Maligayang pagdating sa anibersaryo - ika-10 aralin. At ngayon ay pag-uusapan natin ang tungkol sa isa pang talim ng Check Point - Kamalayan sa Pagkakakilanlan. Sa umpisa pa lang, kapag inilalarawan ang NGFW, natukoy namin na dapat itong makapag-regulate ng access batay sa mga account, hindi sa mga IP address. Pangunahin ito dahil sa tumaas na kadaliang mapakilos ng mga user at sa malawakang pagkalat ng modelong BYOD - magdala ng sarili mong device. Maaaring may maraming tao sa isang kumpanya na kumonekta sa pamamagitan ng WiFi, tumatanggap ng isang dynamic na IP, at kahit na mula sa iba't ibang mga segment ng network. Subukang gumawa ng mga listahan ng access batay sa mga IP number dito. Dito hindi mo magagawa nang walang pagkakakilanlan ng user. At ang talim ng Identity Awareness ang tutulong sa atin sa usaping ito.
Ngunit una, alamin natin kung para saan ang user identification ang kadalasang ginagamit?
- Upang paghigpitan ang pag-access sa network ng mga user account sa halip na sa pamamagitan ng mga IP address. Ang pag-access ay maaaring kontrolin pareho sa Internet at sa anumang iba pang mga segment ng network, halimbawa DMZ.
- Pag-access sa pamamagitan ng VPN. Sumang-ayon na mas maginhawa para sa user na gamitin ang kanyang domain account para sa pahintulot, kaysa sa isa pang imbentong password.
- Upang pamahalaan ang Check Point, kailangan mo rin ng isang account na maaaring may iba't ibang mga karapatan.
- At ang pinakamagandang bahagi ay ang pag-uulat. Mas masarap makakita ng mga partikular na user sa mga ulat kaysa sa kanilang mga IP address.
Kasabay nito, sinusuportahan ng Check Point ang dalawang uri ng mga account:
- Mga Lokal na Panloob na Gumagamit. Ang user ay nilikha sa lokal na database ng management server.
- Mga Panlabas na Gumagamit. Ang Microsoft Active Directory o anumang iba pang LDAP server ay maaaring kumilos bilang isang panlabas na base ng gumagamit.
Ngayon ay pag-uusapan natin ang tungkol sa pag-access sa network. Upang kontrolin ang pag-access sa network, sa pagkakaroon ng Active Directory, ang tinatawag na Tungkulin sa Pag-access, na nagbibigay-daan sa tatlong opsyon ng user:
- network - ibig sabihin. ang network na sinusubukang kumonekta ng user
- AD User o User Group β ang data na ito ay direktang kinuha mula sa AD server
- Makina - istasyon ng trabaho.
Sa kasong ito, maaaring isagawa ang pagkakakilanlan ng user sa maraming paraan:
- AD Query. Binabasa ng Check Point ang mga log ng AD server para sa mga napatotohanang user at ang kanilang mga IP address. Awtomatikong nakikilala ang mga computer na nasa AD domain.
- Pagpapatunay na Nakabatay sa Browser. Pagkilala sa pamamagitan ng browser ng user (Captive Portal o Transparent Kerberos). Kadalasang ginagamit para sa mga device na wala sa isang domain.
- Mga Terminal Server. Sa kasong ito, ang pagkakakilanlan ay isinasagawa gamit ang isang espesyal na ahente ng terminal (naka-install sa terminal server).
Ito ang tatlong pinakakaraniwang opsyon, ngunit may tatlo pa:
- Mga Ahente ng Pagkakakilanlan. Ang isang espesyal na ahente ay naka-install sa mga computer ng mga gumagamit.
- Kolektor ng Pagkakakilanlan. Isang hiwalay na utility na naka-install sa Windows Server at nangongolekta ng mga log ng pagpapatunay sa halip na ang gateway. Sa katunayan, isang ipinag-uutos na opsyon para sa malaking bilang ng mga user.
- RADIUS Accounting. Well, saan tayo kung wala ang magandang lumang RADIUS.
Sa tutorial na ito ay ipapakita ko ang pangalawang opsyon - Browser-Based. I think theory is enough, let's move on to practice.
Video tutorial
Manatiling nakatutok para sa higit pa at sumali sa amin π
Pinagmulan: www.habr.com