ProHoster > Blog > administração > 10. Primeiros passos do Check Point R80.20. Consciência de Identidade

10. Primeiros passos do Check Point R80.20. Consciência de Identidade

10. Primeiros passos do Check Point R80.20. Consciência de Identidade

Bem-vindo ao aniversário - 10ª lição. E hoje falaremos sobre outra lâmina Check Point - Consciência de Identidade. Logo no início, ao descrever o NGFW, determinamos que ele deveria ser capaz de regular o acesso com base em contas, não em endereços IP. Isto se deve principalmente ao aumento da mobilidade dos usuários e à ampla disseminação do modelo BYOD – traga seu próprio dispositivo. Pode haver muitas pessoas em uma empresa que se conectam via WiFi, recebem um IP dinâmico e até de segmentos de rede diferentes. Tente criar listas de acesso baseadas em números IP aqui. Aqui você não pode prescindir da identificação do usuário. E é a lâmina Identity Awareness que nos ajudará nessa questão.

Mas primeiro, vamos descobrir para que a identificação do usuário é usada com mais frequência.

  1. Para restringir o acesso à rede por contas de usuário e não por endereços IP. O acesso pode ser regulado simplesmente à Internet e a quaisquer outros segmentos de rede, por exemplo DMZ.
  2. Acesso via VPN. Concorde que é muito mais conveniente para o usuário usar sua conta de domínio para autorização, em vez de outra senha inventada.
  3. Para gerenciar o Check Point, você também precisa de uma conta que pode ter vários direitos.
  4. E a melhor parte são os relatórios. É muito melhor ver usuários específicos em relatórios do que seus endereços IP.

Ao mesmo tempo, a Check Point oferece suporte a dois tipos de contas:

  • Usuários internos locais. O usuário é criado no banco de dados local do servidor de gerenciamento.
  • Usuários Externos. A base de usuários externa pode ser o Microsoft Active Directory ou qualquer outro servidor LDAP.

Hoje falaremos sobre acesso à rede. Para controlar o acesso à rede, na presença do Active Directory, os chamados Função de acesso, que permite três opções de usuário:

  1. Network - ou seja a rede à qual o usuário está tentando se conectar
  2. Usuário AD ou Grupo de Usuários — esses dados são extraídos diretamente do servidor AD
  3. Lavagem - posto de trabalho.

Neste caso, a identificação do usuário pode ser realizada de diversas maneiras:

  • Consulta AD. Check Point lê os logs do servidor AD para usuários autenticados e seus endereços IP. Os computadores que estão no domínio AD são identificados automaticamente.
  • Autenticação baseada em navegador. Identificação através do navegador do usuário (Captive Portal ou Transparent Kerberos). Usado com mais frequência para dispositivos que não estão em um domínio.
  • Servidores de terminais. Neste caso, a identificação é realizada através de um agente terminal especial (instalado no servidor terminal).

Estas são as três opções mais comuns, mas existem mais três:

  • Agentes de Identidade. Um agente especial é instalado nos computadores dos usuários.
  • Coletor de identidade. Um utilitário separado instalado no Windows Server e que coleta logs de autenticação em vez do gateway. Na verdade, uma opção obrigatória para um grande número de usuários.
  • Contabilidade RADIUS. Bem, onde estaríamos sem o bom e velho RADIUS.

Neste tutorial irei demonstrar a segunda opção - Baseado em navegador. Acho que basta a teoria, vamos passar à prática.

Vídeo tutorial

Fique ligado para mais e junte-se ao nosso Canal no YouTube 🙂

Fonte: habr.com

Adicionar um comentário