Tervetuloa vuosipäivälle - 10. oppitunnille. Ja tänään puhumme toisesta Check Point -terästä - Identiteettitietoisuus. Heti alussa NGFW:tä kuvattaessa päätimme, että sen täytyy pystyä säätelemään pääsyä tilien, ei IP-osoitteiden, perusteella. Tämä johtuu ensisijaisesti käyttäjien lisääntyneestä liikkuvuudesta ja BYOD-mallin laajasta leviämisestä - tuo oma laitteesi. Yrityksessä voi olla paljon ihmisiä, jotka muodostavat yhteyden WiFin kautta, saavat dynaamisen IP-osoitteen ja jopa eri verkkosegmenteiltä. Yritä luoda pääsyluetteloita IP-numeroiden perusteella täällä. Täällä et tule toimeen ilman käyttäjän tunnistamista. Ja juuri Identity Awareness -terä auttaa meitä tässä asiassa.
Mutta ensin selvitetään, mihin käyttäjätunnistusta käytetään useimmiten?
- Verkkoon pääsyn rajoittaminen käyttäjätilien mukaan IP-osoitteiden sijaan. Pääsyä voidaan säädellä sekä yksinkertaisesti Internetiin että mihin tahansa muihin verkkosegmentteihin, esimerkiksi DMZ.
- Pääsy VPNOlen samaa mieltä siitä, että käyttäjän on paljon kätevämpää käyttää omaa verkkotunnustiliään valtuutukseen kuin keksittyä salasanaa.
- Check Pointin hallintaan tarvitaan myös tili, jolla voi olla erilaisia oikeuksia.
- Ja parasta on raportointi. On paljon mukavampaa nähdä tietyt käyttäjät raporteissa heidän IP-osoitteidensa sijaan.
Samaan aikaan Check Point tukee kahdenlaisia tilejä:
- Paikalliset sisäiset käyttäjät. Käyttäjä luodaan hallintapalvelimen paikalliseen tietokantaan.
- Ulkoiset käyttäjät. Ulkoinen käyttäjäkunta voi olla Microsoft Active Directory tai mikä tahansa muu LDAP-palvelin.
Tänään puhumme verkkoon pääsystä. Verkkoon pääsyn hallitsemiseksi Active Directoryn läsnä ollessa ns Pääsyrooli, joka mahdollistaa kolme käyttäjävaihtoehtoa:
- verkkotuotteet - eli verkko, johon käyttäjä yrittää muodostaa yhteyden
- AD-käyttäjä tai käyttäjäryhmä — nämä tiedot haetaan suoraan AD-palvelimelta
- Kone - työpiste.
Tässä tapauksessa käyttäjän tunnistaminen voidaan suorittaa useilla tavoilla:
- AD-kysely. Check Point lukee todennettujen käyttäjien ja heidän IP-osoitteidensa AD-palvelimen lokit. AD-toimialueeseen kuuluvat tietokoneet tunnistetaan automaattisesti.
- Selainpohjainen todennus. Tunnistaminen käyttäjän selaimen kautta (Captive Portal tai Transparent Kerberos). Käytetään useimmiten laitteissa, jotka eivät ole verkkotunnuksessa.
- Päätepalvelimet. Tässä tapauksessa tunnistus suoritetaan käyttämällä erityistä pääteagenttia (asennettu päätepalvelimelle).
Nämä ovat kolme yleisintä vaihtoehtoa, mutta niitä on kolme muutakin:
- Identiteettiagentit. Käyttäjien tietokoneisiin on asennettu erityinen agentti.
- Identiteettien kerääjä. Erillinen apuohjelma, joka on asennettu Windows Serveriin ja joka kerää todennuslokeja yhdyskäytävän sijaan. Itse asiassa pakollinen vaihtoehto suurille käyttäjille.
- RADIUS Kirjanpito. No, missä olisimme ilman vanhaa hyvää RADIUSA.
Tässä opetusohjelmassa esitän toisen vaihtoehdon - selainpohjaisen. Mielestäni teoria riittää, siirrytään käytäntöön.
Video-oppitunti
Pysy kuulolla saadaksesi lisää ja liity meihin 🙂
Lähde: will.com
