Geekly articles weekly

10. Ponto de verificação Introdução R80.20. Consciência da identidade



Bem-vindo ao aniversário - 10ª lição. E hoje falaremos sobre outra lâmina Check Point - Identity Awareness . No início, ao descrever o NGFW, determinamos que era obrigatório para ele regular o acesso com base em contas, não em endereços IP. Isso se deve principalmente ao aumento da mobilidade do usuário e ao amplo uso do modelo BYOD - traga seu próprio dispositivo. A empresa pode ter várias pessoas que se conectam via Wi-Fi, obtêm um IP dinâmico e até de diferentes segmentos de rede. Tente aqui criar listas de acesso com base no ip-shnikov. Aqui você não pode ficar sem a identificação do usuário. E essa é a lâmina de conscientização de identidade que nos ajudará nesse assunto.

Mas primeiro, vamos descobrir para que a identificação do usuário é mais usada.

  1. Para restringir o acesso à rede por contas de usuário, não endereços IP. O acesso pode ser regulado simplesmente à Internet e a qualquer outro segmento de rede, por exemplo, DMZ.
  2. Acesso VPN. Concorde que é muito mais conveniente para o usuário usar sua conta de domínio para autorização, em vez de outra senha inventada.
  3. Para gerenciar o Check Point, você também precisa de uma conta que possa ter vários direitos.
  4. E a parte mais agradável é a geração de relatórios. É muito melhor ver usuários específicos nos relatórios, não seus endereços IP.

Ao mesmo tempo, o Check Point suporta dois tipos de contas:

  • Usuários Internos Locais . O usuário é criado no banco de dados local do servidor de gerenciamento.
  • Usuários Externos . O Microsoft Active Directory ou qualquer outro servidor LDAP pode atuar como um banco de dados de usuário externo.

Hoje falaremos sobre acesso à rede. Para controlar o acesso à rede, na presença do Active Directory, a chamada Função de Acesso é usada como um objeto (origem ou destino), que permite usar três parâmetros do usuário:

  1. Rede - ou seja, a rede à qual o usuário está tentando se conectar
  2. Usuário ou grupo de usuários do AD - esses dados são extraídos diretamente do servidor AD
  3. Máquina - uma estação de trabalho.

Ao mesmo tempo, a autenticação do usuário pode ser realizada de várias maneiras:

  • Consulta do AD . O Check Point lê os logs do servidor AD para usuários autenticados e seus endereços IP. Os computadores que estão no domínio do AD são identificados automaticamente.
  • Autenticação baseada em navegador . Autenticação através do navegador do usuário (Captive Portal ou Transparent Kerberos). Geralmente usado para dispositivos que não estão em um domínio.
  • Servidores de terminal . Nesse caso, a identificação é realizada usando um agente de terminal especial (instalado no servidor de terminal).

Estas são as três opções mais comuns, mas existem mais três:

  • Agentes de identidade . Um agente especial está instalado nos computadores dos usuários.
  • Coletor de Identidade . Um utilitário separado que é instalado no Windows Server e coleta logs de autenticação em vez de um gateway. De fato, uma opção obrigatória com um grande número de usuários.
  • Contabilidade RADIUS . Bem, e onde, sem o bom e velho RADIUS.

Neste tutorial, demonstrarei a segunda opção - baseada em navegador. Acho teoria suficiente, vamos seguir praticando.

Vídeo aula




Fique ligado para mais e participe do nosso canal do YouTube :)

Source: https://habr.com/ru/post/pt450526/

More articles:


All Articles