Witamy na rocznicowej - 10. lekcji. A dzisiaj porozmawiamy o kolejnym ostrzu Check Point - Świadomość tożsamości. Już na samym początku opisując NGFW ustaliliśmy, że musi mieć możliwość regulowania dostępu na podstawie kont, a nie adresów IP. Wynika to przede wszystkim ze zwiększonej mobilności użytkowników i powszechnego upowszechnienia się modelu BYOD – przynieś własne urządzenie. W firmie może być wiele osób, które łączą się przez Wi-Fi, otrzymują dynamiczny adres IP, a nawet z różnych segmentów sieci. Spróbuj tutaj utworzyć listy dostępu na podstawie numerów IP. Tutaj nie można obejść się bez identyfikacji użytkownika. I właśnie Ostrze Świadomości Tożsamości pomoże nam w tej kwestii.
Ale najpierw zastanówmy się, do czego najczęściej wykorzystywana jest identyfikacja użytkownika?
- Aby ograniczyć dostęp do sieci według kont użytkowników, a nie adresów IP. Dostęp można regulować zarówno do Internetu, jak i do dowolnych innych segmentów sieci, na przykład DMZ.
- Dostęp przez VPN. Zgadzam się, że dla użytkownika znacznie wygodniejsze jest używanie konta domeny do autoryzacji niż innego wymyślonego hasła.
- Do zarządzania Check Point potrzebne jest także konto, które może mieć różne uprawnienia.
- A najlepsze jest raportowanie. O wiele przyjemniej jest widzieć w raportach konkretnych użytkowników, a nie ich adresy IP.
Jednocześnie Check Point obsługuje dwa typy kont:
- Lokalni użytkownicy wewnętrzni. Użytkownik jest tworzony w lokalnej bazie danych serwera zarządzania.
- Zewnętrzni użytkownicy. Zewnętrzną bazą użytkowników może być Microsoft Active Directory lub dowolny inny serwer LDAP.
Dzisiaj porozmawiamy o dostępie do sieci. Aby kontrolować dostęp do sieci, w obecności Active Directory, stosuje się tzw Rola dostępu, co pozwala na trzy opcje użytkownika:
- Sieć - tj. sieć, z którą użytkownik próbuje się połączyć
- Użytkownik AD lub grupa użytkowników — te dane są pobierane bezpośrednio z serwera AD
- Maszyna - stanowisko pracy.
W tym przypadku identyfikacja użytkownika może odbywać się na kilka sposobów:
- Zapytanie AD. Check Point odczytuje logi serwera AD dotyczące uwierzytelnionych użytkowników i ich adresów IP. Komputery znajdujące się w domenie AD są identyfikowane automatycznie.
- Uwierzytelnianie oparte na przeglądarce. Identyfikacja poprzez przeglądarkę użytkownika (Captive Portal lub Transparent Kerberos). Najczęściej używany w przypadku urządzeń, które nie znajdują się w domenie.
- Serwery terminalowe. W tym przypadku identyfikacja odbywa się za pomocą specjalnego agenta terminalowego (zainstalowanego na serwerze terminali).
Oto trzy najczęstsze opcje, ale są jeszcze trzy:
- Agenci tożsamości. Na komputerach użytkowników instalowany jest agent specjalny.
- Kolekcjoner tożsamości. Oddzielne narzędzie instalowane w systemie Windows Server i zbierające dzienniki uwierzytelniania zamiast bramy. W rzeczywistości opcja obowiązkowa dla dużej liczby użytkowników.
- Rachunkowość RADIUS. Cóż byśmy byli bez starego, dobrego RADIUSA.
W tym samouczku zademonstruję drugą opcję - opartą na przeglądarce. Myślę, że teoria wystarczy, przejdźmy do praktyki.
Film instruktażowy
Czekajcie na więcej i dołączcie do nas
Źródło: www.habr.com