Geekly articles weekly

10. Check Point Getting Started R80.20. Conciencia de identidad



Bienvenido al aniversario: décima lección. Y hoy hablaremos de otra hoja de Check Point: Conciencia de identidad . Al principio, al describir NGFW, determinamos que era obligatorio para él regular el acceso basado en cuentas, no en direcciones IP. Esto se debe principalmente al aumento de la movilidad del usuario y al uso generalizado del modelo BYOD: traiga su propio dispositivo. La compañía puede tener un grupo de personas que se conectan a través de WiFi, obtienen una IP dinámica e incluso de diferentes segmentos de red. Intente aquí crear listas de acceso basadas en ip-shnikov. Aquí no puede prescindir de la identificación del usuario. Y esa es la hoja de Conciencia de Identidad que nos ayudará en este asunto.

Pero primero, descubramos para qué se usa la identificación de usuario con más frecuencia.

  1. Para restringir el acceso a la red por cuentas de usuario, no por direcciones IP. El acceso se puede regular simplemente a Internet y a cualquier otro segmento de red, por ejemplo, DMZ.
  2. Acceso a VPN. Acuerde que es mucho más conveniente para el usuario usar su cuenta de dominio para autorización, en lugar de otra contraseña inventada.
  3. Para administrar el Punto de control, también necesita una cuenta que pueda tener varios derechos.
  4. Y la parte más agradable es la presentación de informes. Es mucho mejor ver usuarios específicos en los informes, no sus direcciones IP.

Al mismo tiempo, Check Point admite dos tipos de cuentas:

  • Usuarios internos locales . El usuario se crea en la base de datos local del servidor de administración.
  • Usuarios externos El Active Directory de Microsoft o cualquier otro servidor LDAP puede actuar como una base de datos de usuarios externos.

Hoy hablaremos sobre el acceso a la red. Para controlar el acceso a la red, en presencia de Active Directory, el llamado Rol de acceso se utiliza como un objeto (origen o destino), lo que le permite utilizar tres parámetros de usuario:

  1. Red - es decir la red a la que el usuario intenta conectarse
  2. Usuario de AD o grupo de usuarios : estos datos se extraen directamente del servidor de AD
  3. Máquina : una estación de trabajo.

Al mismo tiempo, la autenticación de usuario se puede realizar de varias maneras:

  • Consulta de AD . Check Point lee los registros del servidor AD para usuarios autenticados y sus direcciones IP. Las computadoras que están en el dominio AD se identifican automáticamente.
  • Autenticación basada en navegador . Autenticación a través del navegador del usuario (Portal cautivo o Kerberos transparente). La mayoría de las veces se usa para dispositivos que no están en un dominio.
  • Servidores terminales . En este caso, la identificación se lleva a cabo utilizando un agente terminal especial (instalado en el servidor terminal).

Estas son las tres opciones más comunes, pero hay tres más:

  • Agentes de identidad . Se instala un agente especial en las computadoras de los usuarios.
  • Identity Collector . Una utilidad separada que se instala en Windows Server y recopila registros de autenticación en lugar de una puerta de enlace. De hecho, una opción obligatoria con una gran cantidad de usuarios.
  • RADIO Contabilidad . Bueno, y donde sin el buen viejo RADIO.

En este tutorial, demostraré la segunda opción: basada en el navegador. Creo que suficiente teoría, pasemos a practicar.

Lección de video




Estén atentos para más y únase a nuestro canal de YouTube :)

Source: https://habr.com/ru/post/450526/

More articles:


All Articles