Identity awareness (IA) FAQ — TS Solution

Общие вопросы.

 

  1. Какой функционал предоставляет Identity Awareness Software Blade?

Identity Awareness Software Blade позволяет создавать правила безопасности, базируясь на пользователях, группах пользователей, а также машинах.

  1. Какие функциональные модули поддерживается Identity Awareness Software Blade?

Начиная с R75, идентификация пользователей поддерживается для программных блейдов Firewall и Application Control, URL-фильтрации, DLP. Поддержка IPS планируется в ближайшем будущем

  1. Каким образом шлюз безопасности может получать идентификацию пользователей?

Identity Awareness Software Blade предлагает 3 метода идентификации пользователей (рабочих машин):

  1. Бесшовная и бесклиентская интеграция с Active Directory (с помощью запросов AD Query);
  2. Web-портал для идентификации пользователей;
  3. Легкий клиент на рабочих станциях.

 

 

Использование AD Query.

ad

  1. Каким образом осуществляется интеграция с AD?

Шлюз безопасности регистрируется на контроллере домена для получения событий авторизации пользователей  (Security Event logs). Для контроллеров домена Windows 2003 извлекаются события 672, 673, 674; а для контроллеров домена Windows 2008 извлекаются события 4624, 4768, 4769, 4770.

  1. Какое количество доменов поддерживается?

Domain forests, sub-domains and multiple domains are all supported. Информация о количестве не встречалась

  1. Какие версии доменов поддерживаются?

Регистрация на получение информации о событиях Account Logon может производиться на платформах – Windows 2003 Server и WindowsServer 2008.

  1. Какие необходимы права для технологической станции в АД?

Для интеграции с AD без привилегий администратора AD, нужно использовать рекомендации из SK43874

  1. По какому протоколу происходит связь между файерволом и контроллером домена?

Связь происходит с помощью запросов WMI (поверх DCE-RPC)

  1. Какова дополнительная нагрузка на АД?

При использовании AD Query, влияние на процессор контроллера домена не превышает 3%, в среднем – значительно меньше 1%.

  1. Какой временной интервал обработки событий авторизации пользователей (Security Event logs) в домене?

C момента регистрации, AD Query вытягивает логи из Active Directory каждые 5 секунд или же AD отправляет на шлюз последние 100 событий.

  1. Какой объем трафика генерируется между контроллером домена и файерволом?

В реальных условиях, наблюдаемые объемы трафика между контроллером домена и файерволом составляли от 0,1 до 0,25 МБ/с на каждую 1000 пользователей.

  1. Какое время жизни доступа пользователя с компьютера, на котором пользователь прошел авторизацию?

 720

Время жизни доступа на шлюзе безопасности зависит от соответствующих настроек и отсчитывается от последней сетевой активности пользователя (login, unlock, доступ к сетевой шаре, печать на сетевой принтер и т.д.):

10. Как поведет себя устройство, если пользователя переместили из группы А в группу В?

Если пользователь (user1) перемещен из одной группы Active Directory (Group_A) в другую группу AD (Group_B). И, при этом, любая из групп (или обе группы) имеет доступы на файерволе. То, для того, что бы файервол «понял» этот перевод (т.е. сделал рекалькуляцию членства в группах AD и соответственно рекалькуляция доступов), необходимо выполнить одно из двух:

  • Или выполнить команду pdp update all (можно реализовать периодическое выполнение этой команды утилитой cron);
  • Или установить политику

11. Как поведет себя устройство, если пользователя удалили из домена?

Если пользователь удален, когда он работает за компьютером и, при этом, на шлюзе создана ассоциация, то по окончании времени действия этой ассоциации, пользователь теряет права доступа на шлюзе безопасности. Для удаленных пользователей рекалькуляция доступов не работает.

12. Как поведет себя устройство, если пользователя заблокировали в домене?

Если пользователь заблокирован, когда он работает за компьютером и на шлюзе создана, то по окончании времени действия этой ассоциации, пользователь теряет права доступа на шлюзе безопасности.

13. Что произойдет если под одной учетной записью зайдут с нескольких рабочих станций?

Будут созданы несколько  ассоциаций (пользователь–айпи) на шлюзе безопасности и пользователь сможет получать доступы с разных рабочих станций одновременно. (см. скриншот – один и тот же пользователь залогинился на двух компьютерах с разными ай-пи адресами и при этом использует на обоих компьютерах разрешенный для него протокол ftp)

source ia

14. Что произойдет если на одной рабочей станции зайдет несколько пользователей?

В случае, если это не терминальная станция, то есть два режима работы:

1) Права доступа суммируются;

2) Остаются права доступа последнего пользователя (если поставить галочку в соотв. месте).

720-215. Поддерживаются ли терминальные сервисы?

Терминальные сервисы Microsoft и Citrix поддерживаются, начиная с версии R75.40

16. Имеется ли возможность исключить сервисные аккаунты из калькуляции доступов?

Да, эта возможность настраивается (см. рисунок)

exclude

17. Что произойдет, если пользователь заблокировал рабочую станцию?

Ничего не произойдет. При разблокировке снова произойдет событие Account Logon.

18. Что произойдет, когда пользователь отлогинился с рабочей станции?

Ничего не произойдет. Это связано с тем, что контроллеры домена не обрабатывают такие (Account Logout) события (ввиду специфики протокола Kerberos).  Таким образом, на шлюзе останется ассоциация до момента её устаревания.

19. В качестве Источника используется имя группы или её ssid? Названия групп могут изменяться!

В качестве источника используется Distinguished Name.

20. Пользователь залогинился на рабочую станцию без сети, а затем её подключил, что при этом произойдет?

Ничего не произойдет, т.к. не произошло событие Account Logon. Для получения доступов пользователю необходимо будет выполнить Lock Computer, затем Unlock Computer или же зайти на сетевой диск (сетевую шару). Произойдет событие Account Logon и будет создана соответствующая ассоциация на файерволе . Альтернативным вариантом является использование Captive Portal.

21. Пользователь залогинился  на рабочую станцию, а затем перешёл работать в другую комнату со своим ноутбуком, что при этом произойдет?

Если, при этом, у него ай-пи адрес не поменялся – то он продолжить работать с теми же доступами, которые были до смены комнат.

22. Необходимо ли устанавливать агента на рабочую станцию клиента?

Такой необходимости нет.

 

Использование Identity Agent.

ag

  1. Какой функционал предоставляет установка на рабочих станциях Identity Agent?

Установка Identity Agent позволяет:

  • Автоматическую аутентификацию на шлюзе используя SSO при входе в систему (используя Kerberos);
  • Автоматическое подключение в случае роуминга;
  • Предотвращение спуфинга IP-адресов (при использовании полной версии)
  1. Каким образом осуществляется связь с файерволом?

Связь с файерволом происходит напрямую, используя “keep alive packets”.

  1. Нужны ли административные права для установки Identity Agent

Для установки полной версии Identity Agent нужны административные права. В случае отсутствия таких прав, будет установлена облегченная версия.

  1. Чем отличается Identity Agent Light и Full версии?

Облегченная версия агента не поддерживает защиту от спуфинга, а также возможность идентификации машин.

 

Использование портала для аутентификации Captive Portal.

cp

  1. Какой функционал предоставляет использование Web-портала Captive Portal?

CaptivePortal позволяет аутентифицироваться на файерволе с помощью браузера. После аутентификации на Web-портале, пользователь получает соответствующие доступы.

К примеру, пользователям с неуправляемых компьютеров (которые не являются членами домена) или же с таких ОС как Linux.

  1. В каких случаях рекомендуется использовать Captive Portal.

CaptivePortal рекомендуется использовать в трех случаях:

  • Для получения доступов с управляемых не-Windows компьютеров (Linux, iPhones, Android OS…)
  • Для получения доступов с неуправляемых компьютеров гостей (партеры, третьи лица)
  • Для получения доступов с управляемых Windows–компьютеров, в случае если по каким-то причинам AD Query не применим.
  1. Какие каталоги поддерживаются в случае аутентификации через Web-портал.

Аутентифицироваться на файерволе через Web-портал можно используя следующие каталоги: внутренние пользователи Check Point, LDAP-каталоги (в т.ч. Active Directory) и RADIUS-сервера.

  1. Какое время жизни доступа пользователя с компьютера, на котором пользователь прошел авторизацию с помощью Captive Portal?

Время жизни доступа на шлюзе безопасности зависит от соответствующих настроек

720-3

Также, есть возможность ограничить время жизни на файерволе закрытием браузера:

log