ОПИСАНИЕ УРОКА
Приветствуем вас в четвертой статье цикла «Континент 4 NGFW Getting Started 2.0»!
В предыдущем материале мы с Вами рассмотрели функции и настройки межсетевого экрана, а также создали базовые политики межсетевого экранирования.
В предыдущем материале мы с Вами рассмотрели функции и настройки межсетевого экрана, а также создали базовые политики межсетевого экранирования.
Статья 4: Работа с пользователями
Все используемые виртуальные машины в данной статье вы можете увидеть на представленной структурной схеме ниже:
Структурная схема с VM для данной статьи
Портал аутентификации
Настройка портала аутентификации состоит из 5 этапов:
- Создать сертификат портала аутентификации
- Создать DNS-запись с порталом аутентификации на DNS-сервере
- Создать сертификат промежуточного центра сертификации
- Прикрепить созданные сертификаты на УБ
- Активировать и настроить компонент идентификации пользователя
1. В Менеджере конфигурации создадим сертификат портала аутентификации.
Переходим в раздел «Администрирование — Персональные сертификаты — Сертификат».
Параметры сертификата:
Переходим в раздел «Администрирование — Персональные сертификаты — Сертификат».
Параметры сертификата:
- Тип сертификата: портал аутентификации;
- Название: FQDN запись, которая будет перенаправлять на внутреннего интерфейса Континент 4 NGFW;
- Остальные поля: произвольно;
- Корневой сертификат: ранее созданный корневой сертификат RSA (2048)
2. Создаем DNS-запись на DNS-сервере с FQDN, аналогичным названию сертификата.
3. В Менеджере конфигурации создадим сертификат перенаправления на портал аутентификации.
Переходим в раздел «Администрирование — Промежуточные центры сертификации — Промежуточный сертификат».
Параметры сертификата произвольные, корневой сертификат аналогичный персональному сертификату.
Переходим в раздел «Администрирование — Промежуточные центры сертификации — Промежуточный сертификат».
Параметры сертификата произвольные, корневой сертификат аналогичный персональному сертификату.
4. Созданные сертификаты прикрепляем к УБ.
Переходим в свойства УБ (в нашем случае это УБ с ЦУС), вкладка «Сертификаты». Прикрепляем сертификат «Портала аутентификации» и сертификат «Перенаправление на портал аутентификации».
Переходим в свойства УБ (в нашем случае это УБ с ЦУС), вкладка «Сертификаты». Прикрепляем сертификат «Портала аутентификации» и сертификат «Перенаправление на портал аутентификации».
5. Переходим в свойства УБ и включаем компонент «Идентификация пользователей».
В разделе «Идентификация пользователей» включаем портал аутентификации. Выбираем интерфейсы узла, доступные порталу идентификации (внутренние).
Диапазон перенаправляемых адресов: LAN1 (192.168.1.0/24).
Диапазон перенаправляемых адресов: LAN1 (192.168.1.0/24).
Сохраняем и устанавливаем политику.
Теперь при попытке открыть любой сайт с подсети 192.168.1.0/24 нас будет автоматически перенаправлять на портал аутентификации.
Это означает, что работает сертификат перенаправления на портал аутентификации. Если открывается портал аутентификации: значит, работает сертификат портала аутентификации.
Теперь при попытке открыть любой сайт с подсети 192.168.1.0/24 нас будет автоматически перенаправлять на портал аутентификации.
Это означает, что работает сертификат перенаправления на портал аутентификации. Если открывается портал аутентификации: значит, работает сертификат портала аутентификации.
Локальные пользователи
Портал аутентификации настроен и успешно работает. Теперь нам необходимо создать пользователей, которых мы сможем на нем аутентифицировать. Для этого создадим локального пользователя.
Перейдем в раздел «Контроль доступа — Список объектов ЦУС — Пользователи» ПКМ на свободную область «Создать». Откроется меню создания локального пользователя.
Обязательными являются три параметра:
Перейдем в раздел «Контроль доступа — Список объектов ЦУС — Пользователи» ПКМ на свободную область «Создать». Откроется меню создания локального пользователя.
Обязательными являются три параметра:
- Учетная запись: логин пользователя;
- Имя пользователя: имя (и фамилия) созданного пользователя;
- Пароль и/или сертификат как метод аутентификации. Для аутентификации на портале нужен пароль
После создания пользователя добавим новое правило, выше ранее созданных правил для выхода в Интернет из локальной сети Центрального офиса.
Позволим нашему пользователю открывать и использовать Telegram.
Позволим нашему пользователю открывать и использовать Telegram.
Сохраняем и устанавливаем политику.
Теперь можно попробовать авторизоваться на портале аутентификации.
В случае успеха выведется оповещение со временем до окончания сессии и клавишей «Выйти».
Теперь можно попробовать авторизоваться на портале аутентификации.
В случае успеха выведется оповещение со временем до окончания сессии и клавишей «Выйти».
Обратите внимание, что нам доступен Telegram, но и доступ до других ресурсов не пропал. Правила срабатывают не только по совпадению пользователя, но и по IP-адресам.
Если мы обратимся в Систему мониторинга и найдем срабатывание по шестому правилу, то увидим, что в поле «Имя отправителя» находится логин пользователя.
Доменные пользователи
Работа с локальными пользователям удобна в частных случаях (например, для VPN, о котором мы поговорим дальше), или для VPN с сертификатами (подробнее в статье про VPN). При большом количестве пользователей гораздо удобнее работать с доменными группами. Добавление групп из каталога AD возможно с помощью LDAP-коннектора. Сделаем его.
Во вкладке «Администрирование» переходим в раздел «LDAP» и далее «Создать LDAP профиль»:
Во вкладке «Администрирование» переходим в раздел «LDAP» и далее «Создать LDAP профиль»:
- Название: произвольное;
- Имя: имя домена;
- База поиска: область поиска в домене;
- Пользователь: логин пользователя с правами на чтение домена;
- Пароль и подтверждение: пароль пользователя;
- Чек-бок включить SSL безопасность: при нажатии на чекбок будет включен режим LDAPS (tcp/636). Без включенного чекбокса будет использоваться режим LDAP (tcp/389);
- Основной и резервные LDAP-серверы: NetBIOS сервера, адрес и порт
Добавим созданный профиль на УБ во вкладке «Структура»: ПКМ по УБ — «Идентификация пользователей» — «Профиль LDAP».
Сохраняем и устанавливаем политику.
Возвращаемся к LDAP профилю и нажимаем «Импорт LDAP-групп». Если подключение к AD будет выполнено успешно, то на экране появится окно импорта LDAP-групп. Импортированные группы появятся во вкладке Объектов ЦУС «Пользователи».
Возвращаемся к LDAP профилю и нажимаем «Импорт LDAP-групп». Если подключение к AD будет выполнено успешно, то на экране появится окно импорта LDAP-групп. Импортированные группы появятся во вкладке Объектов ЦУС «Пользователи».
Мы импортируем ранее созданную группу «Internet Users» в AD и добавляем в ранее созданное правило для локального пользователя.
Сохраним и установим политику.
Сохраним и установим политику.
Переходим на страницу авторизации.
Авторизуемся через доменную учетную запись.
Авторизуемся через доменную учетную запись.
Попробуем также открыть Telegram и другие ресурсы. Правила должны успешно отработать.
Обратимся к системе мониторинга. События, связанные с сигнатурой telegram, должны быть с именем отправителя. В нашем случае отправитель — доменный пользователь
Заключение
На этом четвертая статья подошла к концу. Мы с вами проделали большую работу и настроили портал аутентификации, создали локального пользователя, рассмотрели работу с пользователями, добавили доменную группу. А также посмотрели, как работают правила с пользователями.
Напомним самые важные моменты:
В следующей статье мы в подробностях рассмотрим настройки веб-фильтрации.
Оставайтесь с нами!
Напомним самые важные моменты:
- Портал аутентификации может работать как для всех пользователей, так и для конкретных хостов/подсетей;
- Локальных пользователей рекомендуем использоваться для VPN подключения по сертификатам. Если пользователей много, рекомендуем использовать доменные группы с Active Directory;
- С Active Directory нельзя «подтянуть» конкретного пользователя. Континент 4 NGFW оперирует только доменными группами.
В следующей статье мы в подробностях рассмотрим настройки веб-фильтрации.
Оставайтесь с нами!
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
