Geekly articles weekly

10. Check Point Getting Started R80.20. Sensibilisation à l'identité



Bienvenue à l'anniversaire - 10e leçon. Et aujourd'hui, nous allons parler d'une autre lame de Check Point - Identity Awareness . Au tout début, lors de la description de NGFW, nous avons déterminé qu'il était obligatoire pour lui de réglementer l'accès en fonction des comptes et non des adresses IP. Cela est principalement dû à la mobilité accrue des utilisateurs et à l'utilisation généralisée du modèle BYOD - apportez votre propre appareil. L'entreprise peut avoir un tas de personnes qui se connectent via le WiFi, obtiennent une IP dynamique et même à partir de différents segments de réseau. Essayez ici de créer des listes d'accès basées sur ip-shnikov. Ici, vous ne pouvez pas vous passer de l'identification de l'utilisateur. Et c'est la lame de sensibilisation à l'identité qui nous aidera dans cette affaire.

Mais d'abord, découvrons à quoi sert l'identification de l'utilisateur le plus souvent.

  1. Pour restreindre l'accès au réseau par les comptes d'utilisateurs et non par les adresses IP. L'accès peut être réglementé à la fois simplement à Internet et à tout autre segment de réseau, par exemple DMZ.
  2. Accès VPN. Convenez qu'il est beaucoup plus pratique pour l'utilisateur d'utiliser son compte de domaine pour l'autorisation, plutôt qu'un autre mot de passe inventé.
  3. Pour gérer le Check Point, vous avez également besoin d'un compte qui peut avoir différents droits.
  4. Et la partie la plus agréable est le reporting. Il est beaucoup plus agréable de voir des utilisateurs spécifiques dans les rapports, pas leurs adresses IP.

En même temps, Check Point prend en charge deux types de comptes:

  • Utilisateurs internes locaux . L'utilisateur est créé dans la base de données locale du serveur de gestion.
  • Utilisateurs externes . Microsoft Active Directory ou tout autre serveur LDAP peut agir comme une base de données d'utilisateurs externe.

Aujourd'hui, nous allons parler de l'accès au réseau. Pour contrôler l'accès au réseau, en présence d'Active Directory, le soi-disant rôle d'accès est utilisé comme un objet (source ou destination), ce qui vous permet d'utiliser trois paramètres utilisateur:

  1. Réseau - c.-à-d. le réseau auquel l'utilisateur tente de se connecter
  2. Utilisateur AD ou groupe d'utilisateurs - ces données sont extraites directement du serveur AD
  3. Machine - un poste de travail.

Dans le même temps, l'authentification des utilisateurs peut être effectuée de plusieurs manières:

  • Requête AD . Check Point lit les journaux du serveur AD pour les utilisateurs authentifiés et leurs adresses IP. Les ordinateurs qui sont dans le domaine AD sont automatiquement identifiés.
  • Authentification basée sur le navigateur . Authentification via le navigateur de l'utilisateur (portail captif ou Kerberos transparent). Le plus souvent utilisé pour les appareils qui ne sont pas dans un domaine.
  • Serveurs terminaux . Dans ce cas, l'identification est effectuée à l'aide d'un agent terminal spécial (installé sur le serveur terminal).

Ce sont les trois options les plus courantes, mais il y en a trois autres:

  • Agents d'identité . Un agent spécial est installé sur les ordinateurs des utilisateurs.
  • Collecteur d'identité . Un utilitaire distinct installé sur Windows Server et collecte les journaux d'authentification au lieu d'une passerelle. En fait, une option obligatoire avec un grand nombre d'utilisateurs.
  • Comptabilité RADIUS . Eh bien, et où sans le bon vieux RADIUS.

Dans ce tutoriel, je vais démontrer la deuxième option - basée sur un navigateur. Je pense que suffisamment de théorie, passons à la pratique.

Leçon vidéo




Restez à l'écoute pour en savoir plus et rejoignez notre chaîne YouTube :)

Source: https://habr.com/ru/post/fr450526/

More articles:


All Articles