記念日へようこそ-10回目のレッスン。 今日は、別のCheck PointブレードであるIdentity Awarenessについて説明します。 当初、NGFWについて説明する際に、IPアドレスではなくアカウントに基づいてアクセスを規制することが必須であると判断しました。 これは主に、ユーザーモビリティの向上とBYODモデルの広範な使用(独自のデバイスの持ち込み)によるものです。 会社には、WiFiを介して接続し、動的IPを取得し、さらにはさまざまなネットワークセグメントからも集まってくる人が大勢います。 ここで、ip-shnikovに基づいてアクセスリストを作成してみてください。 ここでは、ユーザーIDなしではできません。 そして、それがこの問題で私たちを助けるアイデンティティ認識ブレードです。
しかし、最初に、ユーザー識別が最も頻繁に使用されるものを把握しましょう。
- IPアドレスではなく、ユーザーアカウントによってネットワークアクセスを制限します。 インターネットへのアクセスと、DMZなどの他のネットワークセグメントへのアクセスの両方を規制できます。
- VPNアクセス。 ユーザーが別の発明されたパスワードよりも、承認のためにドメインアカウントを使用する方がはるかに便利であることに同意します。
- チェックポイントを管理するには、さまざまな権限を持つアカウントも必要です。
- そして、最も楽しい部分はレポーティングです。 IPアドレスではなく、レポートに特定のユーザーを表示する方がはるかに優れています。
同時に、Check Pointは2種類のアカウントをサポートしています。
- ローカル内部ユーザー 。 ユーザーは、管理サーバーのローカルデータベースに作成されます。
- 外部ユーザー 。 Microsoft Active Directoryまたはその他のLDAPサーバーは、外部ユーザーデータベースとして機能できます。
今日は、ネットワークアクセスについて説明します。 ネットワークアクセスを制御するには、Active Directoryの存在下で、いわゆるアクセスロールがオブジェクト(ソースまたは宛先)として使用され、次の3つのユーザーパラメーターを使用できます。
- ネットワーク -つまり ユーザーが接続しようとしているネットワーク
- ADユーザーまたはユーザーグループ -このデータはADサーバーから直接取得されます
- マシン -ワークステーション。
同時に、ユーザー認証はいくつかの方法で実行できます。
- ADクエリ 。 Check Pointは、認証されたユーザーとそのIPアドレスのADサーバーログを読み取ります。 ADドメインにあるコンピューターは自動的に識別されます。
- ブラウザベースの認証 。 ユーザーのブラウザー(Captive PortalまたはTransparent Kerberos)を介した認証。 ドメイン内にないデバイスに最もよく使用されます。
- ターミナルサーバー 。 この場合、識別は特別なターミナルエージェント(ターミナルサーバーにインストールされている)を使用して実行されます。
これらは最も一般的な3つのオプションですが、さらに3つのオプションがあります。
- アイデンティティエージェント 。 ユーザーのコンピューターに特別なエージェントがインストールされます。
- IDコレクター 。 Windows Serverにインストールされ、ゲートウェイではなく認証ログを収集する別個のユーティリティ。 実際、多数のユーザーがいる必須オプション。
- RADIUSアカウンティング 。 さて、古き良きRADIUSがなければどこでも。
このチュートリアルでは、2番目のオプションであるブラウザベースを紹介します。 理論は十分だと思いますので、実践に移りましょう。
ビデオレッスン
もっと楽しみにして、 YouTubeチャンネルに参加してください:)