Tere tulemast aastapäeva – 10. õppetundi. Ja täna räägime teisest Check Pointi labast - Identiteediteadlikkus. Kohe alguses määrasime NGFW kirjeldamisel kindlaks, et see peab saama reguleerida juurdepääsu kontode, mitte IP-aadresside alusel. Selle põhjuseks on eelkõige kasutajate suurenenud mobiilsus ja BYOD mudeli laialdane levik – võta kaasa oma seade. Ettevõttes võib olla palju inimesi, kes loovad ühenduse WiFi kaudu, saavad dünaamilise IP ja isegi erinevatest võrgusegmentidest. Proovige luua siin IP-numbrite põhjal juurdepääsuloendeid. Siin ei saa te ilma kasutaja tuvastamiseta hakkama. Ja just identiteediteadlikkuse tera on see, mis meid selles küsimuses aitab.
Kuid kõigepealt selgitame välja, milleks kasutajatuvastust kõige sagedamini kasutatakse?
- Võrgujuurdepääsu piiramiseks kasutajakontode, mitte IP-aadresside järgi. Juurdepääsu saab reguleerida nii lihtsalt Internetile kui ka muudele võrgusegmentidele, näiteks DMZ-le.
- Juurdepääs VPN-i kaudu. Nõus, et kasutajal on palju mugavam kasutada autoriseerimiseks oma domeenikontot, mitte mõnda muud leiutatud parooli.
- Check Pointi haldamiseks vajate ka kontot, millel võivad olla erinevad õigused.
- Ja parim osa on aruandlus. Palju toredam on näha aruannetes konkreetseid kasutajaid, mitte nende IP-aadresse.
Samal ajal toetab Check Point kahte tüüpi kontosid:
- Kohalikud sisekasutajad. Kasutaja luuakse haldusserveri lokaalses andmebaasis.
- Välised kasutajad. Väline kasutajabaas võib olla Microsoft Active Directory või mõni muu LDAP-server.
Täna räägime võrgule juurdepääsust. Võrgujuurdepääsu kontrollimiseks Active Directory olemasolul nn Juurdepääsu roll, mis võimaldab kasutajal kolme valikut:
- võrk - st. võrk, millega kasutaja üritab ühendust luua
- AD kasutaja või kasutajarühm — need andmed tõmmatakse otse AD serverist
- Masin - töökoht.
Sel juhul saab kasutaja tuvastamist teostada mitmel viisil:
- AD päring. Check Point loeb autentitud kasutajate ja nende IP-aadresside AD-serveri logisid. AD domeenis olevad arvutid tuvastatakse automaatselt.
- Brauseripõhine autentimine. Identifitseerimine kasutaja brauseri kaudu (Captive Portal või Transparent Kerberos). Kõige sagedamini kasutatakse seadmete jaoks, mis ei ole domeenis.
- Terminali serverid. Sel juhul tehakse identifitseerimine spetsiaalse terminaliagendi abil (installitud terminaliserverisse).
Need on kolm kõige levinumat valikut, kuid on veel kolm:
- Identiteediagendid. Kasutajate arvutitesse on installitud spetsiaalne agent.
- Identiteedi koguja. Eraldi utiliit, mis installitakse Windows Serverisse ja kogub lüüsi asemel autentimisloge. Tegelikult on see kohustuslik valik paljudele kasutajatele.
- RAADIUS Raamatupidamine. No kus me oleksime ilma vana hea RADIUSEta.
Selles õpetuses demonstreerin teist võimalust – brauseripõhist. Arvan, et teooriast piisab, liigume praktika juurde.
Videotund
Olge kursis ja liituge meiega 🙂
Allikas: www.habr.com