Yıldönümüne hoş geldiniz - 10. ders. Bugün başka bir Check Point bıçağından bahsedeceğiz - Kimlik Farkındalığı. Başlangıçta NGFW'yi tanımlarken erişimi IP adreslerine göre değil hesaplara göre düzenleyebilmesi gerektiğini belirledik. Bunun temel nedeni kullanıcıların artan mobilitesi ve BYOD modelinin yaygınlaşmasıdır - kendi cihazınızı getirin. Bir şirkette WiFi üzerinden bağlanan, dinamik IP alan, hatta farklı ağ segmentlerinden çok sayıda insan olabilir. Burada IP numaralarına göre erişim listeleri oluşturmayı deneyin. Burada kullanıcı kimliği olmadan yapamazsınız. Ve bu konuda bize yardımcı olacak olan da Kimlik Farkındalığı bıçağıdır.
Ancak önce, kullanıcı kimliğinin en sık hangi amaçla kullanıldığını bulalım.
- Ağ erişimini IP adresleri yerine kullanıcı hesaplarına göre kısıtlamak için. Erişim hem basitçe İnternet'e hem de DMZ gibi diğer ağ bölümlerine düzenlenebilir.
- VPN aracılığıyla erişim. Kullanıcının yetkilendirme için başka bir icat edilen şifre yerine kendi etki alanı hesabını kullanmasının çok daha uygun olduğunu kabul edin.
- Check Point'i yönetmek için çeşitli haklara sahip olabilecek bir hesaba da ihtiyacınız var.
- Ve en iyi kısmı raporlamadır. Raporlarda IP adresleri yerine belirli kullanıcıları görmek çok daha güzel.
Check Point aynı zamanda iki tür hesabı da destekler:
- Yerel Dahili Kullanıcılar. Kullanıcı, yönetim sunucusunun yerel veritabanında oluşturulur.
- Harici kullanıcılar. Harici kullanıcı tabanı Microsoft Active Directory veya başka herhangi bir LDAP sunucusu olabilir.
Bugün ağ erişimi hakkında konuşacağız. Ağ erişimini kontrol etmek için, Active Directory'nin varlığında, sözde Erişim Rolü, üç kullanıcı seçeneğine izin verir:
- ağ - yani kullanıcının bağlanmaya çalıştığı ağ
- AD Kullanıcısı veya Kullanıcı Grubu — bu veriler doğrudan AD sunucusundan alınır
- makine - iş istasyonu.
Bu durumda kullanıcı tanımlama birkaç yolla gerçekleştirilebilir:
- Reklam Sorgusu. Check Point, kimliği doğrulanmış kullanıcılar ve IP adresleri için AD sunucusu günlüklerini okur. AD etki alanındaki bilgisayarlar otomatik olarak tanımlanır.
- Tarayıcı Tabanlı Kimlik Doğrulama. Kullanıcının tarayıcısı (Captive Portal veya Şeffaf Kerberos) aracılığıyla tanımlama. Çoğu zaman bir etki alanında olmayan cihazlar için kullanılır.
- Terminal sunucuları. Bu durumda tanımlama, özel bir terminal aracısı (terminal sunucusuna kurulu) kullanılarak gerçekleştirilir.
Bunlar en yaygın üç seçenektir, ancak üç tane daha vardır:
- Kimlik Aracıları. Kullanıcıların bilgisayarlarına özel bir aracı kurulur.
- Kimlik Toplayıcı. Windows Server'a yüklenen ve ağ geçidi yerine kimlik doğrulama günlüklerini toplayan ayrı bir yardımcı program. Aslında çok sayıda kullanıcı için zorunlu bir seçenek.
- RADIUS Muhasebesi. Peki, eski güzel RADIUS olmasaydı nerede olurduk?
Bu eğitimde ikinci seçeneği göstereceğim - Tarayıcı Tabanlı. Teorinin yeterli olduğunu düşünüyorum, uygulamaya geçelim.
Video dersi
Daha fazlası için bizi takip etmeye devam edin ve aramıza katılın 🙂
Kaynak: habr.com