Ongi etorri urteurrena - 10. ikasgaira. Eta gaur Check Point beste blade bati buruz hitz egingo dugu - Nortasunaren Sentsibilizazioa. Hasieran, NGFW deskribatzean, kontuetan oinarritutako sarbidea arautu behar duela zehaztu genuen, ez IP helbideak. Hau da, batez ere, erabiltzaileen mugikortasuna areagotu delako eta BYOD ereduaren hedapen zabala dela eta - ekarri zure gailua. Enpresa batean jende asko egon daiteke WiFi bidez konektatzen dena, IP dinamikoa jasotzen duena eta baita sare-segmentu ezberdinetatik ere. Saiatu hemen IP zenbakietan oinarritutako sarbide-zerrendak sortzen. Hemen ezin duzu erabiltzaile identifikaziorik gabe egin. Eta Identity Awareness pala da gai honetan lagunduko diguna.
Baina lehenik eta behin, asma dezagun zertarako erabiltzen den gehien erabiltzailearen identifikazioa?
- Sareko sarbidea mugatzeko erabiltzaile-kontuek IP helbideak baino. Sarbidea arautu daiteke, besterik gabe, Internetera eta beste edozein sare-segmentutara, adibidez DMZra.
- Sarbidea VPN bidez. Onartu erabiltzailearentzat askoz erosoagoa dela bere domeinu-kontua baimentzeko erabiltzea, asmatutako beste pasahitz bat baino.
- Check Point kudeatzeko, hainbat eskubide izan ditzakeen kontu bat ere behar duzu.
- Eta onena erreportajea da. Askoz atseginagoa da erabiltzaile zehatzak txostenetan ikustea haien IP helbideak baino.
Aldi berean, Check Pointek bi kontu mota onartzen ditu:
- Tokiko Barne Erabiltzaileak. Erabiltzailea kudeaketa zerbitzariaren datu-base lokalean sortzen da.
- Kanpoko Erabiltzaileak. Kanpoko erabiltzaile-basea Microsoft Active Directory edo beste edozein LDAP zerbitzari izan daiteke.
Gaur sarerako sarbideari buruz hitz egingo dugu. Sareko sarbidea kontrolatzeko, Active Directory-ren aurrean, deiturikoak Sarbide rola, hiru erabiltzaile aukera ematen dituena:
- Sarea - hau da. erabiltzailea konektatzen saiatzen ari den sarea
- AD Erabiltzaile edo Erabiltzaile Taldea β Datu hauek AD zerbitzaritik zuzenean ateratzen dira
- Makina - lantokia.
Kasu honetan, erabiltzaileen identifikazioa hainbat modutan egin daiteke:
- AD Kontsulta. Check Point-ek AD zerbitzariaren erregistroak irakurtzen ditu autentifikatutako erabiltzaileen eta haien IP helbideak. AD domeinuan dauden ordenagailuak automatikoki identifikatzen dira.
- Arakatzailean oinarritutako autentifikazioa. Identifikazioa erabiltzailearen nabigatzailearen bidez (Captive Portal edo Transparent Kerberos). Gehienetan domeinu batean ez dauden gailuetarako erabiltzen da.
- Terminal zerbitzariak. Kasu honetan, identifikazioa terminal-agente berezi bat erabiliz egiten da (terminal zerbitzarian instalatuta).
Hauek dira hiru aukera ohikoenak, baina beste hiru daude:
- Identitate-eragileak. Erabiltzaileen ordenagailuetan agente berezi bat instalatzen da.
- Identitate-biltzailea. Windows Server-en instalatuta dagoen eta autentifikazio-erregistroak biltzen dituena atebidearen ordez. Izan ere, derrigorrezko aukera bat erabiltzaile kopuru handientzat.
- RADIUS Kontabilitatea. Beno, non egongo ginateke ERRADIO zahar ona gabe.
Tutorial honetan bigarren aukera erakutsiko dut - Arakatzailean oinarrituta. Teoria nahikoa dela uste dut, pasa gaitezen praktikara.
Bideo ikasgaia
Egon adi gehiago eta batu gure π
Iturria: www.habr.com