🥇10. Check Point დაწყება R80.20. იდენტობის ცნობიერება

მოგესალმებით იუბილეზე - მე-10 გაკვეთილი. და დღეს ჩვენ ვისაუბრებთ კიდევ ერთ Check Point დანაზე - იდენტობის ცნობიერება. თავიდანვე, NGFW-ს აღწერისას, ჩვენ დავადგინეთ, რომ მას უნდა შეეძლოს წვდომის რეგულირება ანგარიშებზე და არა IP მისამართებზე დაყრდნობით. ეს, უპირველეს ყოვლისა, მომხმარებელთა გაზრდილი მობილურობით და BYOD მოდელის ფართოდ გავრცელებით არის განპირობებული - მოიყვანეთ საკუთარი მოწყობილობა. კომპანიაში შეიძლება იყოს უამრავი ადამიანი, რომლებიც უკავშირდებიან WiFi-ით, იღებენ დინამიურ IP-ს და თუნდაც სხვადასხვა ქსელის სეგმენტებიდან. სცადეთ შექმნათ წვდომის სიები აქ IP ნომრებზე დაყრდნობით. აქ თქვენ არ შეგიძლიათ გააკეთოთ მომხმარებლის იდენტიფიკაციის გარეშე. და სწორედ იდენტობის ცნობიერების დანა დაგვეხმარება ამ საკითხში.

მაგრამ პირველ რიგში, მოდით გაერკვნენ, რა მომხმარებლის იდენტიფიკაცია გამოიყენება ყველაზე ხშირად?

ქსელში წვდომის შეზღუდვა მომხმარებლის ანგარიშებით და არა IP მისამართებით. წვდომა შეიძლება დარეგულირდეს როგორც უბრალოდ ინტერნეტში, ასევე ქსელის ნებისმიერ სხვა სეგმენტზე, მაგალითად DMZ.
წვდომა VPN-ის საშუალებით. დამეთანხმებით, რომ მომხმარებლისთვის ბევრად უფრო მოსახერხებელია გამოიყენოს თავისი დომენის ანგარიში ავტორიზაციისთვის, ვიდრე სხვა გამოგონილი პაროლი.
Check Point-ის სამართავად ასევე გჭირდებათ ანგარიში, რომელსაც შეიძლება ჰქონდეს სხვადასხვა უფლებები.
და საუკეთესო ნაწილი არის მოხსენება. ბევრად უფრო სასიამოვნოა კონკრეტული მომხმარებლების ნახვა ანგარიშებში, ვიდრე მათი IP მისამართები.

ამავდროულად, Check Point მხარს უჭერს ორი ტიპის ანგარიშებს:

ადგილობრივი შიდა მომხმარებლები. მომხმარებელი იქმნება მართვის სერვერის ლოკალურ მონაცემთა ბაზაში.
გარე მომხმარებლები. გარე მომხმარებლის ბაზა შეიძლება იყოს Microsoft Active Directory ან ნებისმიერი სხვა LDAP სერვერი.

დღეს ჩვენ ვისაუბრებთ ქსელის წვდომაზე. ქსელში წვდომის გასაკონტროლებლად Active Directory-ის არსებობისას ე.წ წვდომის როლი, რომელიც საშუალებას აძლევს მომხმარებლის სამ ვარიანტს:

ქსელი - ე.ი. ქსელი, რომელთანაც მომხმარებელი ცდილობს დაკავშირებას
რეკლამის მომხმარებელი ან მომხმარებელთა ჯგუფი — ეს მონაცემები ამოღებულია პირდაპირ AD სერვერიდან
მანქანა - სამუშაო სადგური.

ამ შემთხვევაში, მომხმარებლის იდენტიფიკაცია შეიძლება განხორციელდეს რამდენიმე გზით:

AD შეკითხვა. Check Point კითხულობს AD სერვერის ჟურნალებს ავტორიზებული მომხმარებლებისთვის და მათი IP მისამართებისთვის. კომპიუტერები, რომლებიც AD დომენშია, ავტომატურად იდენტიფიცირებულია.
ბრაუზერზე დაფუძნებული ავთენტიფიკაცია. იდენტიფიკაცია მომხმარებლის ბრაუზერის საშუალებით (Captive Portal ან Transparent Kerberos). ყველაზე ხშირად გამოიყენება მოწყობილობებისთვის, რომლებიც არ არიან დომენში.
ტერმინალის სერვერები. ამ შემთხვევაში იდენტიფიკაცია ხორციელდება სპეციალური ტერმინალის აგენტის გამოყენებით (დაინსტალირებული ტერმინალის სერვერზე).

ეს არის სამი ყველაზე გავრცელებული ვარიანტი, მაგრამ არის კიდევ სამი:

პირადობის აგენტები. მომხმარებლის კომპიუტერებზე დამონტაჟებულია სპეციალური აგენტი.
პირადობის შემგროვებელი. ცალკე პროგრამა, რომელიც დაინსტალირებულია Windows Server-ზე და აგროვებს ავტორიზაციის ჟურნალებს კარიბჭის ნაცვლად. სინამდვილეში, სავალდებულო ვარიანტია დიდი რაოდენობით მომხმარებლებისთვის.
რადიუსის აღრიცხვა. აბა, სად ვიქნებოდით ძველი კარგი RADIUS-ის გარეშე.

ამ გაკვეთილში მე გაჩვენებთ მეორე ვარიანტს - ბრაუზერზე დაფუძნებული. ვფიქრობ, თეორია საკმარისია, გადავიდეთ პრაქტიკაზე.

ვიდეო გაკვეთილი

თვალყური ადევნეთ მეტს და შემოგვიერთდით YouTube არხი 🙂

წყარო: www.habr.com

10. Check Point Getting Start R80.20. იდენტობის ცნობიერება

ვიდეო გაკვეთილი

ახალი კომენტარის დამატება

10. Check Point Getting Start R80.20. იდენტობის ცნობიერება

ვიდეო გაკვეთილი

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება