Geekly articles weekly

10. Periksa Titik Memulai R80.20. Kesadaran Identitas



Selamat datang di hari peringatan ke 10 - pelajaran ke 10. Dan hari ini kita akan berbicara tentang pisau Titik Periksa lain - Kesadaran Identitas . Pada awalnya, ketika menggambarkan NGFW, kami memutuskan bahwa itu wajib baginya untuk mengatur akses berdasarkan akun, bukan alamat IP. Hal ini terutama disebabkan oleh peningkatan mobilitas pengguna dan meluasnya penggunaan model BYOD - bawa perangkat Anda sendiri. Perusahaan mungkin memiliki banyak orang yang terhubung melalui WiFi, mendapatkan IP dinamis, dan bahkan dari segmen jaringan yang berbeda. Coba di sini buat daftar akses berdasarkan ip-shnikov. Di sini Anda tidak dapat melakukannya tanpa identifikasi pengguna. Dan itu adalah pisau Kesadaran Identitas yang akan membantu kita dalam masalah ini.

Tapi pertama-tama, mari kita cari tahu apa identifikasi pengguna yang paling sering digunakan.

  1. Untuk membatasi akses jaringan dengan akun pengguna, bukan alamat IP. Akses dapat diatur baik hanya ke Internet, dan ke segmen jaringan lain, misalnya DMZ.
  2. Akses VPN. Setuju bahwa jauh lebih nyaman bagi pengguna untuk menggunakan akun domain mereka untuk otorisasi, daripada kata sandi yang ditemukan.
  3. Untuk mengelola Titik Periksa, Anda juga memerlukan akun yang dapat memiliki berbagai hak.
  4. Dan bagian yang paling menyenangkan adalah Pelaporan. Jauh lebih baik melihat pengguna tertentu dalam laporan, bukan alamat IP mereka.

Pada saat yang sama, Titik Periksa mendukung dua jenis akun:

  • Pengguna Internal Lokal . Pengguna dibuat di database lokal server manajemen.
  • Pengguna Eksternal . Microsoft Active Directory atau server LDAP lainnya dapat bertindak sebagai basis data pengguna eksternal.

Hari ini kita akan berbicara tentang akses jaringan. Untuk mengontrol akses jaringan, di hadapan Direktori Aktif, yang disebut Peran Akses digunakan sebagai objek (sumber atau tujuan), yang memungkinkan Anda untuk menggunakan tiga parameter pengguna:

  1. Jaringan - mis. jaringan yang coba disambungkan pengguna
  2. Pengguna AD atau Grup Pengguna - data ini diambil langsung dari server AD
  3. Mesin - workstation.

Pada saat yang sama, otentikasi pengguna dapat dilakukan dengan beberapa cara:

  • Permintaan AD . Check Point membaca log server AD untuk pengguna terotentikasi dan alamat IP mereka. Komputer yang berada dalam domain AD secara otomatis diidentifikasi.
  • Otentikasi Berbasis Browser . Otentikasi melalui browser pengguna (Captive Portal atau Transparent Kerberos). Paling sering digunakan untuk perangkat yang tidak ada dalam domain.
  • Server Terminal . Dalam hal ini, identifikasi dilakukan menggunakan agen terminal khusus (dipasang pada server terminal).

Ini adalah tiga opsi yang paling umum, tetapi ada tiga lagi:

  • Agen Identitas . Agen khusus dipasang di komputer pengguna.
  • Kolektor Identitas . Utilitas terpisah yang diinstal pada Windows Server dan mengumpulkan log otentikasi alih-alih gateway. Bahkan, opsi wajib dengan sejumlah besar pengguna.
  • Akuntansi RADIUS . Nah, dan di mana tanpa RADIUS tua yang baik.

Dalam tutorial ini, saya akan menunjukkan opsi kedua - Berbasis Browser. Saya pikir cukup teori, mari kita lanjutkan ke latihan.

Pelajaran video




Nantikan lebih lanjut dan bergabunglah dengan saluran YouTube kami :)

Source: https://habr.com/ru/post/id450526/

More articles:


All Articles