Laipni lÅ«gti jubilejÄ ā 10. nodarbÄ«bÄ. Un Å”odien mÄs runÄsim par citu Check Point asmeni - IdentitÄtes apzinÄÅ”anÄs. PaÅ”Ä sÄkumÄ, aprakstot NGFW, noteicÄm, ka tai jÄspÄj regulÄt piekļuvi, pamatojoties uz kontiem, nevis IP adresÄm. Tas galvenokÄrt ir saistÄ«ts ar lietotÄju palielinÄto mobilitÄti un BYOD modeļa plaÅ”o izplatÄ«bu ā Åemiet lÄ«dzi savu ierÄ«ci. UzÅÄmumÄ var bÅ«t daudz cilvÄku, kuri pieslÄdzas caur WiFi, saÅem dinamisku IP un pat no dažÄdiem tÄ«kla segmentiem. Å eit mÄÄ£iniet izveidot piekļuves sarakstus, pamatojoties uz IP numuriem. Å eit jÅ«s nevarat iztikt bez lietotÄja identifikÄcijas. Un tas ir identitÄtes apzinÄÅ”anÄs asmens, kas mums palÄ«dzÄs Å”ajÄ jautÄjumÄ.
Bet vispirms izdomÄsim, kam lietotÄja identifikÄcija tiek izmantota visbiežÄk?
- Lai ierobežotu piekļuvi tÄ«klam pÄc lietotÄju kontiem, nevis pÄc IP adresÄm. Piekļuvi var regulÄt gan vienkÄrÅ”i internetam, gan jebkuriem citiem tÄ«kla segmentiem, piemÄram, DMZ.
- Piekļuve caur VPN. PiekrÄ«tiet, ka lietotÄjam ir daudz ÄrtÄk autorizÄcijai izmantot savu domÄna kontu, nevis citu izdomÄtu paroli.
- Lai pÄrvaldÄ«tu Check Point, jums ir nepiecieÅ”ams arÄ« konts, kuram var bÅ«t dažÄdas tiesÄ«bas.
- Un labÄkÄ daļa ir ziÅoÅ”ana. Ir daudz patÄ«kamÄk pÄrskatos redzÄt konkrÄtus lietotÄjus, nevis viÅu IP adreses.
TajÄ paÅ”Ä laikÄ Check Point atbalsta divu veidu kontus:
- VietÄjie iekÅ”Äjie lietotÄji. LietotÄjs tiek izveidots pÄrvaldÄ«bas servera lokÄlajÄ datu bÄzÄ.
- ÄrÄjie lietotÄji. ÄrÄjÄ lietotÄju bÄze var bÅ«t Microsoft Active Directory vai jebkurÅ” cits LDAP serveris.
Å odien mÄs runÄsim par piekļuvi tÄ«klam. Lai kontrolÄtu piekļuvi tÄ«klam, Active Directory klÄtbÅ«tnÄ, t.s Piekļuves loma, kas nodroÅ”ina trÄ«s lietotÄja iespÄjas:
- tÄ«kls - t.i. tÄ«kls, ar kuru lietotÄjs mÄÄ£ina izveidot savienojumu
- AD lietotÄjs vai lietotÄju grupa ā Å”ie dati tiek iegÅ«ti tieÅ”i no AD servera
- MaŔīna - darba vieta.
Å ajÄ gadÄ«jumÄ lietotÄja identifikÄciju var veikt vairÄkos veidos:
- REKLÄMAS vaicÄjums. Check Point nolasa AD servera žurnÄlus autentificÄtiem lietotÄjiem un viÅu IP adresÄm. Datori, kas atrodas AD domÄnÄ, tiek identificÄti automÄtiski.
- PÄrlÅ«kprogrammÄ balstÄ«ta autentifikÄcija. IdentifikÄcija, izmantojot lietotÄja pÄrlÅ«kprogrammu (Captive Portal vai Transparent Kerberos). VisbiežÄk izmanto ierÄ«cÄm, kas neatrodas domÄnÄ.
- TerminÄļa serveri. Å ajÄ gadÄ«jumÄ identifikÄcija tiek veikta, izmantojot Ä«paÅ”u terminÄļa aÄ£entu (instalÄts terminÄļa serverÄ«).
Å Ä«s ir trÄ«s visizplatÄ«tÄkÄs iespÄjas, taÄu ir vÄl trÄ«s:
- IdentitÄtes aÄ£enti. LietotÄju datoros ir instalÄts Ä«paÅ”s aÄ£ents.
- IdentitÄtes savÄcÄjs. AtseviŔķa utilÄ«ta, kas ir instalÄta sistÄmÄ Windows Server un vÄrtejas vietÄ apkopo autentifikÄcijas žurnÄlus. Faktiski obligÄta opcija lielam lietotÄju skaitam.
- RADIUS GrÄmatvedÄ«ba. Nu kur gan mÄs bÅ«tu bez vecÄ labÄ RADIUSA.
Å ajÄ apmÄcÄ«bÄ es demonstrÄÅ”u otro iespÄju - Browser-Based. Es domÄju, ka ar teoriju pietiek, pÄriesim pie prakses.
Video pamÄcÄ«ba
Sekojiet lÄ«dzi informÄcijai un pievienojieties mums
Avots: www.habr.com