ProHoster > Blog > Uprava > 10. Check Point Kako začeti R80.20. Zavedanje identitete

10. Check Point Kako začeti R80.20. Zavedanje identitete

10. Check Point Kako začeti R80.20. Zavedanje identitete

Dobrodošli na obletnici - 10. lekciji. In danes bomo govorili o drugem rezilu Check Point - Zavedanje identitete. Že na začetku, ko smo opisovali NGFW, smo ugotovili, da mora imeti možnost reguliranja dostopa na podlagi računov, ne IP naslovov. To je predvsem posledica povečane mobilnosti uporabnikov in razširjenosti modela BYOD – prinesite svojo napravo. V podjetju je lahko veliko ljudi, ki se povezujejo prek WiFi, prejemajo dinamični IP in celo iz različnih segmentov omrežja. Tukaj poskusite ustvariti sezname dostopov na podlagi številk IP. Tu ne gre brez identifikacije uporabnika. In pri tej zadevi nam bo v pomoč rezilo Identity Awareness.

Najprej pa ugotovimo, za kaj se identifikacija uporabnika najpogosteje uporablja?

  1. Za omejitev dostopa do omrežja z uporabniškimi računi in ne z naslovi IP. Dostop je mogoče regulirati tako preprosto do interneta kot do katerega koli drugega segmenta omrežja, na primer DMZ.
  2. Dostop preko VPN. Strinjam se, da je za uporabnika veliko bolj priročno, da za avtorizacijo uporabi svoj domenski račun kot drugo izmišljeno geslo.
  3. Za upravljanje Check Pointa potrebujete tudi račun, ki ima lahko različne pravice.
  4. In najboljši del je poročanje. Veliko lepše je videti določene uporabnike v poročilih namesto njihovih naslovov IP.

Hkrati Check Point podpira dve vrsti računov:

  • Lokalni notranji uporabniki. Uporabnik se ustvari v lokalni bazi podatkov strežnika za upravljanje.
  • Zunanji uporabniki. Baza zunanjih uporabnikov je lahko Microsoft Active Directory ali kateri koli drug strežnik LDAP.

Danes bomo govorili o dostopu do omrežja. Za nadzor dostopa do omrežja, v prisotnosti Active Directory, ti Vloga dostopa, ki omogoča tri uporabniške možnosti:

  1. mreža - tj. omrežje, s katerim se uporabnik poskuša povezati
  2. AD uporabnik ali uporabniška skupina — ti podatki se črpajo neposredno iz strežnika AD
  3. stroj - delovna postaja.

Identifikacija uporabnika se v tem primeru lahko izvede na več načinov:

  • Poizvedba AD. Check Point bere dnevnike strežnika AD za overjene uporabnike in njihove naslove IP. Računalniki, ki so v domeni AD, so identificirani samodejno.
  • Preverjanje pristnosti v brskalniku. Identifikacija preko uporabnikovega brskalnika (Captive Portal ali Transparent Kerberos). Najpogosteje se uporablja za naprave, ki niso v domeni.
  • Terminalski strežniki. V tem primeru se identifikacija izvede s posebnim terminalskim agentom (nameščenim na terminalskem strežniku).

To so tri najpogostejše možnosti, obstajajo pa še tri:

  • Agenti za identiteto. Na računalnike uporabnikov je nameščen poseben agent.
  • Zbiralec identitete. Ločen pripomoček, ki je nameščen na Windows Server in zbira dnevnike preverjanja pristnosti namesto prehoda. Pravzaprav obvezna možnost za veliko število uporabnikov.
  • RADIUS računovodstvo. No, le kje bi bili brez dobrega starega RADIJA.

V tej vadnici bom prikazal drugo možnost - na podlagi brskalnika. Mislim, da je teorije dovolj, pojdimo k praksi.

Video vadnica

Ostanite z nami za več in se nam pridružite YouTube kanal 🙂

Vir: www.habr.com

Dodaj komentar