Selamat datang di peringatan - pelajaran ke 10. Dan hari ini kita akan berbicara tentang bilah Check Point lainnya - Kesadaran Identitas. Pada awalnya, ketika menjelaskan NGFW, kami memutuskan bahwa NGFW harus mampu mengatur akses berdasarkan akun, bukan alamat IP. Hal ini terutama disebabkan oleh meningkatnya mobilitas pengguna dan meluasnya penyebaran model BYOD - bawalah perangkat Anda sendiri. Mungkin ada banyak orang di suatu perusahaan yang terhubung melalui WiFi, menerima IP dinamis, dan bahkan dari segmen jaringan yang berbeda. Coba buat daftar akses berdasarkan nomor IP di sini. Di sini Anda tidak dapat melakukannya tanpa identifikasi pengguna. Dan pedang Kesadaran Identitaslah yang akan membantu kita dalam hal ini.
Tapi pertama-tama, mari kita cari tahu untuk apa identifikasi pengguna paling sering digunakan?
- Untuk membatasi akses jaringan berdasarkan akun pengguna, bukan berdasarkan alamat IP. Akses dapat diatur baik ke Internet maupun ke segmen jaringan lainnya, misalnya DMZ.
- Akses melalui VPN. Setuju bahwa akan lebih nyaman bagi pengguna untuk menggunakan akun domainnya untuk otorisasi, daripada kata sandi lain yang ditemukan.
- Untuk mengelola Check Point, Anda juga memerlukan akun yang mungkin memiliki berbagai hak.
- Dan bagian terbaiknya adalah pelaporan. Jauh lebih baik melihat pengguna tertentu dalam laporan daripada alamat IP mereka.
Pada saat yang sama, Check Point mendukung dua jenis akun:
- Pengguna Internal Lokal. Pengguna dibuat di database lokal server manajemen.
- Pengguna Eksternal. Microsoft Active Directory atau server LDAP lainnya dapat bertindak sebagai basis pengguna eksternal.
Hari ini kita akan berbicara tentang akses jaringan. Untuk mengontrol akses jaringan, dengan adanya Active Directory, yang disebut Akses Peran, yang memungkinkan tiga opsi pengguna:
- jaringan - yaitu jaringan yang coba disambungkan oleh pengguna
- Pengguna AD atau Grup Pengguna β data ini diambil langsung dari server AD
- Mesin - stasiun kerja.
Dalam hal ini, identifikasi pengguna dapat dilakukan dengan beberapa cara:
- Kueri IKLAN. Check Point membaca log server AD untuk pengguna yang diautentikasi dan alamat IP mereka. Komputer yang berada dalam domain AD diidentifikasi secara otomatis.
- Otentikasi Berbasis Browser. Identifikasi melalui browser pengguna (Captive Portal atau Transparent Kerberos). Paling sering digunakan untuk perangkat yang tidak berada dalam domain.
- Server Terminal. Dalam hal ini, identifikasi dilakukan menggunakan agen terminal khusus (diinstal pada server terminal).
Ini adalah tiga opsi yang paling umum, namun masih ada tiga opsi lainnya:
- Agen Identitas. Agen khusus diinstal pada komputer pengguna.
- Kolektor Identitas. Utilitas terpisah yang diinstal pada Windows Server dan mengumpulkan log otentikasi, bukan gateway. Faktanya, opsi wajib bagi sejumlah besar pengguna.
- Akuntansi RADIUS. Nah, di mana kita tanpa RADIUS lama yang bagus.
Dalam tutorial ini saya akan mendemonstrasikan opsi kedua - Berbasis Browser. Saya rasa teori saja sudah cukup, mari kita lanjutkan ke praktik.
Video tutorial
Nantikan lebih lanjut dan bergabunglah dengan kami π
Sumber: www.habr.com