ProHoster > Blog > Administración > 10. Check Point Primeiros pasos R80.20. Concienciación da identidade

10. Check Point Primeiros pasos R80.20. Concienciación da identidade

10. Check Point Primeiros pasos R80.20. Concienciación da identidade

Benvido ao aniversario - 10a lección. E hoxe falaremos doutra lámina Check Point: Concienciación da identidade. Ao principio, ao describir NGFW, determinamos que debe ser capaz de regular o acceso en función de contas, non de enderezos IP. Isto débese principalmente ao aumento da mobilidade dos usuarios e á ampla difusión do modelo BYOD: trae o teu propio dispositivo. Nunha empresa pode haber moita xente que se conecte a través de WiFi, reciba unha IP dinámica e mesmo de diferentes segmentos de rede. Proba a crear listas de acceso baseadas en números IP aquí. Aquí non pode prescindir da identificación do usuario. E é a lámina de conciencia de identidade a que nos axudará neste asunto.

Pero primeiro, imos descubrir para que se usa máis a identificación do usuario?

  1. Para restrinxir o acceso á rede por contas de usuario en lugar de por enderezos IP. O acceso pódese regular tanto a Internet como a calquera outro segmento da rede, por exemplo DMZ.
  2. Acceso vía VPN. Acepta que é moito máis cómodo para o usuario usar a súa conta de dominio para a autorización, en lugar de outro contrasinal inventado.
  3. Para xestionar Check Point, tamén necesitas unha conta que poida ter varios dereitos.
  4. E a mellor parte é informar. É moito máis agradable ver usuarios específicos nos informes en lugar dos seus enderezos IP.

Ao mesmo tempo, Check Point admite dous tipos de contas:

  • Usuarios internos locais. O usuario créase na base de datos local do servidor de xestión.
  • Usuarios Externos. A base de usuarios externos pode ser Microsoft Active Directory ou calquera outro servidor LDAP.

Hoxe falaremos do acceso á rede. Para controlar o acceso á rede, en presenza de Active Directory, o chamado Rol de acceso, que permite tres opcións de usuario:

  1. Rede - é dicir. a rede á que está tentando conectar o usuario
  2. Usuario de AD ou grupo de usuarios — estes datos son extraídos directamente do servidor AD
  3. Máquina - posto de traballo.

Neste caso, a identificación do usuario pódese realizar de varias maneiras:

  • Consulta AD. Check Point le os rexistros do servidor AD para os usuarios autenticados e os seus enderezos IP. Os ordenadores que están no dominio AD identifícanse automaticamente.
  • Autenticación baseada no navegador. Identificación a través do navegador do usuario (Portal Cativo ou Kerberos Transparente). A maioría das veces úsase para dispositivos que non están nun dominio.
  • Servidores de terminal. Neste caso, a identificación realízase mediante un axente de terminal especial (instalado no servidor de terminal).

Estas son as tres opcións máis comúns, pero hai tres máis:

  • Axentes de Identidade. Un axente especial está instalado nos ordenadores dos usuarios.
  • Colector de identidades. Unha utilidade separada que se instala en Windows Server e que recolle rexistros de autenticación en lugar da pasarela. De feito, unha opción obrigatoria para un gran número de usuarios.
  • Contabilidade RADIUS. Ben, onde estaríamos sen o bo vello RADIUS.

Neste tutorial demostrarei a segunda opción - Baseado no navegador. Creo que a teoría é suficiente, pasemos á práctica.

Video lección

Estade atentos a máis e únete a nós Canle de YouTube 🙂

Fonte: www.habr.com

Engadir un comentario