ProHoster > blog > amministrazione > 10. Punto di controllo Per iniziare R80.20. Consapevolezza dell'identità

10. Punto di controllo Per iniziare R80.20. Consapevolezza dell'identità

10. Punto di controllo Per iniziare R80.20. Consapevolezza dell'identità

Benvenuti all'anniversario - 10a lezione. E oggi parleremo di un'altra lama Check Point - Consapevolezza dell'identità. All’inizio, descrivendo NGFW, abbiamo stabilito che deve essere in grado di regolare l’accesso in base agli account e non agli indirizzi IP. Ciò è dovuto principalmente alla maggiore mobilità degli utenti e alla diffusione capillare del modello BYOD: porta il tuo dispositivo. Potrebbero esserci molte persone in un'azienda che si connettono tramite WiFi, ricevono un IP dinamico e persino da diversi segmenti di rete. Prova a creare elenchi di accesso basati sui numeri IP qui. Qui non puoi fare a meno dell'identificazione dell'utente. Ed è proprio la lama Identity Awareness che ci aiuterà in questa materia.

Ma prima, scopriamo per cosa viene utilizzata più spesso l'identificazione dell'utente?

  1. Per limitare l'accesso alla rete tramite account utente anziché tramite indirizzi IP. L'accesso può essere regolato sia semplicemente a Internet che a qualsiasi altro segmento di rete, ad esempio DMZ.
  2. Accesso tramite VPN. Concordo sul fatto che è molto più conveniente per l'utente utilizzare il proprio account di dominio per l'autorizzazione, piuttosto che un'altra password inventata.
  3. Per gestire Check Point è necessario anche un account che può avere diversi diritti.
  4. E la parte migliore è riferire. È molto più bello vedere utenti specifici nei report piuttosto che i loro indirizzi IP.

Allo stesso tempo, Check Point supporta due tipi di account:

  • Utenti interni locali. L'utente viene creato nel database locale del server di gestione.
  • Utenti esterni. Microsoft Active Directory o qualsiasi altro server LDAP può fungere da base utenti esterna.

Oggi parleremo dell'accesso alla rete. Per controllare l'accesso alla rete, in presenza di Active Directory, il cosiddetto Ruolo di accesso, che consente tre opzioni utente:

  1. Network NetPoulSafe - cioè. la rete a cui l'utente sta tentando di connettersi
  2. Utente o gruppo di utenti AD — questi dati vengono estratti direttamente dal server AD
  3. Confezionatrici Verticali VFFS - postazione di lavoro.

In questo caso l’identificazione dell’utente può essere effettuata in diversi modi:

  • Query AD. Check Point legge i log del server AD per gli utenti autenticati e i loro indirizzi IP. I computer che si trovano nel dominio AD vengono identificati automaticamente.
  • Autenticazione basata sul browser. Identificazione tramite il browser dell'utente (Captive Portal o Transparent Kerberos). Utilizzato più spesso per i dispositivi che non si trovano in un dominio.
  • Terminal Server. In questo caso l'identificazione viene effettuata utilizzando uno speciale agente terminale (installato sul server terminale).

Queste sono le tre opzioni più comuni, ma ce ne sono altre tre:

  • Agenti di identità. Un agente speciale viene installato sui computer degli utenti.
  • Collezionista di identità. Un'utilità separata installata su Windows Server e che raccoglie i log di autenticazione al posto del gateway. In effetti, un'opzione obbligatoria per un gran numero di utenti.
  • RAGGIO Contabilità. Ebbene, dove saremmo senza il buon vecchio RADIUS.

In questo tutorial dimostrerò la seconda opzione: basata su browser. Penso che la teoria sia sufficiente, passiamo alla pratica.

Video lezione

Resta sintonizzato per saperne di più e unisciti a noi Canale YouTube 🙂

Fonte: habr.com

Aggiungi un commento