Geekly articles weekly

10. Check Point Erste Schritte R80.20. Identitätsbewusstsein



Willkommen zum Jubiläum - 10. Lektion. Und heute werden wir über ein weiteres Check Point Blade sprechen - Identity Awareness . Gleich zu Beginn der Beschreibung von NGFW stellten wir fest, dass er den Zugriff auf der Grundlage von Konten und nicht von IP-Adressen regeln muss. Dies ist in erster Linie auf die erhöhte Benutzermobilität und die weit verbreitete Verwendung des BYOD-Modells zurückzuführen - bringen Sie Ihr eigenes Gerät mit. Das Unternehmen verfügt möglicherweise über eine Reihe von Personen, die eine Verbindung über WLAN herstellen, eine dynamische IP-Adresse erhalten und sogar aus verschiedenen Netzwerksegmenten stammen. Versuchen Sie hier, Zugriffslisten basierend auf ip-shnikov zu erstellen. Hier können Sie nicht auf die Benutzeridentifikation verzichten. Und das ist die Klinge für das Identitätsbewusstsein, die uns in dieser Angelegenheit helfen wird.

Aber zuerst wollen wir herausfinden, wofür die Benutzeridentifikation am häufigsten verwendet wird.

  1. So beschränken Sie den Netzwerkzugriff durch Benutzerkonten, nicht durch IP-Adressen. Der Zugang kann sowohl einfach zum Internet als auch zu anderen Netzwerksegmenten, beispielsweise DMZ, geregelt werden.
  2. VPN-Zugang. Stimmen Sie zu, dass es für den Benutzer viel bequemer ist, sein Domain-Konto für die Autorisierung zu verwenden, als ein anderes erfundenes Passwort.
  3. Zum Verwalten des Check Points benötigen Sie außerdem ein Konto mit verschiedenen Rechten.
  4. Und der angenehmste Teil ist die Berichterstattung. Es ist viel schöner, bestimmte Benutzer in Berichten zu sehen, nicht ihre IP-Adressen.

Gleichzeitig unterstützt Check Point zwei Arten von Konten:

  • Lokale interne Benutzer . Der Benutzer wird in der lokalen Datenbank des Verwaltungsservers erstellt.
  • Externe Benutzer . Das Microsoft Active Directory oder ein anderer LDAP-Server kann als externe Benutzerdatenbank fungieren.

Heute werden wir über den Netzwerkzugriff sprechen. Zur Steuerung des Netzwerkzugriffs wird bei Vorhandensein von Active Directory die sogenannte Zugriffsrolle als Objekt (Quelle oder Ziel) verwendet, mit dem Sie drei Benutzerparameter verwenden können:

  1. Netzwerk - d.h. das Netzwerk, zu dem der Benutzer eine Verbindung herstellen möchte
  2. AD-Benutzer oder Benutzergruppe - Diese Daten werden direkt vom AD-Server abgerufen
  3. Maschine - eine Workstation.

Gleichzeitig kann die Benutzerauthentifizierung auf verschiedene Arten durchgeführt werden:

  • AD-Abfrage . Check Point liest die AD-Serverprotokolle für authentifizierte Benutzer und deren IP-Adressen. Computer in der AD-Domäne werden automatisch identifiziert.
  • Browserbasierte Authentifizierung . Authentifizierung über den Browser des Benutzers (Captive Portal oder Transparent Kerberos). Wird am häufigsten für Geräte verwendet, die sich nicht in einer Domäne befinden.
  • Terminalserver . In diesem Fall erfolgt die Identifizierung mit einem speziellen Terminalagenten (auf dem Terminalserver installiert).

Dies sind die drei häufigsten Optionen, aber es gibt drei weitere:

  • Identitätsagenten . Auf den Computern der Benutzer ist ein spezieller Agent installiert.
  • Identitätssammler . Ein separates Dienstprogramm, das auf Windows Server installiert ist und Authentifizierungsprotokolle anstelle eines Gateways sammelt. In der Tat eine obligatorische Option mit einer großen Anzahl von Benutzern.
  • RADIUS-Buchhaltung . Nun, und wo ohne den guten alten RADIUS.

In diesem Tutorial werde ich die zweite Option demonstrieren - Browser-basiert. Ich denke genug Theorie, lass uns zur Praxis übergehen.

Videolektion




Bleib dran für mehr und trete unserem YouTube-Kanal bei :)

Source: https://habr.com/ru/post/de450526/

More articles:


All Articles