Юбилейге кош келиңиздер - 10-сабак. Бүгүн биз дагы бир Текшерүү пункту жөнүндө сүйлөшөбүз - Identity Awareness. Башында, NGFWди сүрөттөп жатып, биз IP даректерине эмес, эсептердин негизинде кирүү мүмкүнчүлүгүн жөнгө салышы керек экенин аныктадык. Бул, биринчи кезекте, колдонуучулардын мобилдүүлүгүнүн жогорулашына жана BYOD моделинин кеңири жайылышына байланыштуу - өзүңүздүн аппаратыңызды алып келиңиз. Компанияда WiFi аркылуу туташкан, динамикалык IP алган, ал тургай ар кандай тармак сегменттеринен да көп адамдар болушу мүмкүн. Бул жерде IP номерлердин негизинде кирүү тизмелерин түзүп көрүңүз. Бул жерде сиз колдонуучунун идентификациясы жок кыла албайсыз. Жана бул маселеде бизге Identity Awareness blade жардам берет.
Бирок адегенде, келгиле, колдонуучунун идентификациясы көбүнчө кайсы максатта колдонуларын аныктап көрөлү?
- Тармакка кирүүнү IP даректери боюнча эмес, колдонуучунун каттоо эсептери менен чектөө. Жетүүнү жөн гана Интернетке жана башка тармак сегменттерине, мисалы, DMZ үчүн жөнгө салса болот.
- VPN аркылуу кирүү. Колдонуучуга авторизациялоо үчүн башка ойлоп табылган сырсөзгө караганда, анын домен эсебин колдонуу алда канча ыңгайлуу экенине макул.
- Check Point башкаруу үчүн, ошондой эле ар кандай укуктарга ээ болушу мүмкүн каттоо эсеби керек.
- Ал эми эң жакшы жери - отчет берүү. Белгилүү колдонуучуларды IP даректерине караганда отчеттордо көрүү алда канча жагымдуу.
Ошол эле учурда, Check Point эсептердин эки түрүн колдойт:
- Жергиликтүү ички колдонуучулар. Колдонуучу башкаруу серверинин жергиликтүү маалымат базасында түзүлөт.
- Тышкы колдонуучулар. Тышкы колдонуучу базасы Microsoft Active Directory же башка LDAP сервери болушу мүмкүн.
Бүгүн биз тармакка кирүү жөнүндө сүйлөшөбүз. Тармакка кирүүнү көзөмөлдөө үчүн, Active Directory бар деп аталган Кирүү ролу, бул үч колдонуучуга мүмкүнчүлүк берет:
- тармак - б.а. колдонуучу туташууга аракет кылып жаткан тармак
- AD Колдонуучусу же Колдонуучу тобу — бул маалыматтар AD серверинен түз алынат
- машина - жумушчу станция.
Бул учурда, колдонуучунун идентификациясы бир нече жол менен жүргүзүлүшү мүмкүн:
- AD суроо. Текшерүү пункту аутентификацияланган колдонуучулар жана алардын IP даректери үчүн AD серверинин журналдарын окуйт. AD домениндеги компьютерлер автоматтык түрдө аныкталат.
- Браузерге негизделген аутентификация. Колдонуучунун браузери аркылуу идентификациялоо (Captive Portal же Transparent Kerberos). Көбүнчө доменде эмес түзмөктөр үчүн колдонулат.
- Терминал серверлери. Бул учурда идентификация атайын терминалдык агенттин (терминал серверинде орнотулган) жардамы менен ишке ашырылат.
Бул үч эң кеңири таралган варианттар, бирок дагы үчөө бар:
- Identity Agents. Колдонуучулардын компьютерлерине атайын агент орнотулган.
- Identity Collector. Windows серверинде орнотулган жана шлюздун ордуна аутентификация журналдарын чогултуучу өзүнчө утилита. Чынында, колдонуучулардын көп саны үчүн милдеттүү параметр.
- RADIUS бухгалтердик эсеп. Эски жакшы РАДИУС болбосо биз кайда болмокпуз.
Бул окуу куралында мен экинчи вариантты көрсөтөм - Браузерге негизделген. Теория жетиштүү деп ойлойм, практикага өтөбүз.
Видео окуу куралы
Көбүрөөк кабардар болуңуз жана бизге кошулуңуз 🙂
Source: www.habr.com