Dobrodošli na obljetnicu - 10. lekciju. A danas ćemo govoriti o još jednoj Check Point oštrici - Svijest o identitetu. Na samom početku, pri opisivanju NGFW-a, odredili smo da mora moći regulirati pristup na temelju računa, a ne IP adresa. To je prije svega zbog povećane mobilnosti korisnika i raširenosti modela BYOD – ponesite svoj uređaj. U tvrtki može postojati mnogo ljudi koji se povezuju putem WiFi-a, primaju dinamički IP, pa čak i iz različitih mrežnih segmenata. Pokušajte ovdje stvoriti popise pristupa na temelju IP brojeva. Ovdje ne možete bez identifikacije korisnika. A oštrica Svjesnosti identiteta je ta koja će nam pomoći u ovom pitanju.
Ali prvo, idemo shvatiti za što se najčešće koristi identifikacija korisnika?
- Za ograničavanje pristupa mreži prema korisničkim računima, a ne prema IP adresama. Pristup se može regulirati kako jednostavno na Internet tako i na bilo koji drugi segment mreže, na primjer DMZ.
- Pristup putem VPN-a. Slažem se da je korisniku mnogo prikladnije koristiti svoj račun domene za autorizaciju, a ne drugu izmišljenu lozinku.
- Za upravljanje Check Pointom potreban vam je i račun koji može imati različita prava.
- A najbolji dio je izvještavanje. Puno je ljepše vidjeti određene korisnike u izvješćima, a ne njihove IP adrese.
U isto vrijeme Check Point podržava dvije vrste računa:
- Lokalni interni korisnici. Korisnik se kreira u lokalnoj bazi podataka poslužitelja za upravljanje.
- Vanjski korisnici. Baza vanjskih korisnika može biti Microsoft Active Directory ili bilo koji drugi LDAP poslužitelj.
Danas ćemo govoriti o pristupu mreži. Za kontrolu pristupa mreži, u prisutnosti Active Directory-a, tzv Uloga pristupa, koji omogućuje tri korisničke opcije:
- mreža - tj. mreža na koju se korisnik pokušava spojiti
- AD korisnik ili korisnička grupa — ti se podaci povlače izravno s AD poslužitelja
- mašina - radna stanica.
Identifikacija korisnika u ovom slučaju može se izvršiti na nekoliko načina:
- AD upit. Check Point čita zapisnike AD poslužitelja za autentificirane korisnike i njihove IP adrese. Računala koja su u AD domeni identificiraju se automatski.
- Autentifikacija temeljena na pregledniku. Identifikacija putem preglednika korisnika (Captive Portal ili Transparent Kerberos). Najčešće se koristi za uređaje koji nisu u domeni.
- Terminalni poslužitelji. U ovom slučaju, identifikacija se provodi pomoću posebnog terminalskog agenta (instaliranog na terminalskom poslužitelju).
Ovo su tri najčešće opcije, ali postoje još tri:
- Agenti identiteta. Na računala korisnika instaliran je poseban agent.
- Sakupljač identiteta. Zasebni uslužni program koji je instaliran na Windows Serveru i prikuplja zapise provjere autentičnosti umjesto pristupnika. Zapravo, obavezna opcija za veliki broj korisnika.
- RADIUS računovodstvo. Pa gdje bismo bez dobrog starog RADIJUSA.
U ovom vodiču demonstrirat ću drugu opciju - Utemeljeno na pregledniku. Mislim da je teorija dovoljna, idemo na praksu.
Video tutorial
Ostanite s nama za više i pridružite nam se
Izvor: www.habr.com