceso a través de VPN. Acepte que es mucho más conveniente para el usuario utilizar su cuenta de dominio para la autorización, en lugar de otra contraseña inventada.
  3. Para administrar Check Point, también necesita una cuenta que puede tener varios derechos.
  4. Y la mejor parte es informar. Es mucho mejor ver usuarios específicos en los informes que sus direcciones IP.

Al mismo tiempo, Check Point admite dos tipos de cuentas:

  • Usuarios internos locales. El usuario se crea en la base de datos local del servidor de gestión.
  • Usuarios externos. La base de usuarios externa puede ser Microsoft Active Directory o cualquier otro servidor LDAP.

Hoy hablaremos sobre el acceso a la red. Para controlar el acceso a la red, en presencia de Active Directory, el llamado Función de acceso, que permite tres opciones de usuario:

  1. Nuestra red - es decir. La red a la que el usuario está intentando conectarse.
  2. Usuario de AD o grupo de usuarios — estos datos se extraen directamente del servidor AD
  3. Máquina - puesto de trabajo.

En este caso, la identificación del usuario se puede realizar de varias formas:

  • Consulta AD. Check Point lee los registros del servidor AD para los usuarios autenticados y sus direcciones IP. Las computadoras que están en el dominio AD se identifican automáticamente.
  • Autenticación basada en navegador. Identificación a través del navegador del usuario (Portal Cautivo o Kerberos Transparente). Se utiliza con mayor frecuencia para dispositivos que no están en un dominio.
  • Servidores terminales. En este caso, la identificación se realiza mediante un agente de terminal especial (instalado en el servidor de terminal).

Estas son las tres opciones más habituales, pero hay tres más:

  • Agentes de identidad. Se instala un agente especial en las computadoras de los usuarios.
  • Coleccionista de identidades. Una utilidad independiente que se instala en Windows Server y recopila registros de autenticación en lugar de la puerta de enlace. De hecho, una opción obligatoria para un gran número de usuarios.
  • Contabilidad RADIUS. Bueno, ¿dónde estaríamos sin el viejo RADIUS?

En este tutorial demostraré la segunda opción: basada en navegador. Creo que con la teoría es suficiente, pasemos a la práctica.

Video tutorial

Estén atentos para más y únanse a nosotros Canal de Youtube 🙂

Fuente: habr.com

Añadir un comentario