Geekly articles weekly

10. تحقق نقطة البدء R80.20. الوعي الهوية



مرحبًا بكم في الذكرى - الدرس العاشر. واليوم سوف نتحدث عن شفرة نقطة تفتيش أخرى - الوعي بالهوية . في البداية ، عند وصف NGFW ، قررنا أنه من الضروري له التحكم في الوصول استنادًا إلى الحسابات ، وليس عناوين IP. هذا يرجع في المقام الأول إلى زيادة تنقل المستخدمين والاستخدام الواسع لنموذج BYOD - إحضار جهازك الخاص. قد يكون لدى الشركة مجموعة من الأشخاص الذين يتصلون عبر شبكة WiFi ، ويحصلون على عنوان IP ديناميكي ، وحتى من قطاعات شبكة مختلفة. حاول هنا إنشاء قوائم الوصول على أساس IP-shnikov. هنا لا يمكنك الاستغناء عن هوية المستخدم. وهذا هو شفرة الوعي بالهوية التي ستساعدنا في هذا الأمر.

ولكن أولاً ، دعنا نتعرف على تعريف المستخدم في أغلب الأحيان.

  1. لتقييد الوصول إلى الشبكة بواسطة حسابات المستخدمين ، وليس عناوين IP. يمكن تنظيم الوصول ببساطة إلى الإنترنت وإلى أي قطاعات شبكة أخرى ، على سبيل المثال DMZ.
  2. وصول VPN. توافق على أنه من الأنسب للمستخدم استخدام حساب مجاله للترخيص ، بدلاً من استخدام كلمة مرور أخرى تم اختراعها.
  3. لإدارة نقطة التفتيش ، أنت بحاجة أيضًا إلى حساب يمكن أن يكون له حقوق متعددة.
  4. والجزء الأكثر متعة هو الإبلاغ. من الأفضل رؤية مستخدمين محددين في التقارير وليس عناوين IP الخاصة بهم.

في الوقت نفسه ، تدعم Check Point نوعين من الحسابات:

  • المستخدمين الداخليين المحليين . يتم إنشاء المستخدم في قاعدة البيانات المحلية لخادم الإدارة.
  • المستخدمين الخارجيين . يمكن أن يعمل Microsoft Active Directory أو أي خادم LDAP آخر كقاعدة بيانات مستخدم خارجي.

اليوم سنتحدث عن الوصول إلى الشبكة. للتحكم في الوصول إلى الشبكة ، في وجود Active Directory ، يتم استخدام ما يسمى دور الوصول ككائن (المصدر أو الوجهة) ، والذي يسمح لك باستخدام ثلاثة معلمات مستخدم:

  1. الشبكة - أي الشبكة التي يحاول المستخدم الاتصال بها
  2. مستخدم AD أو مجموعة مستخدم - يتم سحب هذه البيانات مباشرة من خادم AD
  3. آلة - محطة العمل.

في الوقت نفسه ، يمكن إجراء مصادقة المستخدم بعدة طرق:

  • استعلام م . تحقق Check Point سجلات خادم AD للمستخدمين المصادق عليهم وعناوين IP الخاصة بهم. يتم تحديد أجهزة الكمبيوتر الموجودة في مجال الإعلانات تلقائيًا.
  • المصادقة المستندة إلى المستعرض . المصادقة من خلال متصفح المستخدم (Captive Portal أو شفاف Kerberos). غالبًا ما تستخدم للأجهزة غير الموجودة في المجال.
  • خوادم المحطة الطرفية . في هذه الحالة ، يتم تحديد الهوية باستخدام عامل طرفي خاص (مثبت على خادم المحطة الطرفية).

هذه هي الخيارات الثلاثة الأكثر شيوعًا ، ولكن هناك ثلاثة خيارات أخرى:

  • وكلاء الهوية . يتم تثبيت وكيل خاص على أجهزة كمبيوتر المستخدمين.
  • جامع الهوية . أداة مساعدة منفصلة مثبتة على Windows Server وتجمع سجلات المصادقة بدلاً من العبارة. في الواقع ، خيار إلزامي مع عدد كبير من المستخدمين.
  • RADIUS المحاسبة . حسنا ، وأين دون RADIUS القديم الجيد.

في هذا البرنامج التعليمي ، سأعرض الخيار الثاني - المستندة إلى المستعرض. أعتقد نظرية كافية ، دعنا ننتقل إلى الممارسة.

درس فيديو




تابع المزيد وانضم إلى قناتنا على YouTube :)

Source: https://habr.com/ru/post/ar450526/

More articles:


All Articles