Использование Radius Accounting для Identity Awareness

Использование Radius Accounting для Identity Awareness

Обзор

Приведённая ниже информация поможет установить RADIUS Accounting для настройки идентификации пользователей (имя пользователя и IP- адрес). С Identity Awareness политики безопасности могут быть усилены за счёт идентификации пользователей вместо простого использования IP адреса. Решение интегрировано в бизнес-процессы предприятия, поскольку оно поддерживает Active Directory, Wi-Fi и LAN инфраструктуру. Временный пользователь (т.е. консультант) будет зарегистрирован в офисе для управления контрактами и получения учетных данных для доступа. Эти учетные данные впоследствии будут использоваться для проверки подлинности в сети и шлюзе безопасности для доступа к ресурсам.

00000000

 

 

 

 

 

 

 

 

 

 

 

 

Компоненты решения

Основными составляющими решения являются сервер Radius AAA Server (в данном примере —Cisco ISE), который осуществляет связь со средой LAN инфраструктуры, точками доступа Wi-Fi и сервером Active Directory. AAA Radius Server выполняет аутентификацию пользователя по отношению к Active Directory, распознавая IP-адрес из пула DHCP и затем присваивая идентификатор VLAN в соответствии с определенной политикой. AAA Radius Server будет сообщать UserID, VLAN ID и IP-адрес LAN. LAN Switch a Radius Accounting Client выполняет функцию передачи IP-адреса, присвоенного пользователю в шлюзе безопасности. Шлюз безопасности действует как Radius Accounting Server и использует эти данные для принятия политик безопасности в отношении пользовательского трафика.

 

Основная концепция использования Check Point Identity Awareness для обеспечения политик безопасности

 Идентификация пользователей посредством Check Point осуществляется в Access Role.

Access Role состоит из трех элементов:

  • IP- адрес подсети
  • Идентификатор пользователя или группы, извлеченный из внешних данных каталогов
  • Имя устройства, извлеченное из внешних данных каталогов

Ниже приведен пример объекта «Consultants_Grp1». Этот объект относится к группе под названием «GrPPOC 1 «, которая присутствует в Active Directory. Так как ни одна подсеть или машина не была указана, объект доступен всем пользователям, входящим в состав группы «GRP-POC-1».

00000000

 

 

 

 

 

 

 

 

 

 

 

 

 

Поставленная задача может быть изменена для того, чтобы указать подсети и/или машину дополнительно. Такая модификация позволит ограничивать доступ к ресурсу для пользователя после входа на выделенной машине с определённым IP адресом выделенной подсети. Затем данные используются в правилах доступа в качестве источника или объекта назначения политик безопасности.

00000000

 

 

 

 

 

 

 

 

Информационный поток в среде Radius Accounting

Check Point Security Gateway может распознать IP-адрес, присвоенный пользователю сервером аутентификации Radius, используя поддержку Radius Accounting, доступную в версии Check Point R77.30. Этот набор функциональных возможностей позволяет Gateway Security выступать в качестве RADIUS Accounting Server. Коммутатор локальной сети может выступать в качестве Radius.

Осуществление учёта клиента, предоставление идентификатора пользователя и связанного с ним IP-адреса для шлюза безопасности.

1) После того, как пользователь успешно прошел проверку подлинности на RADIUS-сервере (аналогично DHCP-серверу и контролю среды Wi-Fi и LAN), IP-адрес, назначенный этому пользователю, будет перенаправлен в сообщении управления к коммутатору локальной сети, который присвоит этому пользователю возможность использования выделенного VLAN. Процесс аутентификации через WiFi (или LAN) базируется на протоколе 802.1x.

2) Коммутатор локальной сети (LAN) сконфигурирован как Radius Accounting Client и устанавливает соединение TCP / IP с Radius Accounting Server, работающим на шлюзе безопасности.

3) С помощью этого соединения коммутатор LAN обеспечит соединение IP-адреса, назначенного UserID с шлюзом безопасности. Шлюз безопасности будет запрашивать Active Directory для членства в группе USERID и применять политики безопасности для трафика пользователя в защищенной шлюзом безопасности сети.

 

00000000

 

 

 

 

 

 

 

 

 

Конфигурация RADIUS Accounting Client, встроенного в коммутатор

Коммутатор LAN сконфигурирован для передачи информации о Radius Accounting шлюзу безопасности, который, действуя в качестве сервера RADIUS Accounting в случае, когда пользователь успешно прошел проверку подлинности на Wi-Fi сетевом контроллере (в данном примере Cisco ISE Server). Общий код должен быть определен на Radius Accounting клиента (коммутатор LAN) и на RADIUS Accounting Server (Security Gateway), чтобы установить доверительное соединение через порт TCP / 1813. На шлюзе этот общий код определяется в меню конфигурации Radius Accounting. Атрибут Radius Vendor-Specific (26) должен быть настроен на Radius Accounting Client для идентификации. В этом примере Radius Vendor-Specific (26) атрибут установлен на значении «12». Такое же

значение должно быть настроено на>> Check Point Security Gateway > Identity Awareness > Radius Accounting menu. Это будет зависеть от конфигурации Radius Accounting Client, атрибутов UserID и назначенного IP-адреса. Если у вас есть трудности с обнаружением этой конфигурации, вы можете создать TCPDUMP на клюзе безопасности и извлечь атрибуты оттуда.

 

Атрибуты Radius Accounting, отображаемые на tcpdump на шлюзе безопасности

 IP-адрес 192.168.82.59 является переключателем, работающим с Radius Accounting Client. Вы можете видеть UserID и IP Address, присвоенный этому пользователю в приведенном ниже примере.

16:23:02.339910 IP (tos 0x0, ttl 255, id 65438, offset 0, flags [none], proto: UDP
(17), length: 380) 192.168.82.59.sa-msg-port > bmpoc.radius-acct: RADIUS, length:
352
Accounting Request (4), id: 0x2f, Authenticator:
8e2fc48cf909bc939b83dfeb29cd65e6
Username Attribute (1), length: 14, Value: CPIdAwuser03
0x0000: 4350 4964 4177 7573 6572 3033
Calling Station Attribute (31), length: 14, Value: 172.30.32.66
0x0000: 3137 322e 3330 2e33 322e 3636
Called Station Attribute (30), length: 15, Value: [|radius]
0x0000: 3139 322e [|radius]
16:23:02.340404 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: UDP (17),
length: 48) bmpoc.radius-acct > 192.168.82.59.sa-msg-port: [udp sum ok] RADIUS,
length: 20
Accounting Response (5), id: 0x2f, Authenticator:
ab66795485727238c8066d5b222740df

 

Конфигурация Radius Accounting для шлюза безопасности

Конфигурация, которая была применена на шлюзе безопасности, показана ниже.

00000000

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Сконфигурируйте the LDAP Account ID для получения данных о группах пользователей (User Groups)

Вам необходимо указать Active Directory Server (учётная запись LDAP), с которого шлюз безопасности будет брать информацию об идентификаторе группы, к которой пользователь не принадлежит. Это меню конфигурации является частью конфигурации Radius Accounting и показано на предыдущей странице.

00000000

 

 

 

 

 

 

 

 

 

Сам Active Directory представлен в объекте единицы учета LDAP.

00000000

 

 

 

 

 

 

 

 

 

 

 

Работа с SmartLog для мониторинга событий входа в систему (Logon Events)

Ниже приведён экран из SmartLog, который демонстрирует успешный вход пользователя в систему.

00000000

 

 

 

 

 

 

 

Список сообщений об авторизации в SmartLog (фильтр активен для пользователя “cpidawuser03”).

Детали сообщения об авторизации:

00000000

 

 

 

 

 

 

 

 

 

 

Использование Monitoring Applications (мониторинг приложений)

Спустя некоторое время после использования Интернета пользователем, вы увидите список используемых приложений (в случае, если на шлюзе безопасности активирован программный блейд Application Control).

00000000

 

 

 

 

 

 

 

 

 

 

На скриншоте приведён список приложений, используемых пользователем “cpidawuser03”

 

Примеры Application Control и URL Filtering

Эта статья не ориентирована на раскрытие особенностей блейдов Application Control и URL Filtering. Оба блейда являются независимыми друг от друга, и ниже приведённая информация является просто примером. Application Control Software Service Blade осуществляет контроль HTTP/HTTPS трафика и идентификацию используемых приложений, т.е. он может обнаружить использование YouTube в потоке  HTTP трафика. Классификация URL HTTP-запроса осуществляется посредством блейда URL Filtering, где можно распределять объекты по группам, открывая или запрещая доступ к ним. Использование Application Control посредством шлюза позволяет контролировать входящий корпоративный трафик.

00000000

 

 

 

 

 

 

 

 

Ниже приведённый пример демонстрирует пример базы правил Application Control, где пользователи, принадлежащие в группе “GRP2”, не могут использовать YouTube и видят оповещение об использовании HTTP вебсайта, когда получают доступ к сайтам категории «News». Пользователи группы “GRP1” могут посещать любые страницы в интернете и приложения, основанные на HTTP/HTTPS.

00000000

 

 

 

 

 

 

 

 

 

Защита Anti-Bot

В данном примере мы активировали в качестве теста Anti-Bot Software Service Blade. Его использование рекомендуется для защиты корпоративной среды от возможных угроз и разрушений, вызванных вредоносными программами, которые могут находиться на компьютерах, имеющих доступ к сети WiFi. Таким образом, вредоносные программы блокируются до попадания в корпоративную сеть.

00000000

 

 

 

 

 

 

 

00000000

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Firewall Rule 
Для завершения описания документации, ниже приведён скриншот с базой правил шлюза безопасности. Обратите внимание на то, что программные блейды шлюза являются первым объектом, который осуществляет проверку безопасности входящих и исходящих информационных потоков.

00000000