Velkommen til jubileum - 10. leksjon. Og i dag skal vi snakke om et annet Check Point-blad - Identitetsbevissthet. Helt i begynnelsen, da vi beskrev NGFW, bestemte vi at den må kunne regulere tilgang basert på kontoer, ikke IP-adresser. Dette skyldes først og fremst den økte mobiliteten til brukerne og den utbredte spredningen av BYOD-modellen – ta med din egen enhet. Det kan være mange mennesker i et selskap som kobler til via WiFi, mottar en dynamisk IP, og til og med fra forskjellige nettverkssegmenter. Prøv å lage tilgangslister basert på IP-numre her. Her kan du ikke klare deg uten brukeridentifikasjon. Og det er Identity Awareness-bladet som vil hjelpe oss i denne saken.
Men først, la oss finne ut hva brukeridentifikasjon brukes oftest til?
- For å begrense nettverkstilgang av brukerkontoer i stedet for IP-adresser. Tilgang kan reguleres både enkelt til Internett og til andre nettverkssegmenter, for eksempel DMZ.
- Tilgang via VPN. Enig at det er mye mer praktisk for brukeren å bruke sin domenekonto for autorisasjon, i stedet for et annet oppfunnet passord.
- For å administrere Check Point trenger du også en konto som kan ha ulike rettigheter.
- Og det beste er å rapportere. Det er mye bedre å se spesifikke brukere i rapporter i stedet for deres IP-adresser.
Samtidig støtter Check Point to typer kontoer:
- Lokale interne brukere. Brukeren opprettes i den lokale databasen til administrasjonsserveren.
- Eksterne brukere. Den eksterne brukerbasen kan være Microsoft Active Directory eller en hvilken som helst annen LDAP-server.
I dag skal vi snakke om nettverkstilgang. For å kontrollere nettverkstilgang, i nærvær av Active Directory, den såkalte Tilgangsrolle, som tillater tre brukeralternativer:
- Network - dvs. nettverket brukeren prøver å koble seg til
- AD-bruker eller brukergruppe — disse dataene hentes direkte fra AD-serveren
- Machine - arbeidsstasjon.
I dette tilfellet kan brukeridentifikasjon utføres på flere måter:
- AD-spørring. Check Point leser AD-serverloggene for autentiserte brukere og deres IP-adresser. Datamaskiner som er i AD-domenet identifiseres automatisk.
- Nettleserbasert autentisering. Identifikasjon gjennom brukerens nettleser (Captive Portal eller Transparent Kerberos). Brukes oftest for enheter som ikke er i et domene.
- Terminalservere. I dette tilfellet utføres identifisering ved hjelp av en spesiell terminalagent (installert på terminalserveren).
Dette er de tre vanligste alternativene, men det er tre til:
- Identitetsagenter. En spesiell agent er installert på brukernes datamaskiner.
- Identitetssamler. Et eget verktøy som er installert på Windows Server og samler inn autentiseringslogger i stedet for gatewayen. Faktisk et obligatorisk alternativ for et stort antall brukere.
- RADIUS Regnskap. Vel, hvor ville vi vært uten den gode gamle RADIUS.
I denne opplæringen vil jeg demonstrere det andre alternativet - nettleserbasert. Jeg tror teori er nok, la oss gå videre til praksis.
Videoopplæring
Følg med for mer og bli med oss
Kilde: www.habr.com