Üdvözöljük az évfordulón – a 10. leckében. És ma egy másik Check Point pengéről fogunk beszélni - Identitástudatosság. Már az elején, az NGFW leírásánál megállapítottuk, hogy nem IP-címek, hanem fiókok alapján kell tudnia szabályozni a hozzáférést. Ennek oka elsősorban a felhasználók megnövekedett mobilitása és a BYOD modell széles körű elterjedése – hozd magaddal saját készülékedet. Sokan lehetnek egy cégnél, akik WiFi-n keresztül csatlakoznak, dinamikus IP-t kapnak, sőt, különböző hálózati szegmensekből is. Itt próbáljon meg IP-számok alapján hozzáférési listákat létrehozni. Itt nem nélkülözheti a felhasználó azonosítását. És ebben a kérdésben az Identity Awareness penge segít nekünk.
De először nézzük meg, mire használják leggyakrabban a felhasználói azonosítást?
- A hálózati hozzáférés korlátozása felhasználói fiókok, nem pedig IP-címek szerint. A hozzáférés szabályozható egyszerűen az internethez és bármely más hálózati szegmenshez, például a DMZ-hez.
- Hozzáférés VPN-en keresztül. Fogadja el, hogy a felhasználó számára sokkal kényelmesebb, ha a domain fiókját használja az engedélyezéshez, egy másik kitalált jelszó helyett.
- A Check Point kezeléséhez olyan fiókra is szüksége van, amely különféle jogokkal rendelkezik.
- És a legjobb az egészben a jelentéskészítés. Sokkal jobb, ha konkrét felhasználókat látunk a jelentésekben, nem pedig az IP-címeiket.
Ugyanakkor a Check Point kétféle fiókot támogat:
- Helyi belső felhasználók. A felhasználó a felügyeleti szerver helyi adatbázisában jön létre.
- Külső felhasználók. A külső felhasználói bázis lehet a Microsoft Active Directory vagy bármely más LDAP-kiszolgáló.
Ma a hálózati hozzáférésről fogunk beszélni. A hálózati hozzáférés szabályozására az Active Directory jelenlétében az ún Hozzáférési szerepkör, amely három felhasználói lehetőséget tesz lehetővé:
- Hálózat - azaz a hálózat, amelyhez a felhasználó csatlakozni próbál
- AD-felhasználó vagy felhasználói csoport — ezek az adatok közvetlenül az AD szerverről származnak
- Gép - munkaállomás.
Ebben az esetben a felhasználó azonosítása többféleképpen is elvégezhető:
- AD-lekérdezés. A Check Point beolvassa az AD-kiszolgáló naplóit a hitelesített felhasználókról és IP-címeikről. Az AD tartományban lévő számítógépek azonosítása automatikusan történik.
- Böngésző alapú hitelesítés. Azonosítás a felhasználó böngészőjén keresztül (Captive Portal vagy Transparent Kerberos). Leggyakrabban olyan eszközökhöz használják, amelyek nem tartoznak egy tartományhoz.
- Terminál szerverek. Ebben az esetben az azonosítás egy speciális terminálügynök segítségével történik (a terminálkiszolgálóra telepítve).
Ez a három leggyakoribb lehetőség, de van még három:
- Identity Agents. Egy speciális ügynök van telepítve a felhasználók számítógépére.
- Identity Collector. Külön segédprogram, amely a Windows Server rendszeren van telepítve, és az átjáró helyett hitelesítési naplókat gyűjt. Valójában nagyszámú felhasználó számára kötelező opció.
- RADIUS Számvitel. Hát hol lennénk a jó öreg RADIUS nélkül.
Ebben az oktatóanyagban bemutatom a második lehetőséget - Böngésző alapú. Szerintem elég az elmélet, térjünk át a gyakorlatra.
Oktatóvideó
Maradjon velünk, és csatlakozzon hozzánk
Forrás: will.com