Bem-vindo ao aniversário - 10ª lição. E hoje falaremos sobre outra lâmina Check Point - Consciência de Identidade. Logo no início, ao descrever o NGFW, determinamos que ele deveria ser capaz de regular o acesso com base em contas, não em endereços IP. Isto se deve principalmente ao aumento da mobilidade dos usuários e à ampla disseminação do modelo BYOD – traga seu próprio dispositivo. Pode haver muitas pessoas em uma empresa que se conectam via WiFi, recebem um IP dinâmico e até de segmentos de rede diferentes. Tente criar listas de acesso baseadas em números IP aqui. Aqui você não pode prescindir da identificação do usuário. E é a lâmina Identity Awareness que nos ajudará nessa questão.
Mas primeiro, vamos descobrir para que a identificação do usuário é usada com mais frequência.
- Para restringir o acesso à rede por contas de usuário e não por endereços IP. O acesso pode ser regulado simplesmente à Internet e a quaisquer outros segmentos de rede, por exemplo DMZ.
- Acesso via VPN. Concorde que é muito mais conveniente para o usuário usar sua conta de domínio para autorização, em vez de outra senha inventada.
- Para gerenciar o Check Point, você também precisa de uma conta que pode ter vários direitos.
- E a melhor parte são os relatórios. É muito melhor ver usuários específicos em relatórios do que seus endereços IP.
Ao mesmo tempo, a Check Point oferece suporte a dois tipos de contas:
- Usuários internos locais. O usuário é criado no banco de dados local do servidor de gerenciamento.
- Usuários Externos. A base de usuários externa pode ser o Microsoft Active Directory ou qualquer outro servidor LDAP.
Hoje falaremos sobre acesso à rede. Para controlar o acesso à rede, na presença do Active Directory, os chamados Função de acesso, que permite três opções de usuário:
- Network - ou seja a rede à qual o usuário está tentando se conectar
- Usuário AD ou Grupo de Usuários — esses dados são extraídos diretamente do servidor AD
- Lavagem - posto de trabalho.
Neste caso, a identificação do usuário pode ser realizada de diversas maneiras:
- Consulta AD. Check Point lê os logs do servidor AD para usuários autenticados e seus endereços IP. Os computadores que estão no domínio AD são identificados automaticamente.
- Autenticação baseada em navegador. Identificação através do navegador do usuário (Captive Portal ou Transparent Kerberos). Usado com mais frequência para dispositivos que não estão em um domínio.
- Servidores de terminais. Neste caso, a identificação é realizada através de um agente terminal especial (instalado no servidor terminal).
Estas são as três opções mais comuns, mas existem mais três:
- Agentes de Identidade. Um agente especial é instalado nos computadores dos usuários.
- Coletor de identidade. Um utilitário separado instalado no Windows Server e que coleta logs de autenticação em vez do gateway. Na verdade, uma opção obrigatória para um grande número de usuários.
- Contabilidade RADIUS. Bem, onde estaríamos sem o bom e velho RADIUS.
Neste tutorial irei demonstrar a segunda opção - Baseado em navegador. Acho que basta a teoria, vamos passar à prática.
Vídeo tutorial
Fique ligado para mais e junte-se ao nosso
Fonte: habr.com