Vitajte na výročí - 10. lekcia. A dnes budeme hovoriť o ďalšej čepeli Check Point - Uvedomenie si identity. Na úplnom začiatku, pri popise NGFW sme určili, že musí byť schopný regulovať prístup na základe účtov, nie IP adries. Je to spôsobené predovšetkým zvýšenou mobilitou používateľov a rozšíreným rozšírením modelu BYOD – prineste si vlastné zariadenie. V spoločnosti môže byť veľa ľudí, ktorí sa pripájajú cez WiFi, prijímajú dynamickú IP a dokonca z rôznych segmentov siete. Skúste tu vytvoriť zoznamy prístupových práv na základe čísel IP. Tu sa nezaobídete bez identifikácie používateľa. A práve čepeľ Identity Awareness nám v tejto veci pomôže.
Najprv si však poďme zistiť, na čo sa najčastejšie používa identifikácia používateľa?
- Na obmedzenie prístupu k sieti podľa používateľských účtov, a nie podľa IP adries. Prístup je možné regulovať tak jednoducho na internet, ako aj do iných segmentov siete, napríklad DMZ.
- Prístup cez VPN. Súhlaste s tým, že pre používateľa je oveľa pohodlnejšie použiť na autorizáciu svoj doménový účet ako ďalšie vymyslené heslo.
- Na správu Check Point potrebujete aj účet, ktorý môže mať rôzne práva.
- A najlepšie na tom je podávanie správ. Je oveľa krajšie vidieť konkrétnych používateľov v prehľadoch ako ich IP adresy.
Check Point zároveň podporuje dva typy účtov:
- Lokálni interní používatelia. Používateľ je vytvorený v lokálnej databáze riadiaceho servera.
- Externí používatelia. Externou užívateľskou základňou môže byť Microsoft Active Directory alebo akýkoľvek iný LDAP server.
Dnes budeme hovoriť o prístupe k sieti. Na riadenie prístupu k sieti sa v prítomnosti Active Directory používa tzv Prístupová rola, ktorý umožňuje tri užívateľské možnosti:
- sieť - t.j. sieť, ku ktorej sa používateľ pokúša pripojiť
- Používateľ AD alebo skupina používateľov — tieto údaje sa získavajú priamo z AD servera
- Stroj - pracovná stanica.
V tomto prípade možno identifikáciu používateľa vykonať niekoľkými spôsobmi:
- AD dotaz. Check Point číta denníky AD servera pre overených používateľov a ich IP adresy. Počítače, ktoré sú v AD doméne, sú identifikované automaticky.
- Autentifikácia založená na prehliadači. Identifikácia cez prehliadač používateľa (Captivní portál alebo Transparent Kerberos). Najčastejšie sa používa pre zariadenia, ktoré nie sú v doméne.
- Terminálové servery. V tomto prípade sa identifikácia vykonáva pomocou špeciálneho terminálového agenta (inštalovaného na terminálovom serveri).
Toto sú tri najbežnejšie možnosti, ale existujú tri ďalšie:
- Agenti identity. Na počítačoch používateľov je nainštalovaný špeciálny agent.
- Zberateľ identity. Samostatná pomôcka, ktorá sa inštaluje na Windows Server a zhromažďuje protokoly overovania namiesto brány. V skutočnosti povinná možnosť pre veľké množstvo používateľov.
- Účtovníctvo RADIUS. No kde by sme boli bez starého dobrého RADIUSU.
V tomto návode ukážem druhú možnosť – Browser-Based. Myslím, že teórie stačí, prejdime k praxi.
Video tutoriál
Zostaňte naladení na ďalšie a pripojte sa k nám
Zdroj: hab.com