Приветствуем вас в четвертой статье цикла «Континент 4 NGFW Getting Started 2.0»!

В предыдущем материале мы с Вами рассмотрели функции и настройки межсетевого экрана, а также создали базовые политики межсетевого экранирования.

Все используемые в данной статье виртуальные машины вы можете увидеть на представленной структурной схеме ниже:

Структурная схема с VM для данной статьи
Структурная схема с VM для данной статьи

Портал аутентификации

Настройка портала аутентификации состоит из 5 этапов:

1 Создать сертификат портала аутентификации

2 Создать DNS-запись с порталом аутентификации на DNS-сервере

3 Создать сертификат промежуточного центра сертификации

4 Прикрепить созданные сертификаты на УБ

5 Активировать и настроить компонент идентификации пользователя

1. В Менеджере конфигурации создадим сертификат портала аутентификации.

Переходим в раздел «Администрирование — Персональные сертификаты — Сертификат».

Параметры сертификата:

  • Тип сертификата: портал аутентификации;

  • Название: FQDN запись, которая будет перенаправлять на внутреннего интерфейса Континент 4 NGFW;

  • Остальные поля: произвольно;

  • Корневой сертификат: ранее созданный корневой сертификат RSA (2048)

2. Создаем DNS-запись на DNS-сервере с FQDN, аналогичным названию сертификата.

3. В Менеджере конфигурации создадим сертификат перенаправления на портал аутентификации.

Переходим в раздел «Администрирование — Промежуточные центры сертификации — Промежуточный сертификат».

Параметры сертификата произвольные, корневой сертификат аналогичный персональному сертификату.

4. Созданные сертификаты прикрепляем к УБ.

Переходим в свойства УБ (в нашем случае это УБ с ЦУС), вкладка «Сертификаты». Прикрепляем сертификат «Портала аутентификации» и сертификат «Перенаправление на портал аутентификации».

5. Переходим в свойства УБ и включаем компонент «Идентификация пользователей».

В разделе «Идентификация пользователей» включаем портал аутентификации. Выбираем интерфейсы узла, доступные порталу идентификации (внутренние).

Диапазон перенаправляемых адресов: LAN1 (192.168.1.0/24).

Сохраняем и устанавливаем политику.

Теперь при попытке открыть любой сайт с подсети 192.168.1.0/24 нас будет автоматически перенаправлять на портал аутентификации.

Это означает, что работает сертификат перенаправления на портал аутентификации. Если открывается портал аутентификации: значит, работает сертификат портала аутентификации.

Локальные пользователи

Портал аутентификации настроен и успешно работает. Теперь нам необходимо создать пользователей, которых мы сможем на нем аутентифицировать. Для этого создадим локального пользователя.

Перейдем в раздел «Контроль доступа — Список объектов ЦУС — Пользователи» ПКМ на свободную область «Создать». Откроется меню создания локального пользователя.

Обязательными являются три параметра:

  • Учетная запись: логин пользователя;

  • Имя пользователя: имя (и фамилия) созданного пользователя;

  • Пароль и/или сертификат как метод аутентификации. Для аутентификации на портале нужен пароль

После создания пользователя добавим новое правило, выше ранее созданных правил для выхода в Интернет из локальной сети Центрального офиса.

Позволим нашему пользователю открывать и использовать Telegram.

Сохраняем и устанавливаем политику.

Теперь можно попробовать авторизоваться на портале аутентификации.

В случае успеха выведется оповещение со временем до окончания сессии и клавишей «Выйти».

Обратите внимание, что нам доступен Telegram, но и доступ до других ресурсов не пропал. Правила срабатывают не только по совпадению пользователя, но и по IP-адресам.

Если мы обратимся в Систему мониторинга и найдем срабатывание по шестому правилу, то увидим, что в поле «Имя отправителя» находится логин пользователя.

Доменные пользователи

Работа с локальными пользователям удобна в частных случаях (например, для VPN, о котором мы поговорим дальше), или для VPN с сертификатами (подробнее в статье про VPN). При большом количестве пользователей гораздо удобнее работать с доменными группами. Добавление групп из каталога AD возможно с помощью LDAP-коннектора. Сделаем его.

Во вкладке «Администрирование» переходим в раздел «LDAP» и далее «Создать LDAP профиль»:

  • Название: произвольное;

  • Имя: имя домена;

  • База поиска: область поиска в домене;

  • Пользователь: логин пользователя с правами на чтение домена;

  • Пароль и подтверждение: пароль пользователя;

  • Чек-бок включить SSL безопасность: при нажатии на чекбок будет включен режим LDAPS (tcp/636). Без включенного чекбокса будет использоваться режим LDAP (tcp/389);

  • Основной и резервные LDAP-серверы: NetBIOS сервера, адрес и порт

Добавим созданный профиль на УБ во вкладке «Структура»: ПКМ по УБ — «Идентификация пользователей» — «Профиль LDAP».

Сохраняем и устанавливаем политику.

Возвращаемся к LDAP профилю и нажимаем «Импорт LDAP-групп». Если подключение к AD будет выполнено успешно, то на экране появится окно импорта LDAP-групп. Импортированные группы появятся во вкладке Объектов ЦУС «Пользователи».

Мы импортируем ранее созданную группу «Internet Users» в AD и добавляем в ранее созданное правило для локального пользователя.

Сохраним и установим политику.

Переходим на страницу авторизации.

Авторизуемся через доменную учетную запись.

Попробуем также открыть Telegram и другие ресурсы. Правила должны успешно отработать.

Обратимся к системе мониторинга. События, связанные с сигнатурой telegram, должны быть с именем отправителя. В нашем случае отправитель — доменный пользователь

Заключение

На этом четвертая статья подошла к концу. Мы с вами проделали большую работу и настроили портал аутентификации, создали локального пользователя, рассмотрели работу с пользователями, добавили доменную группу. А также посмотрели, как работают правила с пользователями.

Напомним самые важные моменты:

  • Портал аутентификации может работать как для всех пользователей, так и для конкретных хостов/подсетей;

  • Локальных пользователей рекомендуем использоваться для VPN подключения по сертификатам. Если пользователей много, рекомендуем использовать доменные группы с Active Directory;

  • С Active Directory нельзя «подтянуть» конкретного пользователя. Континент 4 NGFW оперирует только доменными группами.

В следующей статье мы в подробностях рассмотрим настройки веб-фильтрации.

Оставайтесь с нами!

Все знаковые новости мира кибербеза, практические кейсы внедрения и настройки решений, а также приглашения на полезные обучения уже ждут вас на наших каналах:

Комментарии (0)