ProHoster > BLOG > administrare > 10. Check Point Introducere R80.20. Conștientizarea identității

10. Check Point Introducere R80.20. Conștientizarea identității

10. Check Point Introducere R80.20. Conștientizarea identității

Bun venit la aniversare - a 10-a lecție. Și astăzi vom vorbi despre o altă lamă Check Point - Conștientizarea identității. La început, când descriem NGFW, am stabilit că acesta trebuie să poată reglementa accesul pe baza conturilor, nu a adreselor IP. Acest lucru se datorează în primul rând mobilității crescute a utilizatorilor și răspândirii pe scară largă a modelului BYOD - aduceți-vă propriul dispozitiv. Pot exista o mulțime de oameni într-o companie care se conectează prin WiFi, primesc un IP dinamic și chiar din diferite segmente de rețea. Încercați să creați aici liste de acces pe baza numerelor IP. Aici nu te poți descurca fără identificarea utilizatorului. Și lama Identity Awareness este cea care ne va ajuta în această chestiune.

Dar mai întâi, să ne dăm seama pentru ce este folosită cel mai des identificarea utilizatorului?

  1. Pentru a restricționa accesul la rețea prin conturile de utilizator, mai degrabă decât prin adrese IP. Accesul poate fi reglat atât pur și simplu la Internet, cât și la orice alte segmente de rețea, de exemplu DMZ.
  2. Acces prin VPN. Sunteți de acord că este mult mai convenabil pentru utilizator să-și folosească contul de domeniu pentru autorizare, decât o altă parolă inventată.
  3. Pentru a gestiona Check Point, aveți nevoie și de un cont care poate avea diferite drepturi.
  4. Și cea mai bună parte este raportarea. Este mult mai plăcut să vezi anumiți utilizatori în rapoarte, mai degrabă decât adresele lor IP.

În același timp, Check Point acceptă două tipuri de conturi:

  • Utilizatori interni locali. Utilizatorul este creat în baza de date locală a serverului de management.
  • Utilizatori externi. Microsoft Active Directory sau orice alt server LDAP poate acționa ca o bază externă de utilizatori.

Astăzi vom vorbi despre accesul la rețea. Pentru a controla accesul la rețea, în prezența Active Directory, așa-numitul Rol de acces, care permite trei opțiuni de utilizator:

  1. Reţea - adica rețeaua la care utilizatorul încearcă să se conecteze
  2. Utilizator sau grup de utilizatori AD — aceste date sunt extrase direct de pe serverul AD
  3. Mașină - stație de lucru.

În acest caz, identificarea utilizatorului poate fi efectuată în mai multe moduri:

  • Interogare AD. Check Point citește jurnalele de server AD pentru utilizatorii autentificați și adresele IP ale acestora. Calculatoarele care se află în domeniul AD sunt identificate automat.
  • Autentificare bazată pe browser. Identificare prin browserul utilizatorului (Captive Portal sau Transparent Kerberos). Cel mai adesea folosit pentru dispozitive care nu se află într-un domeniu.
  • Servere terminale. În acest caz, identificarea se realizează folosind un agent terminal special (instalat pe serverul terminal).

Acestea sunt cele mai comune trei opțiuni, dar mai sunt trei:

  • Agenți de identitate. Un agent special este instalat pe computerele utilizatorilor.
  • Colector de identitate. Un utilitar separat care este instalat pe Windows Server și colectează jurnalele de autentificare în loc de gateway. De fapt, o opțiune obligatorie pentru un număr mare de utilizatori.
  • Contabilitate RADIUS. Ei bine, unde am fi fără vechiul bun RADIUS.

În acest tutorial voi demonstra a doua opțiune - bazată pe browser. Cred că teoria este suficientă, să trecem la practică.

Lecție video

Rămâneți pe fază pentru mai multe și alăturați-vă nouă Canalului YouTube ????

Sursa: www.habr.com

Adauga un comentariu