Континент 4 Getting Started 2.0. Работа с пользователями

Приветствуем вас в четвертой статье цикла «Континент 4 NGFW Getting Started 2.0»!

В предыдущем материале мы с Вами рассмотрели функции и настройки межсетевого экрана, а также создали базовые политики межсетевого экранирования.

Все используемые в данной статье виртуальные машины вы можете увидеть на представленной структурной схеме ниже:

Структурная схема с VM для данной статьи

Структурная схема с VM для данной статьи

ПОРТАЛ АУТЕНТИФИКАЦИИ

Настройка портала аутентификации состоит из 5 этапов:

1 Создать сертификат портала аутентификации

2 Создать DNS-запись с порталом аутентификации на DNS-сервере

3 Создать сертификат промежуточного центра сертификации

4 Прикрепить созданные сертификаты на УБ

5 Активировать и настроить компонент идентификации пользователя

1. В Менеджере конфигурации создадим сертификат портала аутентификации.

Переходим в раздел «Администрирование — Персональные сертификаты — Сертификат».

Параметры сертификата:

  • Тип сертификата: портал аутентификации;

  • Название: FQDN запись, которая будет перенаправлять на внутреннего интерфейса Континент 4 NGFW;

  • Остальные поля: произвольно;

  • Корневой сертификат: ранее созданный корневой сертификат RSA (2048)

3b94fa3c91ae4f76b0c815ae68aa8daa.png

2. Создаем DNS-запись на DNS-сервере с FQDN, аналогичным названию сертификата.

18a236c8c54c185d6562cf538b4b54fa.png

3. В Менеджере конфигурации создадим сертификат перенаправления на портал аутентификации.

Переходим в раздел «Администрирование — Промежуточные центры сертификации — Промежуточный сертификат».

Параметры сертификата произвольные, корневой сертификат аналогичный персональному сертификату.

373026fe1a0e5e4d3d5f01da7f38dd9d.png

4. Созданные сертификаты прикрепляем к УБ.

Переходим в свойства УБ (в нашем случае это УБ с ЦУС), вкладка «Сертификаты». Прикрепляем сертификат «Портала аутентификации» и сертификат «Перенаправление на портал аутентификации».

e46b2f5727595a5efda16b54a958716a.png

5. Переходим в свойства УБ и включаем компонент «Идентификация пользователей».

a644c3d489aea3fed319f6bd510fc67e.png

В разделе «Идентификация пользователей» включаем портал аутентификации. Выбираем интерфейсы узла, доступные порталу идентификации (внутренние).

Диапазон перенаправляемых адресов: LAN1 (192.168.1.0/24).

0f1561235218771cfed8352a92149cd3.png

Сохраняем и устанавливаем политику.

Теперь при попытке открыть любой сайт с подсети 192.168.1.0/24 нас будет автоматически перенаправлять на портал аутентификации.

Это означает, что работает сертификат перенаправления на портал аутентификации. Если открывается портал аутентификации: значит, работает сертификат портала аутентификации.

796fc794bc47adc002a98d5096c21271.png

ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ

Портал аутентификации настроен и успешно работает. Теперь нам необходимо создать пользователей, которых мы сможем на нем аутентифицировать. Для этого создадим локального пользователя.

Перейдем в раздел «Контроль доступа — Список объектов ЦУС — Пользователи» ПКМ на свободную область «Создать». Откроется меню создания локального пользователя.

Обязательными являются три параметра:

  • Учетная запись: логин пользователя;

  • Имя пользователя: имя (и фамилия) созданного пользователя;

  • Пароль и/или сертификат как метод аутентификации. Для аутентификации на портале нужен пароль

a835b88a4a25670f25ba833b485b1522.pngfb777cf4c7a68b4f8c8acf47635b4322.png

После создания пользователя добавим новое правило, выше ранее созданных правил для выхода в Интернет из локальной сети Центрального офиса.

Позволим нашему пользователю открывать и использовать Telegram.

04777dbf8b838d62a869701f82510c34.png

Сохраняем и устанавливаем политику.

Теперь можно попробовать авторизоваться на портале аутентификации.

В случае успеха выведется оповещение со временем до окончания сессии и клавишей «Выйти».

edfd7fd45275b0772157a5579a21cb74.png3d52dd8bc9ebc6eaed1fe150ae902370.png

Обратите внимание, что нам доступен Telegram, но и доступ до других ресурсов не пропал. Правила срабатывают не только по совпадению пользователя, но и по IP-адресам.

ec99587b1103368f76bfa0d6669ef5e5.png

Если мы обратимся в Систему мониторинга и найдем срабатывание по шестому правилу, то увидим, что в поле «Имя отправителя» находится логин пользователя.

7c76d4f63c8349834196cc634dc18f1c.png

ДОМЕННЫЕ ПОЛЬЗОВАТЕЛИ

Работа с локальными пользователям удобна в частных случаях (например, для VPN, о котором мы поговорим дальше), или для VPN с сертификатами (подробнее в статье про VPN). При большом количестве пользователей гораздо удобнее работать с доменными группами. Добавление групп из каталога AD возможно с помощью LDAP-коннектора. Сделаем его.

Во вкладке «Администрирование» переходим в раздел «LDAP» и далее «Создать LDAP профиль»:

  • Название: произвольное;

  • Имя: имя домена;

  • База поиска: область поиска в домене;

  • Пользователь: логин пользователя с правами на чтение домена;

  • Пароль и подтверждение: пароль пользователя;

  • Чек-бок включить SSL безопасность: при нажатии на чекбок будет включен режим LDAPS (tcp/636). Без включенного чекбокса будет использоваться режим LDAP (tcp/389);

  • Основной и резервные LDAP-серверы: NetBIOS сервера, адрес и порт

6a6351ee08d9e62824d26a27ca8f5b4b.png

Добавим созданный профиль на УБ во вкладке «Структура»: ПКМ по УБ — «Идентификация пользователей» — «Профиль LDAP».

d08ab5b000f675511c33374c727021ac.png

Сохраняем и устанавливаем политику.

Возвращаемся к LDAP профилю и нажимаем «Импорт LDAP-групп». Если подключение к AD будет выполнено успешно, то на экране появится окно импорта LDAP-групп. Импортированные группы появятся во вкладке Объектов ЦУС «Пользователи».

fb968c53c2236b842c19fa9623e79523.png

Мы импортируем ранее созданную группу «Internet Users» в AD и добавляем в ранее созданное правило для локального пользователя.

Сохраним и установим политику.

d51f5bdd5ee3057248144d1e5ddf69ce.png

Переходим на страницу авторизации.

Авторизуемся через доменную учетную запись.

e3599693ab643a0bd47dddc216a8d5de.png80645ecd058bfed227a4170e00fc882e.png

Попробуем также открыть Telegram и другие ресурсы. Правила должны успешно отработать.

81b0e2c955f059c5f6cf49d95ee7f879.png

Обратимся к системе мониторинга. События, связанные с сигнатурой telegram, должны быть с именем отправителя. В нашем случае отправитель — доменный пользователь

d859db436767dfe58faca9af984858b1.png

ЗАКЛЮЧЕНИЕ

На этом четвертая статья подошла к концу. Мы с вами проделали большую работу и настроили портал аутентификации, создали локального пользователя, рассмотрели работу с пользователями, добавили доменную группу. А также посмотрели, как работают правила с пользователями.

Напомним самые важные моменты:

  • Портал аутентификации может работать как для всех пользователей, так и для конкретных хостов/подсетей;

  • Локальных пользователей рекомендуем использоваться для VPN подключения по сертификатам. Если пользователей много, рекомендуем использовать доменные группы с Active Directory;

  • С Active Directory нельзя «подтянуть» конкретного пользователя. Континент 4 NGFW оперирует только доменными группами.

В следующей статье мы в подробностях рассмотрим настройки веб-фильтрации.

Оставайтесь с нами!

Все знаковые новости мира кибербеза, практические кейсы внедрения и настройки решений, а также приглашения на полезные обучения уже ждут вас на наших каналах:

© Habrahabr.ru