Wëllkomm op der Anniversaire - 10. Lektioun. An haut wäerte mir iwwer eng aner Check Point Blade schwätzen - Identitéitsbewosstsinn. Am Ufank, wann mir NGFW beschreiwen, hu mir festgestallt datt et fäeg ass den Zougang op Konten ze regléieren, net op IP Adressen. Dëst ass haaptsächlech wéinst der verstäerkter Mobilitéit vun de Benotzer an der verbreeter Verbreedung vum BYOD Modell - bréngt Ären eegene Gerät mat. Et kënne vill Leit an enger Firma sinn, déi iwwer WiFi verbannen, eng dynamesch IP kréien, a souguer aus verschiddene Netzwierksegmenter. Probéiert hei Zougangslëschten op Basis vun IP Zuelen ze kreéieren. Hei kënnt Dir net ouni Benotzer Identifikatioun maachen. An et ass d'Identitéit Bewosstsinn Blade déi eis an dëser Matière hëlleft.
Awer als éischt, loosst eis erausfannen fir wat d'Benotzer Identifikatioun am meeschten benotzt gëtt?
- Fir den Netzzougang duerch Benotzerkonten ze beschränken anstatt duerch IP Adressen. Den Zougang kann souwuel einfach zum Internet wéi och op all aner Netzwierksegmenter geregelt ginn, zum Beispill DMZ.
- Zougang iwwer VPN. Averstanen datt et vill méi bequem ass fir de Benotzer säin Domainkonto fir Autorisatioun ze benotzen, anstatt en anert erfonnt Passwuert.
- Fir Check Point ze verwalten, braucht Dir och e Kont dee verschidde Rechter hunn.
- An déi bescht Deel ass Bericht. Et ass vill méi schéin spezifesch Benotzer a Berichter ze gesinn anstatt hir IP Adressen.
Zur selwechter Zäit ënnerstëtzt Check Point zwou Aarte vu Konten:
- Lokal intern Benotzer. De Benotzer gëtt an der lokaler Datebank vum Managementserver erstallt.
- Extern Benotzer. Déi extern Benotzerbasis kann Microsoft Active Directory oder all aner LDAP Server sinn.
Haut wäerte mir iwwer Netzwierkzougang schwätzen. Fir den Netzzougang ze kontrolléieren, a Präsenz vun Active Directory, de sougenannte Zougang Roll, déi dräi Benotzeroptiounen erlaabt:
- Network - d.h. de Reseau deen de Benotzer probéiert ze verbannen
- AD Benotzer oder Benotzer Grupp - Dës Donnéeë ginn direkt vum AD Server gezunn
- Maschinn - Aarbechtsstatioun.
An dësem Fall kann d'Benotzer Identifikatioun op verschidde Manéiere gemaach ginn:
- AD Ufro. Check Point liest d'AD Server Logbicher fir authentifizéiert Benotzer an hir IP Adressen. Computeren déi am AD Domain sinn ginn automatesch identifizéiert.
- Browser-baséiert Authentifikatioun. Identifikatioun duerch de Browser vum Benotzer (Captive Portal oder Transparent Kerberos). Meeschtens benotzt fir Apparater déi net an engem Domain sinn.
- Terminal Serveren. An dësem Fall gëtt d'Identifikatioun mat engem speziellen Terminal Agent duerchgefouert (op dem Terminal Server installéiert).
Dëst sinn déi dräi meescht üblech Optiounen, awer et ginn dräi méi:
- Identitéit Agenten. E speziellen Agent gëtt op de Computer vun de Benotzer installéiert.
- Identitéit Collector. E getrennten Utility deen op Windows Server installéiert ass a Authentifikatiounsprotokoller sammelt anstatt de Paart. Tatsächlech eng obligatoresch Optioun fir eng grouss Zuel vu Benotzer.
- RADIUS Comptabilitéit. Gutt, wou wiere mir ouni de gudden ale RADIUS.
An dësem Tutorial wäert ech déi zweet Optioun demonstréieren - Browser-baséiert. Ech mengen Theorie ass genuch, loosst eis weider an d'Praxis goen.
Video Tutorial
Bleift weider fir méi a maach mat 🙂
Source: will.com