Benvido ao aniversario - 10a lección. E hoxe falaremos doutra lámina Check Point: Concienciación da identidade. Ao principio, ao describir NGFW, determinamos que debe ser capaz de regular o acceso en función de contas, non de enderezos IP. Isto débese principalmente ao aumento da mobilidade dos usuarios e á ampla difusión do modelo BYOD: trae o teu propio dispositivo. Nunha empresa pode haber moita xente que se conecte a través de WiFi, reciba unha IP dinámica e mesmo de diferentes segmentos de rede. Proba a crear listas de acceso baseadas en números IP aquí. Aquí non pode prescindir da identificación do usuario. E é a lámina de conciencia de identidade a que nos axudará neste asunto.
Pero primeiro, imos descubrir para que se usa máis a identificación do usuario?
- Para restrinxir o acceso á rede por contas de usuario en lugar de por enderezos IP. O acceso pódese regular tanto a Internet como a calquera outro segmento da rede, por exemplo DMZ.
- Acceso vía VPN. Acepta que é moito máis cómodo para o usuario usar a súa conta de dominio para a autorización, en lugar de outro contrasinal inventado.
- Para xestionar Check Point, tamén necesitas unha conta que poida ter varios dereitos.
- E a mellor parte é informar. É moito máis agradable ver usuarios específicos nos informes en lugar dos seus enderezos IP.
Ao mesmo tempo, Check Point admite dous tipos de contas:
- Usuarios internos locais. O usuario créase na base de datos local do servidor de xestión.
- Usuarios Externos. A base de usuarios externos pode ser Microsoft Active Directory ou calquera outro servidor LDAP.
Hoxe falaremos do acceso á rede. Para controlar o acceso á rede, en presenza de Active Directory, o chamado Rol de acceso, que permite tres opcións de usuario:
- Rede - é dicir. a rede á que está tentando conectar o usuario
- Usuario de AD ou grupo de usuarios — estes datos son extraídos directamente do servidor AD
- Máquina - posto de traballo.
Neste caso, a identificación do usuario pódese realizar de varias maneiras:
- Consulta AD. Check Point le os rexistros do servidor AD para os usuarios autenticados e os seus enderezos IP. Os ordenadores que están no dominio AD identifícanse automaticamente.
- Autenticación baseada no navegador. Identificación a través do navegador do usuario (Portal Cativo ou Kerberos Transparente). A maioría das veces úsase para dispositivos que non están nun dominio.
- Servidores de terminal. Neste caso, a identificación realízase mediante un axente de terminal especial (instalado no servidor de terminal).
Estas son as tres opcións máis comúns, pero hai tres máis:
- Axentes de Identidade. Un axente especial está instalado nos ordenadores dos usuarios.
- Colector de identidades. Unha utilidade separada que se instala en Windows Server e que recolle rexistros de autenticación en lugar da pasarela. De feito, unha opción obrigatoria para un gran número de usuarios.
- Contabilidade RADIUS. Ben, onde estaríamos sen o bo vello RADIUS.
Neste tutorial demostrarei a segunda opción - Baseado no navegador. Creo que a teoría é suficiente, pasemos á práctica.
Video lección
Estade atentos a máis e únete a nós
Fonte: www.habr.com