ProHoster > Blog > Bestjoer > 10. Kontrolearje Point Getting Started R80.20. Identiteitsbewustwêzen

10. Kontrolearje Point Getting Started R80.20. Identiteitsbewustwêzen

10. Kontrolearje Point Getting Started R80.20. Identiteitsbewustwêzen

Wolkom by it jubileum - 10e les. En hjoed sille wy prate oer in oar Check Point-blêd - Identiteitsbewustwêzen. Oan it begjin, by it beskriuwen fan NGFW, hawwe wy bepaald dat it tagong moat kinne regelje op basis fan akkounts, net IP-adressen. Dit is foaral te tankjen oan de ferhege mobiliteit fan brûkers en de wiidferspraat fersprieding fan it BYOD-model - bring jo eigen apparaat. D'r kinne in protte minsken yn in bedriuw wêze dy't ferbine fia WiFi, in dynamyske IP ûntfange, en sels fan ferskate netwurksegminten. Besykje hjir tagongslisten te meitsjen basearre op IP-nûmers. Hjir kinne jo net dwaan sûnder brûkersidentifikaasje. En it is it Blade fan Identity Awareness dat ús sil helpe yn dizze saak.

Mar lit ús earst útfine wêrfoar brûkersidentifikaasje it meast brûkt wurdt?

  1. Om netwurk tagong te beheinen troch brûkersakkounts ynstee fan troch IP-adressen. Tagong kin wurde regele sawol gewoan nei it ynternet as nei alle oare netwurk segminten, bygelyks DMZ.
  2. Tagong fia VPN. It iens dat it folle handiger is foar de brûker om syn domeinaccount te brûken foar autorisaasje, ynstee fan in oar útfûn wachtwurd.
  3. Om Check Point te behearjen, hawwe jo ek in akkount nedich dat ferskate rjochten kin hawwe.
  4. En it bêste diel is rapportaazje. It is folle moaier om spesifike brûkers te sjen yn rapporten ynstee fan har IP-adressen.

Tagelyk stipet Check Point twa soarten akkounts:

  • Lokale ynterne brûkers. De brûker wurdt makke yn de lokale databank fan de behear tsjinner.
  • Eksterne brûkers. De eksterne brûkersbasis kin Microsoft Active Directory of in oare LDAP-tsjinner wêze.

Hjoed sille wy prate oer netwurk tagong. Om kontrôle netwurk tagong, yn it bywêzen fan Active Directory, de saneamde Tagong Rol, wêrtroch trije brûkersopsjes mooglik binne:

  1. netwurk - d.w.s. it netwurk wêrmei de brûker besiket te ferbinen
  2. AD-brûker as brûkersgroep - dizze gegevens wurde direkt fan 'e AD-tsjinner helle
  3. Masine - wurk stasjon.

Yn dit gefal kin brûkersidentifikaasje op ferskate manieren útfierd wurde:

  • AD Query. Check Point lêst de AD-tsjinner logs foar autentike brûkers en har IP-adressen. Kompjûters dy't yn it AD-domein binne wurde automatysk identifisearre.
  • Browser-basearre ferifikaasje. Identifikaasje fia de browser fan de brûker (Captive Portal of Transparent Kerberos). Meast faak brûkt foar apparaten dy't net yn in domein binne.
  • Terminal Servers. Yn dit gefal, identifikaasje wurdt útfierd mei help fan in spesjale terminal agint (ynstallearre op de terminal tsjinner).

Dit binne de trije meast foarkommende opsjes, mar d'r binne noch trije:

  • Identiteit Agents. In spesjale agint is ynstalleare op 'e kompjûters fan brûkers.
  • Identiteit Samler. In apart hulpprogramma dat is ynstallearre op Windows Server en sammelet autentikaasje logs ynstee fan de poarte. Yn feite, in ferplichte opsje foar grutte oantallen brûkers.
  • RADIUS Accounting. No, wêr soene wy ​​wêze sûnder de goede âlde RADIUS.

Yn dit tutorial sil ik de twadde opsje demonstrearje - Browser-basearre. Ik tink dat teory genôch is, lit ús gean nei de praktyk.

Video les

Bliuw op 'e hichte foar mear en doch mei ús YouTube kanaal 🙂

Boarne: www.habr.com

Add a comment