Welkom bij het jubileum - 10e les. En vandaag zullen we het hebben over een ander Check Point-mes - Identiteitsbewustzijn. Helemaal aan het begin, toen we NGFW beschreven, hebben we vastgesteld dat het de toegang moet kunnen reguleren op basis van accounts, niet op basis van IP-adressen. Dit is vooral te danken aan de toegenomen mobiliteit van gebruikers en de wijdverspreide verspreiding van het BYOD-model: breng je eigen apparaat mee. Er kunnen veel mensen in een bedrijf zijn die verbinding maken via WiFi, een dynamisch IP-adres ontvangen en zelfs vanuit verschillende netwerksegmenten. Probeer hier toegangslijsten te maken op basis van IP-nummers. Hier kunt u niet zonder gebruikersidentificatie. En het is het Identity Awareness-blad dat ons hierbij zal helpen.
Maar laten we eerst eens kijken waarvoor gebruikersidentificatie het vaakst wordt gebruikt?
- Om netwerktoegang te beperken op basis van gebruikersaccounts in plaats van op basis van IP-adressen. De toegang tot internet en tot andere netwerksegmenten, bijvoorbeeld DMZ, kan eenvoudig worden geregeld.
- Toegang via VPN. Ben het ermee eens dat het voor de gebruiker veel handiger is om zijn domeinaccount te gebruiken voor autorisatie, in plaats van een ander verzonnen wachtwoord.
- Om Check Point te beheren heeft u bovendien een account nodig dat mogelijk over diverse rechten beschikt.
- En het leukste is de verslaggeving. Het is veel leuker om specifieke gebruikers in rapporten te zien in plaats van hun IP-adressen.
Tegelijkertijd ondersteunt Check Point twee soorten accounts:
- Lokale interne gebruikers. De gebruiker wordt aangemaakt in de lokale database van de beheerserver.
- Externe gebruikers. Microsoft Active Directory of een andere LDAP-server kan als externe gebruikersbasis fungeren.
Vandaag zullen we het hebben over netwerktoegang. Om de netwerktoegang te controleren, in de aanwezigheid van Active Directory, de zogenaamde Toegangsrol, waarmee drie gebruikersopties mogelijk zijn:
- Netwerk - d.w.z. het netwerk waarmee de gebruiker verbinding probeert te maken
- AD-gebruiker of gebruikersgroep — deze gegevens worden rechtstreeks van de AD-server gehaald
- Machine - werkplek.
In dit geval kan gebruikersidentificatie op verschillende manieren worden uitgevoerd:
- AD-query. Check Point leest de AD-serverlogboeken voor geverifieerde gebruikers en hun IP-adressen. Computers die zich in het AD-domein bevinden, worden automatisch geïdentificeerd.
- Browsergebaseerde authenticatie. Identificatie via de browser van de gebruiker (Captive Portal of Transparent Kerberos). Meestal gebruikt voor apparaten die zich niet in een domein bevinden.
- Terminal Servers. In dit geval wordt de identificatie uitgevoerd met behulp van een speciale terminalagent (geïnstalleerd op de terminalserver).
Dit zijn de drie meest voorkomende opties, maar er zijn er nog drie:
- Identiteitsagenten. Op de computers van gebruikers wordt een speciale agent geïnstalleerd.
- Identiteitsverzamelaar. Een afzonderlijk hulpprogramma dat op Windows Server wordt geïnstalleerd en verificatielogboeken verzamelt in plaats van de gateway. Eigenlijk een verplichte optie voor grote aantallen gebruikers.
- RADIUS-boekhouding. Nou, waar zouden we zijn zonder de goede oude RADIUS.
In deze tutorial zal ik de tweede optie demonstreren: browsergebaseerd. Ik denk dat de theorie voldoende is, laten we verder gaan met de praktijk.
Video-instructies
Blijf op de hoogte voor meer en doe mee 🙂
Bron: www.habr.com