Ласкаво просимо на ювілейний – 10-й урок. І сьогодні ми поговоримо про ще один блейд Check Point. Identity Awareness. Ще на самому початку, при описі NGFW, ми визначили, що для нього обов'язковою є можливість регулювання доступу на основі облікових записів, а не IP-адрес. Пов'язано це насамперед із підвищеною мобільністю користувачів та повсюдним поширенням моделі BYOD – bring your own device. У компанії може бути купа народу, які підключаються WiFi, отримують динамічний IP, та ще й з різних сегментів мережі. Спробуй тут створити аксес-листи на основі ip-шників. Тут уже без ідентифікації користувачів не обійтись. І ось саме блейд Identity Awareness допоможе нам у цій справі.
Але для початку давайте розберемося, навіщо найчастіше використовується ідентифікація користувачів?
- Для обмеження доступу до мережі за обліковими записами користувачів, а не за IP-адресами. Доступ може регулюватися як до Інтернету, так і в будь-які інші мережні сегменти, наприклад DMZ.
- Доступ до VPN. Погодьтеся, що користувачеві набагато зручніше використовувати свій домен для авторизації, а не ще один придуманий пароль.
- Для управління Check Point-ом так само необхідний обліковий запис, який може мати різні права.
- І найприємніша частина — Звітність. Набагато приємніше бачити у звітах конкретних користувачів, а не їх IP-адреси.
При цьому Check Point підтримує два типи облікових записів:
- Local Internal Users. Користувач створюється на локальній базі сервера управління.
- Зовнішні користувачі. Як зовнішня база користувачів може виступати Microsoft Active Directory або будь-який інший LDAP-сервер.
Ми сьогодні говоритимемо про мережний доступ. Для керування мережним доступом, за наявності Active Directory, як об'єкт (source або destination) використовується так званий Access Role, який дозволяє використовувати три параметри користувача:
- мережу - Тобто. мережу, з якою користувач намагається підключитися
- AD User або User Group - Ці дані висмикуються безпосередньо з AD сервера
- машина - робоча станція.
При цьому ідентифікація користувачів може бути виконана декількома способами:
- AD Запит. Check Point зчитує логи AD сервера щодо аутентифікованих користувачів та їх IP-адрес. Комп'ютери, які знаходяться в домені AD, ідентифікуються автоматично.
- Browser-Based Authentication. Ідентифікація через браузер користувача (Captive Portal або Transparent Kerberos). Найчастіше використовується для пристроїв, які не в домені.
- Термінальні сервери. І тут ідентифікація здійснюється з допомогою спеціального термінального агента (встановлюється термінальний сервер).
це три найпоширеніші варіанти, але є ще три:
- Identity Agents. На комп'ютери користувачів ставиться спеціальний агент.
- Identity Collector. Окрема утиліта, яка ставиться на Windows Server та збирає логи аутентифікації замість шлюзу. Фактично обов'язковий варіант за великої кількості користувачів.
- РАДІУС Облік. Ну і куди без старого доброго RADIUS.
У цьому уроці я продемонструю другий варіант Browser-Based. Думаю достатньо теорії, давайте вже перейдемо до практики.
Відео урок
Stay tuned for more and join our 🙂
Джерело: habr.com