ProHoster > Blog > uprava > 10. Check Point Početak rada R80.20. Svijest o identitetu

10. Check Point Početak rada R80.20. Svijest o identitetu

10. Check Point Početak rada R80.20. Svijest o identitetu

Dobrodošli na obljetnicu - 10. lekciju. A danas ćemo govoriti o još jednoj Check Point oštrici - Svijest o identitetu. Na samom početku, pri opisivanju NGFW-a, odredili smo da mora moći regulirati pristup na temelju računa, a ne IP adresa. To je prije svega zbog povećane mobilnosti korisnika i raširenosti modela BYOD – ponesite svoj uređaj. U tvrtki može postojati mnogo ljudi koji se povezuju putem WiFi-a, primaju dinamički IP, pa čak i iz različitih mrežnih segmenata. Pokušajte ovdje stvoriti popise pristupa na temelju IP brojeva. Ovdje ne možete bez identifikacije korisnika. A oštrica Svjesnosti identiteta je ta koja će nam pomoći u ovom pitanju.

Ali prvo, idemo shvatiti za što se najčešće koristi identifikacija korisnika?

  1. Za ograničavanje pristupa mreži prema korisničkim računima, a ne prema IP adresama. Pristup se može regulirati kako jednostavno na Internet tako i na bilo koji drugi segment mreže, na primjer DMZ.
  2. Pristup putem VPN-a. Slažem se da je korisniku mnogo prikladnije koristiti svoj račun domene za autorizaciju, a ne drugu izmišljenu lozinku.
  3. Za upravljanje Check Pointom potreban vam je i račun koji može imati različita prava.
  4. A najbolji dio je izvještavanje. Puno je ljepše vidjeti određene korisnike u izvješćima, a ne njihove IP adrese.

U isto vrijeme Check Point podržava dvije vrste računa:

  • Lokalni interni korisnici. Korisnik se kreira u lokalnoj bazi podataka poslužitelja za upravljanje.
  • Vanjski korisnici. Baza vanjskih korisnika može biti Microsoft Active Directory ili bilo koji drugi LDAP poslužitelj.

Danas ćemo govoriti o pristupu mreži. Za kontrolu pristupa mreži, u prisutnosti Active Directory-a, tzv Uloga pristupa, koji omogućuje tri korisničke opcije:

  1. mreža - tj. mreža na koju se korisnik pokušava spojiti
  2. AD korisnik ili korisnička grupa — ti se podaci povlače izravno s AD poslužitelja
  3. mašina - radna stanica.

Identifikacija korisnika u ovom slučaju može se izvršiti na nekoliko načina:

  • AD upit. Check Point čita zapisnike AD poslužitelja za autentificirane korisnike i njihove IP adrese. Računala koja su u AD domeni identificiraju se automatski.
  • Autentifikacija temeljena na pregledniku. Identifikacija putem preglednika korisnika (Captive Portal ili Transparent Kerberos). Najčešće se koristi za uređaje koji nisu u domeni.
  • Terminalni poslužitelji. U ovom slučaju, identifikacija se provodi pomoću posebnog terminalskog agenta (instaliranog na terminalskom poslužitelju).

Ovo su tri najčešće opcije, ali postoje još tri:

  • Agenti identiteta. Na računala korisnika instaliran je poseban agent.
  • Sakupljač identiteta. Zasebni uslužni program koji je instaliran na Windows Serveru i prikuplja zapise provjere autentičnosti umjesto pristupnika. Zapravo, obavezna opcija za veliki broj korisnika.
  • RADIUS računovodstvo. Pa gdje bismo bez dobrog starog RADIJUSA.

U ovom vodiču demonstrirat ću drugu opciju - Utemeljeno na pregledniku. Mislim da je teorija dovoljna, idemo na praksu.

Video tutorial

Ostanite s nama za više i pridružite nam se YouTube kanal ????

Izvor: www.habr.com

Dodajte komentar