Bài viết này hướng dẫn các bạn về Identity Awareness trên thiết bị firewall Check Point. - Identity Awareness (IA) cho phép bạn thêm user, user group, và machine identity vào lớp an ninh của bạn. Theo truyền thống, tường lửa sử dụng địa chỉ IP để giám sát lưu lượng truy cập và không biết về danh tính người dùng và máy tính đằng sau các địa chỉ IP đó. - Identity Awareness ánh xạ người dùng và danh tính máy tính tới địa chỉ IP, cho phép bạn thực thi quyền truy cập và kiểm tra dữ liệu dựa trên danh tính. Identity Awareness là một giải pháp dễ triển khai và có thể mở rộng. Nó có thể áp dụng cho cả mạng dựa trên Active Directory và non-Active Directory, cũng như cho nhân viên và người dùng khách. Check Point hỗ trợ cả người dùng local và external users. Local users được xác định trên Security Management Server. External users là những người được quản lý bởi Active Directory, RADIUS, LDAP server. - Access Role xác định users, computers, and network là một đối tượng và có thể được sử dụng làm nguồn hoặc đích trong quy tắc. - Access Role có thể bao gồm một hoặc nhiều đối tượng này : Networks Users and user groups Computers and computer groups Remote access clients - Identity Awareness Software Blade cung cấp nhiều phương pháp để lấy danh tính của người dùng, bao gồm : AD Query, Browser-Based, Identity Agents, RADIUS Accounting, Remote Access clients, Identity Collector and the Identity Web API. - Trong bài viết này chúng ta chỉ đề cập đến Browser-Based. 1.Enabling Identity Awareness - Mở Security Gateway và đánh dấu Identity Awareness. - Trong pop-up menu, đánh dấu AD Query và Browser-Based Authentication - Chọn Next. Tại đây ta sẽ kết nối đến AD Server. Trong ví dụ AD server đặt tại vùng DMZ, với địa chỉ IP 172.16.20.100. - Bạn cần chỉ định Domain Name, Username, Password, và IP address của AD server. - Chọn Connect và đợi “Successfully connected!” message xuất hiện và chọn Next. - Một cửa sổ giải thích cách thiết lập Browser-Based Authentication, chọn Next. - Tại cửa sổ này hiển thị cho bạn bản tóm tắt các cài đặt và cung cấp hướng dẫn ngắn gọn về cách thiết lập IA với chính sách bảo mật của bạn. Chọn Finish. - Thoát khỏi Security Gateway. - Bạn cần publish các thay đổi. 2.Thêm Identity Awareness vào Security Policy - Đi đến objects menu và chọn New > More > User > Access Role. - Thiết lập tên cho Access Role object. - Để Any Network trong Networks Tab. Đi đến Users tab và chọn group bạn muốn sử dụng. - Chọn OK. - Chỉnh sửa Security Policy, tại rule số 5, xóa LanNetwork object và thay bằng Access Role object. - Chúng ta cần activate Captive Portal. Right-click trên Accept Action và chọn More. - Đánh dấu Enable Identity Captive Portal. - Chúng ta cần tạo rule cho phép DNS hoạt động, đặt rule này phía trên rule bạn vừa chỉnh sửa. 3.Testing Identity Awareness - Thử truy cập bất kì Website nào, bạn sẽ nhìn thấy authentication prompt từ Captive Portal. - Nhập username và password và chọn Log In. Sau khi xác thực thành công bạn sẽ truy cập được Website. Tại thời điểm này, bạn sẽ có thể truy cập các web khác mà không cần xác thực bổ sung. - Mở SmartConsole và đi đến Identity Awareness logs. - Double click lên log entry để xem chi tiết. !!! Cám ơn các bạn đã theo dõi bài viết !!!
