16 июня 2023
Идентификация пользователей
Best Practices по Континент 4
Статья 1. Введение
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
Приветствую всех читателей! Сегодня мы с вами рассмотрим компонент идентификация пользователей, портал аутентификации и агента идентификации.
Важным функционалом NGFW является возможность предоставления доступа на основе учетных записей, а не ip-адресов. В некоторых случаях создание правил доступа на основе ip-адресов может оказаться куда сложнее, чем на основе учетных записей. Например, когда необходимо разграничивать доступ пользователей, подключившихся по wi-fi, получивших динамический адрес или пользователей, принадлежащих разным сегментам сети.
В комплексе Континент идентификация пользователей возможна с помощью:
Важным функционалом NGFW является возможность предоставления доступа на основе учетных записей, а не ip-адресов. В некоторых случаях создание правил доступа на основе ip-адресов может оказаться куда сложнее, чем на основе учетных записей. Например, когда необходимо разграничивать доступ пользователей, подключившихся по wi-fi, получивших динамический адрес или пользователей, принадлежащих разным сегментам сети.
В комплексе Континент идентификация пользователей возможна с помощью:
- Портала аутентификации;
- Агента идентификации.
- Локальные (созданы в локальной базе данных ЦУС);
- Импортированные из каталога AD.
Важный момент. Доступ предоставляется группе пользователей Active Directory, а не конкретному пользователю.
Для активации функционала идентификации пользователей необходимо включить соответствующий компонент в свойствах узла безопасности.
Функционал идентификации пользователей будет продемонстрирован на примере доменных пользователей. Для этого создадим профиль-LDAP в разделе «Администрирование»-«LDAP».
После создания профиля необходимо прикрепить его к узлу безопасности в разделе «Идентификации пользователей». Далее сохраним и установим политику.
Импортируем группы. Для этого необходимо в разделе «Администрирование»-«LDAP» выделить созданный ранее профиль и нажать кнопку «Импортировать группы». В качестве примера добавим 2 группы.
В список объектов ЦУС добавится 2 объекта.
Портал аутентификации
Портал аутентификации осуществляет аутентификацию пользователей с помощью веб-интерфейса. При попытке подключиться к веб-странице пользователя перенаправит на портал аутентификации. Пользователю необходимо ввести свои учетные данные на портале. УБ проверяет наличие учетных данных пользователя в локальной базе ЦУС или на сервере AD (если используется доменная учетная запись). Если наличие данных и актуальность подтверждены, то результат проверки перенаправляется обратно на УБ.
После успешной аутентификации на УБ создается временное правило о соответствии имени пользователя IP- адресу, с которого произошла аутентификация.
Приступим к настройке портала аутентификации. Выпустим сертификат портала аутентификации и перенаправления на портал аутентификации, добавим сертификаты на УБ. В разделе идентификация пользователей необходимо активировать портал аутентификации и указать диапазоны адресов, перенаправляемые в портал.
Установите политику, после этого необходимо проверить, добавился ли сертификат для портала аутентификации.
Для корректной работы необходимо добавить соответствующую DNS запись. В рамка стенда внесем изменения в файл hosts.
Модифицируем правила доступа в интернет под номерами 5 и 6, созданные ранее. В качестве отправителя выберем импортированные группы.
Модифицируем правила доступа в интернет под номерами 5 и 6, созданные ранее. В качестве отправителя выберем импортированные группы.
Также необходимо изменить профили фильтрации, ранее они были созданы без учета идентификации пользователей. Т.к объекты в поле «Отправитель» теперь не пересекаются, то необходимо явно блокировать необходимые группы WEB/FTP-фильтров для каждого профиля фильтрации. Добавим в профиль «TLS Admin» группы от Kaspersky, в качестве действия выберем «Блокировать».
Проверим работу портала. При попытке открыть какой-либо веб ресурс нас перенаправит на портал аутентификации.
После успешной аутентификации в системном журнале будут следующие записи:
После аутентификации в журнале сетевой безопасности в сработавших правилах появилась дополнительная информация о пользователе.
Для выхода из учетной записи необходимо перейти на страницу портала и нажать «Выйти».
Длительность сессии пользователя можно настроить в разделе «идентификация пользователей».
Агент идентификации
Помимо портала аутентифицировать пользователей можно с помощью агента идентификации, устанавливаемого на конечное устройство.
На данный момент агент аутентификации устанавливается только на ОС семейства Windows. Перед настройкой агента идентификации необходимо настроить портал аутентификации.
Для получения доступа к ресурсам пользователь запускает агент на компьютере и вводит свои учетные данные. Агент пересылает учетные данные на УБ. Дальнейшие действия идентичны порталу аутентификации.
После установки агента в трее появится значок пользователя. Нажмите правой кнопкой на значок и перейдите в настройки. В поле узел безопасности укажите адрес портала аутентификации.
На данный момент агент аутентификации устанавливается только на ОС семейства Windows. Перед настройкой агента идентификации необходимо настроить портал аутентификации.
Для получения доступа к ресурсам пользователь запускает агент на компьютере и вводит свои учетные данные. Агент пересылает учетные данные на УБ. Дальнейшие действия идентичны порталу аутентификации.
После установки агента в трее появится значок пользователя. Нажмите правой кнопкой на значок и перейдите в настройки. В поле узел безопасности укажите адрес портала аутентификации.
Нажмите правой кнопкой на значок агента в трее, далее «установить соединение». Откроется окно аутентификации, введите учетные данные и нажмите «подключить»
После этого появится уведомление об успешном подключении.
В системном журнале будут следующие записи. В поле приложение, мы видим, что аутентификации была произведена с помощью агента.
На этом мы заканчиваем. В следующей статье рассмотрим компонент система обнаружения вторжений, модуль поведенческого анализа и GeoProtection.
Автор: Никита Семёнов, инженер TS Solution.
Автор: Никита Семёнов, инженер TS Solution.