ProHoster > Blog > administration > 10. Check Point Mise en route R80.20. Conscience de l'identité

10. Check Point Mise en route R80.20. Conscience de l'identité

10. Check Point Mise en route R80.20. Conscience de l'identité

Bienvenue à l'anniversaire - 10ème leçon. Et aujourd'hui, nous parlerons d'une autre lame Check Point - Conscience de l'identité. Au tout début, lors de la description du NGFW, nous avons déterminé qu'il devait être capable de réguler l'accès en fonction des comptes et non des adresses IP. Cela est principalement dû à la mobilité accrue des utilisateurs et à la généralisation du modèle BYOD : apportez votre propre appareil. Il peut y avoir de nombreuses personnes dans une entreprise qui se connectent via WiFi, reçoivent une IP dynamique et même depuis différents segments de réseau. Essayez de créer des listes d'accès basées sur les numéros IP ici. Ici, vous ne pouvez pas vous passer de l’identification de l’utilisateur. Et c'est la lame Identity Awareness qui nous aidera dans cette affaire.

Mais d'abord, voyons à quoi sert l'identification des utilisateurs le plus souvent ?

  1. Pour restreindre l'accès au réseau par comptes d'utilisateurs plutôt que par adresses IP. L'accès peut être régulé aussi bien simplement à Internet qu'à tout autre segment de réseau, par exemple DMZ.
  2. Accès via VPN. Convenez qu'il est beaucoup plus pratique pour l'utilisateur d'utiliser son compte de domaine pour l'autorisation, plutôt qu'un autre mot de passe inventé.
  3. Pour gérer Check Point, vous avez également besoin d'un compte pouvant disposer de divers droits.
  4. Et le meilleur, c'est le reporting. Il est bien plus agréable de voir des utilisateurs spécifiques dans les rapports plutôt que leurs adresses IP.

Parallèlement, Check Point prend en charge deux types de comptes :

  • Utilisateurs internes locaux. L'utilisateur est créé dans la base de données locale du serveur de gestion.
  • Utilisateurs externes. Microsoft Active Directory ou tout autre serveur LDAP peut servir de base d'utilisateurs externe.

Aujourd'hui, nous parlerons de l'accès au réseau. Pour contrôler l'accès au réseau, en présence d'Active Directory, ce qu'on appelle Rôle d'accès, qui permet trois options utilisateur :

  1. Réseau - c'est à dire. le réseau auquel l'utilisateur essaie de se connecter
  2. Utilisateur ou groupe d'utilisateurs AD — ces données sont extraites directement du serveur AD
  3. Machine - poste de travail.

Dans ce cas, l'identification de l'utilisateur peut s'effectuer de plusieurs manières :

  • Requête AD. Check Point lit les journaux du serveur AD pour les utilisateurs authentifiés et leurs adresses IP. Les ordinateurs appartenant au domaine AD sont identifiés automatiquement.
  • Authentification basée sur le navigateur. Identification via le navigateur de l'utilisateur (Captive Portal ou Transparent Kerberos). Le plus souvent utilisé pour les appareils qui ne font pas partie d'un domaine.
  • Serveurs Terminal Server. Dans ce cas, l'identification s'effectue à l'aide d'un agent terminal spécial (installé sur le serveur terminal).

Ce sont les trois options les plus courantes, mais il en existe trois autres :

  • Agents d'identité. Un agent spécial est installé sur les ordinateurs des utilisateurs.
  • Collecteur d'identité. Un utilitaire distinct installé sur Windows Server et collecte les journaux d'authentification à la place de la passerelle. En fait, une option obligatoire pour un grand nombre d’utilisateurs.
  • Comptabilité RADIUS. Eh bien, où serions-nous sans le bon vieux RADIUS.

Dans ce didacticiel, je vais démontrer la deuxième option : basée sur un navigateur. Je pense que la théorie suffit, passons à la pratique.

Didacticiel vidéo

Restez à l'écoute pour plus et rejoignez-nous chaine YouTube ????

Source: habr.com

Ajouter un commentaire