Was kann meine Firewall zu tun? Identifizieren Sie Benutzer!

 

Werfen wir einen genaueren Blick auf die Möglichkeiten zur Identifizierung der Benutzer durch ihre Benutzernamen und was mit diesen Informationen erfolgen kann. Wir gehen über die Konfiguration des Clients User-ID und vergleichen Sie dies mit clientless Bereitstellung, captive Portal einrichten und vorbereiten Gruppenzuordnung für den Einsatz in der Sicherheitspolitik.

 

 

Windows-Vorbereitung

 

Bevor Sie loslegen können, herunterladen Sie den Benutzer Identifikation Agent. Sie ist auf dem Support- Portal unter Software-Updates zu finden. Nachdem Sie das Installationsprogramm heruntergeladen haben, empfehlen wir, auf Ihre Active Directory-Server zu installieren, aber dies ist nicht unbedingt erforderlich, wenn Sie lieber mit einem anderen Server. Aufgrund der Einstellungen der Benutzerkontensteuerung (User Access Control) auf Windows-Servern empfiehlt es sich, den Installer als Administrator ausführen. Öffnen Sie eine Eingabeaufforderung mit der Option "als Administrator ausführen", navigieren Sie zum Ordner mit der Installer-Datei und Execue das Installationsprogramm von der Befehlszeile aus.

 

 

 

Nachdem der Installationsvorgang abgeschlossen ist, öffnen Sie die User-ID-Agent aus dem Startmenü und Setup gehen. Klicken Sie auf bearbeiten, um die Konfiguration der User-ID-Agent zu starten.

 

Das erste, was, das Sie benötigen, um zu konfigurieren, ist der Benutzername, die als Dienst ausgeführt wird. Vergewissern Sie sich, dass dem Konto mindestens die folgenden Privilegien eingeräumt werden (fehlerhafte/unvollständige Berechtigungen können dazu führen, dass "Service mit Fehler 1069 gescheitert ist") Bitte folgen Sie diesem Artikel für einen schrittweisen Aufbau der Benutzerrechte: wie Installieren Sie User-ID Agent und verhindern Sie "Start-Service mit Fehler 1069" gescheitert

• Event-Log -Reader (einUdit und verwalten sicherheitsProtokoll in Windows 2003)
• Server-Betreiber (zur Ausführung als Dienst)
• DCOM-Benutzer (für WMI sondieren)

Wenn dies ein wenig verwirrend ist, legen Sie das Konto als Administrator für jetzt und am Ende dieses Artikels habe ich mehrere weitere Links zu relevanten Artikeln, die Ihnen helfen können, besser zu verstehen und planen Sie User-ID Agent Bereitstellungen.

 

Der Agent greift die Ereignisse von logon_success und auth_ticket_granted/Renew auf, wie Sie im Admin -Guide aufgeführt sind.

• Windows Server 2003-die Ereignis-IDs für die erforderlichen Ereignisse sind 672 (Authentifizierung Ticket gewährt), 673 (Service Ticket gewährt) und 674 (Ticket gewährt erneuert). 
• Windows Server 2008/2012 (inkl. R2) oder MS Exchange-Ereignis-IDs für die erforderlichen Ereignisse sind 4768 (Authentifizierung Ticket gewährt), 4769 (Service Ticket gewährt), 4770 (Ticket gewährt erneuert) und 4624 (Anmeldung erfolgreich).

 

Zu guter Letzt in der ActiveDirectory-Vorbereitung-Liste, sicherzustellen Sie, dass erfolgreiche Überwachung aktiviert ist, so Anmeldeereignisse in den AD-Protokollen erfasst werden:

 

 

Benutzer-ID-Agent-Konfiguration

 

 

Nun konfigurieren wir die UID-Agent. Wenn Sie noch keine speziellen Benutzer haben, soll des Benutzers Administrator, die später geändert werden können, wenn Sie komfortabel mit dem Setup und einige Zeit haben, um durch weitere Empfehlungen lesen. Der erste Reiter der Konfiguration müssen Sie den Benutzernamen festlegen.

 

 

Die nächste Registerkarte wird die Häufigkeit der Log mal gelesen haben. Dadurch wird festgelegt, wie oft der Agent wird das Ereignisprotokoll Abfragen und suchen Sie nach erfolgreicher Anmeldung Ereignissen die Nutzer-IP-Liste der Quell-IP und seine zugeordnete Benutzerkonto hinzu. In den meisten Fällen empfiehlt sich die Standardeinstellung von 1 Sekunde.

 

Server-Sitzungen können aktiviert werden, um Client Verbindungen zum Server zu überwachen. Dies könnte nützlich sein, wenn die meisten Kunden haben eine Laufwerkzuordnung auf die Anzeige, die verwendet werden können, zu überprüfen, ob ein Benutzerkonto noch eingeloggt und mit seinen Anteil verbunden ist.

 

Die Registerkarte "Client sondieren" können Sie steuern, ob und wie Client-Rechnern werden in regelmäßigen Abständen sondiert, um festzustellen, ob ein Konto immer noch angemeldet ist. Diese Sonden werden in der Lage, zu entfernen, eine Nutzer-IP-mapping für den Fall, dass eine Maschine mit einem lokalen Konto angemeldet oder plötzlich aus dem Netzwerk entfernt. Eine gewisse Planung ist jedoch erforderlich, da die Ziel-Maschinen brauchen, um diese Sonden zu unterstützen. A versäumt Sonde durch eine Firewall-Richtlinie, oder wenn der Kunde berechtigen nicht Wmi, die User-ID Agentenkonto führt die Nutzer-IP-Zuordnung sowie entfernt werden. Wenn Sie nicht sicher sind, ob Ihre Kunden unterstützen, sondieren, deaktivieren Sie beide Sonden für jetzt.

 

Die Registerkarte "Cache" ermöglicht ein Timeout auf Einträge im Nutzer-IP-Mapping festgelegt werden. Vor allem wenn Sondierung dieser wertvollen deaktiviert ist wie es Ihnen erlaubt, "abgestanden" Nutzer-IP-Zuordnungen zu entfernen. Wenn ein ActiveDirectory erfolgreiche Protokollereignis erkannt wird, wird der Timeout aktualisiert.

 

Es könnte in einer ziemlich statisch Büroumgebung sicher, dieses Timeout setzen auf 600 + Minuten, zu haben, da die Standardlebensdauer Kerberos Benutzer Ticket 10 Stunden beträgt. In einem sehr dynamischen Umfeld mit vielen Benutzern teilen Arbeitsstationen kann es vorteilhafter, das Zeitlimit auf einen kürzeren Zeitraum festgelegt sein.

 

Die Registerkarte "Agent Service" können Sie den Standardport ändern, die, den der Dienst für eingehende Firewall Verbindungen überwacht.

 

Wir lassen die Registerkarten eDirectory und Syslog für heute, gehen Sie voran und klicken Sie auf ok. Sie sehen eine Übersicht über die Konfiguration, die Sie gerade erstellt und die Access Control List, die Sie an Grenzen festlegen können, welche IP-Adressen oder Subnetze der User-ID-Agent eine Verbindung herstellen können. Gehen Sie voran und begehen Sie die neue User-ID-Agent-Konfiguration zu.

 

Stellen Sie schnell sicher, dass der Dienst ausgeführt wird, indem wir zurück zur Hauptseite des Agenten:

Wenn der Agent nicht gestartet wurde, können Sie ihn manuell von hier aus starten.

 

Als nächstes konfigurieren wir die ActiveDirectory-Server der Agent zum herstellen wird, um Informationen über Benutzeraktivitäten sammeln. Öffnen Sie die Discovery-Seite und drücken Sie die Auto entdecken, dies wird die Liste der verfügbaren Server mithilfe der lokalen Computer-Informationen zu füllen. Weitere Server können manuell hinzugefügt werden. Für den Fall, dass ein Server ist Multi-homed können überschüssige Einträge bei Bedarf entfernt werden.

 

Die Include/Exclude-Liste können Sie steuern, welche Subnetze sollte oder sollte nicht überwacht werden für User-Login-Events.

 

Die Seite Überwachung sollte nun starten füllt sich mit neuen Nutzer-IP-Zuordnung. Beim ersten der User-ID-Agent Start wird durch den letzten 50.000 Log-Einträge von dem ActiveDirectory gehen und wird dann jede Sekunde für neue Einträge überwachen. Abhängig von der Tageszeit und die "Geschwätzigkeit", der das Ereignisprotokoll auf dem Server kann es eine Weile dauern, bevor die Liste mit einer zuverlässigen aktiven IP-Adressen-Datenbank gefüllt wird (dies berücksichtigen bei der Bereitstellung von Sicherheits-Policies).

 

Nun hat der Agent vorbereitet wurde, öffnen Sie die Firewall GUI. Im Register Gerät in Benutzer-ID kann mit den gleichen Parametern, die wir in der User-ID-Agent verwendet eine clientless Bereitstellung konfiguriert werden. Dies könnte sehr nützlich in einer kleineren Umgebung oder beim Zugriff auf das ActiveDirectory nicht zulässt ein Stück Software installiert sein. Wir empfehlen nicht, die clientless Bereitstellung in einer großen Umgebung verwenden, da dies zu viel Aufwand.

 

Wir müssen zum Herstellen der installierte Agent Benutzer-ID, fahren Sie mit der nächsten Registerkarte und fügen Sie einen neuen Benutzer-ID-Agent.

Der Agent leicht identifizieren, legen Sie seine IP-Adresse und der Port, den wir in der Registerkarte "Agent-Dienst" der Agent-Konfiguration konfiguriert weisen Sie einen Namen zu. Sammler sollten nur verwendet werden, wenn eine andere Firewall als Sammelstelle dient und diese Firewall von dieser Firewall Daten muss. Im Fall, das Captive Portal konfiguriert ist um NTLM-Authentifizierung unterstützen im Browser mindestens muss ein Agent eingerichtet werden, um als Proxy fungieren. Aktivieren Sie diese Option, jetzt zeige ich Ihnen wie Sie NTLM einmal festgelegt wir Captive Portal konfigurieren.

 

Diese Konfiguration zu begehen und warten auf das "Connected" Licht grün. 

Der nächste Schritt ist, Benutzer-ID für die Zonen aktivieren, die Benutzer-ID erforderlich. Aktivierung dieser für die Internetanbindung-Zone ist nicht ratsam, es sei denn, der Benutzer-Identifikation-ACL nur Benutzer-ID für ein bestimmtes Subnetz in dieser Zone ausführen soll. Wenn dies nicht festgelegt ist, wird die Firewall der User-ID-Agent Informationen über jede IP-Adresse Abfragen, die mit der Firewall externe Schnittstelle verbindet.

 

Kopf über das Netzwerk tab Öffnen der Zonen, die Vertrauen-Zone zu öffnen und ermöglichen die Benutzerkennung.

 

Begehen Sie die Konfiguration, nachdem alle erforderliche Zonen aktiviert wurden. Nachdem die Übertragung abgeschlossen ist, beginnt die Verkehr Protokolle Benutzerinformationen und zeigt:

 

 

Captive Portal

 

 

Für alle Benutzer, die über den herkömmlichen Weg von Active Directory-Ereignisprotokollen nicht aufgenommen werden können, ein captive Portal-System kann dazu eingerichtet werden, wo eine Browsersitzung abgefangen wird und den Browser des Benutzers durch NTLM für Anmeldeinformationen oder ein Webformular, dem Benutzer zur Eingabe Benutzername und Passwort abgefragt.

 

Wie der Benutzer zu einer Portalseite ersuchenden Authentifizierung umgeleitet werden können, ist eine optimale User Experience, einen Zertifikat in Platz zu haben, die in der gesamten Organisation, vertrauenswürdig ist also wenn eine Zertifizierungsstelle erstellen Sie ein Serverzertifikat verfügbar ist, dadurch wird den Browser eine Fehlermeldung nicht aufzutauchen, wenn der Benutzer umgeleitet wird. Wenn keine lokalen Zertifizierungsstelle verfügbar ist, kann ein selbst signiertes Zertifikat generiert und manuell auf die Clients zu verbessern User Experience importiert werden.

 

Gehen Sie zu der Registerkarte "Gerät" und generieren Sie ein neues selbstsigniertes Zertifikat zu oder importieren Sie ein Zertifikat der Organisation. Ich habe mein Zertifikat als Zertifizierungsstelle, aber dies ist nicht unbedingt notwendig. Als allgemeinen Namen gesetzt ich die IP-Adresse von meinem Interface wie ich werde dies als Redirect IP benutzen, aber wenn Sie einen internen DNS-Server haben, Sie könnten einen FQDN wie captiveportal.mycompany.com und verwenden, die in der Umleitung.

Als nächstes müssen Sie erstellen eine SSL/TLS Service Profil, um dieses Zertifikat als das captive Portal-Server-Zertifikat nutzen zu können. Wählen Sie, welche minimalen und maximalen Version von TLS das Portal unterstützen möchten:

 

Ein weiterer Schritt, bevor wir Captive Portal konfigurieren können soll Authentifizierung zu ermöglichen. Gehen Sie auf dem LDAP-Server-Profile und erstellen Sie ein neues LDAP-Profil für den Active Directory-Server.

Erstellen Sie dann ein Authentifizierungsprofil. Achten Sie auf die Login-Attribute entsprechend für Ihre Umgebung gesetzt. Für Active Directory wird dies in der Regel "sAMAccountName" sein.

In der Registerkarte "erweitert" können Sie die Gruppe der Nutzer darf authentifizieren einschränken, aber für jetzt, werden wir diese Option auf 'Alle'.

 

Konfigurieren Sie anschließend das Captive Portal.

 

Du wirst um Weiterleitung Modus zu aktivieren, die den Benutzer auf eine Landing-Page auf der Firewall Schnittstelle umgeleitet wird. Dadurch wird das Zertifikat in den vorherigen Schritt, dem Nutzer mit einem entsprechenden Browser-Erlebnis geschaffen. Bleibt transparent-Modus aktiviert, die Firewall wird die ursprüngliche Ziel-URL imitieren, Berufung auf eine HTTP 401 Authentifizierung anfordern. Jedoch aufgrund der Inline-diese Authentifizierung, der Client nicht mit einem entsprechenden Zertifikat präsentiert werden und erhalten immer einen Zertifikatsfehler.

• Legen Sie die SSL/TLS Service Profil auf das captive Portal Zertifikat.
• Die Authentifizierungsprofil auf die Ldap-Authentifizierungsprofil einstellen
• Legen Sie die Umleitung Host an die Schnittstelle IP-Adresse der Firewall. Wie bereits erwähnt, könnte dies ein FQDN, die IP-Adresse aufgelöst werden und als gemeinsamer Name im Zertifikat festgelegt.

Für die Umleitung zu arbeiten muss die Schnittstelle Antwort Seiten aktiviert haben. Diese können durch ein Schnittstellenmanagement Profil aktiviert werden. In der Layer3-Tranche der Getting Started-Serie haben wir das hinzuFügen eines Interface-Management-Profils abgedeckt, um Ping zu ermöglichen-wir können dieses Profil bearbeiten, um auch Antwortseiten zu ermöglichen:

 

Der letzte Schritt ist Captive Portal Richtlinien erstellen. Erstellen Sie eine Richtlinie, wo die Aktion auf Browser-Herausforderung eingestellt ist, und erstellen Sie eine zweite unten, die Aktion Web-Formular verwendet. Die Browser-Herausforderung-Politik wird versuchen, Abfragen, den Browser für Cmpatible NTLM-Authentifizierung. Wenn dies fehlschlägt, wird die zweite Richtlinie Benutzer mit einem Webformular zum Ausfüllen von Benutzernamen und Kennwort vorlegen.

 

 

Gruppenzuordnung

 

Da Sie bereits eine LDAP-Profil erstellt haben, wird ein zusätzlicher Schritt zu sammelnden Gruppeninformationen aus dem Active Directory möglich. Diese Gruppeninformationen lässt dann Sicherheitsrichtlinie erstellen, ermöglichen oder Benutzer anhand ihrer Benutzer Konto und die Gruppe Mitgliedschaft zu verweigern.

 

Auf der Registerkarte "Gerät" im Benutzer-ID zu Gruppen-Mapping-Einstellungen gehen und ein neues Profil erstellen. Legen Sie das Server-Profil zum LDAP-Profil und der NetBIOS-Domäne die Domäne des Benutzers gesetzt.

Das Aktualisierungsintervall ist standardmäßig 3600 Sekunden (60 Minuten). Wenn Ihre Benutzer zwischen Gruppen regelmäßig ändern, könnte es vorteilhaft für dieses Intervall zu verringern. In der Liste Gruppe gehören können Sie speziell die Gruppen auf der Firewall abrufen:

 

 

Nachdem Sie die Gruppen ausgewählt wirst du zu verwenden, die Config zu begehen. Nachdem die Übertragung abgeschlossen ist, werden diese Gruppen in den Politikfeldern Benutzer Sicherheit verfügbar.

 

 

Jetzt können Sie Sicherheitsrichtlinien basierend auf Benutzergruppen erstellen:

 

 

CLI-Befehle

 

Mehrere CLI-Befehle können nützlich sein, um alle Benutzer werden richtig erkannt und die Gruppeninformationen ist genau zu überprüfen:

 

 

• zeige Benutzer Gruppe Namen <groupname>, Mitglieder einer bestimmten Gruppe zu zeigen</groupname>

> Benutzergruppen Name "CN = Domain-Benutzer, CN = Benutzer, DC = Beispiel, DC = com" 

Kurzname: Beispiel. com\domain-Benutzer-

Quellentyp: LDAP-
Quelle: Groupmapping

[1] Beispiel. com\-Administrator
[2] Beispiel. com\astark
[3] Beispiel. com\bstark 
[4] Beispiel. com\cgrimes
[5] Beispiel. com\dtargaryen
[6] Beispiel. com\jlannister
[7] Beispiel. com\jsnow
[8] Beispiel. com\lgrimes
[9] Beispiel. com\rgrimes
[10] Beispiel. com\tlannister
[11] Beispiel. com\varys 

 

• zeigen Sie Benutzer-Gruppenzuordnung Zustand alle zu sehen, den Status der Gruppe Zuordnung Profil Anzeige der Zeit vor einem Refresh/last aktualisieren

> Benutzergruppe anzeigen-Mapping State alleGruppen-Mapping (vsys1, Typ: Active-Verzeichnis): Groupmapping Bind DN: Administrator@example.com Base: DC = Beispiel, DC = com Group Filter: (keine) User Filter: (keine) Server    : konfigurierte 1 Server 10.192.16.98 (389) Letzte Aktionszeit: 3418 Sekunden ago (nahm 0 Sekunden) nächste Aktionszeit: in 182 Sekunden Anzahl der Gruppen: 3 CN = IT-Mitarbeiter, CN = Benutzer, DC = Beispiel, DC = com < C11 > CN = Human Resources, CN = Benutzer, DC = Beispiel, DC = com CN = Domain-Benutzer, CN = Benutzer, DC = Beispiel, DC = com            

 

• Benutzer Ip Benutzerzuordnung alle zu sehen, die aktuell ermittelte aktive anzeigen Benutzer und wie sie erkannt wurden

> Benutzer-IP-User-Mapping alle

IP Vsys von User IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------------
10.0.0.188 vsys1 UIA example\rgrimes                   1304 1304 
10.0.0.29 VSYS1 CP example\administrator 561 2593 
Total: 2 Benutzer

> Benutzer-IP-User-Mapping alle Type 
AD Active Directory
 CP Captive Portal
 Edir      eDirectory
 GP Global Protect
 SSO SSO
 syslog syslog
 UIA User-ID Agent
 unbekannt unbekannt
 xmlapi XML API              

 

Schauen Sie sich die User-ID CLI Cheat-Blatt für weitere nützliche CLI-Befehle an.

 

Weitere hilfreiche Informationen über die Planung UID Bereitstellungen:

 

Best Practices für die Sicherung der Benutzer-ID Bereitstellungen

 

EINE vollständige Liste der vom Agenten gelesenen Event-ID finden Sie im Admin-Guide

 

Ich hoffe, dass Ihnen dieser Artikel gefallen hat. Wenden Sie sich bitte um Kommentare unten im Abschnitt zu hinterlassen.

Bitte schauen Sie sich auch die vorherigen Episoden bei Getting Started an: die Serie.

 

Tom