¿Qué más puede mi firewall hacer? ¡Identificar a los usuarios!

 

Echemos un vistazo a las opciones disponibles para identificar a los usuarios por su nombre de usuario y qué se puede hacer con esa información. Va ir sobre la configuración del cliente de ID de usuario y comparar con despliegue sin cliente, configurar portal cautivo y preparar asignación de grupo para el uso en las políticas de seguridad.

 

 

Preparación de Windows

 

Antes de que pueda comenzar, descarga al agente de identificación de usuario. Se puede encontrar en el portal de soporte bajo actualizaciones de software. Después de descargado el instalador, se aconseja instalar en el servidor de Active Directory, pero no es estrictamente necesario si prefiere utilizar un servidor diferente. Debido a la configuración de UAC (Control de acceso de usuario) en servidores Windows, se recomienda ejecutar al instalador como administrador. Abra un símbolo del sistema con la opción 'ejecutar como administrador', vaya a la carpeta que contiene el archivo instalador y execue el instalador de la línea de comandos.

 

 

 

Después de completa el proceso de instalación, abrir al agente de usuario en el menú Inicio y vaya a configuración. Haga clic en Editar para comenzar a configurar al agente de usuario.

 

Lo primero que tendrá que configurar es el nombre de usuario que el servicio funcionará como. Asegúrese de que la cuenta está concedida por lo menos los siguientes privilegios (los permisos incompletos y erróneos podrían llevar a un mensaje de error "iniciar servicio fallido con error 1069") por favor siga este artículo para una configuración paso a paso de los privilegios de usuario: Cómo Instale el agente de ID de usuario e impida que el servicio de inicio falle con el error 1069 '

• Lectores de registro de eventos (unUDIT y administrar registro de seguridad en Windows 2003)
• Operador del servidor (para ejecutar como un servicio)
• Usuarios de DCOM (de sondeo de WMI)

Si esto es un poco confuso, configure la cuenta como administrador por ahora y al final de este artículo, he añadido varios enlaces más a los artículos pertinentes que pueden ayudarle a entender mejor y planificar implementaciones de agente de usuario.

 

El agente recoge en logon_success y auth_ticket_granted/renovar eventos como se indica en la Guía del administrador

• Windows Server 2003, los identificadores de evento para los eventos requeridos son 672 (autenticación boleto concedido), (servicio boleto concedido) 673 y 674 (boleto concedido renovada). 
• Windows Server 2008/2012 (incluyendo R2) o MS Exchange, los identificadores de evento para los eventos requeridos son 4768 (autenticación boleto concedido), 4769 (servicio boleto concedido), 4770 (boleto concedido renovada) y 4624 (inicio de sesión con éxito).

 

Por último, en la lista de preparación de ActiveDirectory, asegúrese de exitosa auditoría está habilitada, por lo que eventos de inicio de sesión son capturados en los registros de AD:

 

 

Configuración del agente de usuario

 

 

Ahora vamos a configurar el agente de la UID. Si no tienes ningún usuario dedicado aún, coloca el usuario administrador, que se puede cambiar más tarde, cuando estás confortable con la configuración y tener tiempo para leer más recomendaciones. La primera pestaña de la configuración tendrá que establecer el nombre de usuario.

 

 

La siguiente pestaña tendrá la frecuencia de lecturas de registro. Esto ajustará la frecuencia con el agente va a sondear el registro de sucesos y busque exitosos eventos de inicio de sesión agregar la IP de origen y su cuenta de usuario asociada a la lista de usuario ip. En la mayoría de los casos, se recomienda la configuración por defecto de 1 segundo.

 

Sesiones de servidor pueden activarse para supervisar las conexiones del cliente al servidor. Esto podría ser útil cuando más clientes tienen una asignación de unidad en el anuncio que puede utilizarse para verificar si una cuenta de usuario todavía es conectada y conectada a su participación.

 

La ficha cliente sondeo le permite controlar si y cómo equipos cliente son sondeados periódicamente para ver si una cuenta está todavía conectada. Estas puntas de prueba será capaces de eliminar una asignación de ip de usuario en caso de una máquina es iniciado sesión en una cuenta local o quitada repentinamente de la red. Cierto planeamiento se requiere sin embargo, como las máquinas de destino necesario apoyar estas puntas de prueba. Error sonda debido a una directiva de cortafuegos, o si el cliente no autoriza a wmi para la cuenta del agente de ID de usuario, dará lugar a la asignación de ip de usuario a quitar así. Si no estás seguro si tus clientes podrán apoyar sondeo, desactivar ambas puntas de prueba por ahora.

 

La ficha de caché permite un tiempo de espera en las entradas en la asignación de ip de usuario. Especialmente si el sondeo se desactiva este valioso ya que permite eliminar las asignaciones ip de usuario 'obsoletos'. Si se detecta un evento de registro exitoso de ActiveDirectory, se actualiza el tiempo de espera.

 

En un entorno relativamente estático, puede ser seguro que este tiempo de espera a 600 minutos, como la predeterminada kerberos usuario ticket duración es de 10 horas. En un entorno muy dinámico con muchos usuarios que comparten las estaciones de trabajo, puede ser más beneficioso establecer el tiempo de espera para un período más corto.

 

La ficha de servicio de agente le permite cambiar el puerto por defecto que escucha en el servicio para las conexiones entrantes de firewall.

 

Te deja las pestañas eDirectory y syslog por ahora, siga adelante y haga clic en Aceptar. Verá un resumen de la configuración que acaba de crear y la lista de Control de acceso que puede establecer límites que direcciones IP o subredes pueden conectar con el agente de usuario. Seguir adelante y cometer la nueva configuración de agente de usuario.

 

Rápida Asegúrese de que está ejecutando el servicio volviendo a la Página principal del agente:

Si el agente no se ha iniciado, puede iniciarlo manualmente desde aquí.

 

A continuación, configuramos los servidores de ActiveDirectory el agente va a conectarse, para reunir información sobre la actividad del usuario. Abra la página de Discovery y golpeó el Auto descubrir, este rellenará la lista de servidores disponibles mediante el uso de la información de la máquina local. Servidores adicionales se pueden agregar manualmente. En caso de un servidor multitarjeta entradas exceso pueden eliminarse si es necesario.

 

La lista de inclusión/exclusión permite controlar que las subredes deben o no deben ser supervisadas para eventos de inicio de sesión de usuario.

 

La página de monitoreo debe comenzar ahora llenando de nueva asignación de ip de usuario. Cuando el agente de usuario es primera vez pasará por las entradas de 50.000 registro pasadas del ActiveDirectory y luego controlará cada segundo para nuevas entradas. Dependiendo de la hora del día y del chattiness del registro de eventos en el servidor, podría tomar un tiempo antes de que la lista se rellena con una base de datos confiable de direcciones IP activadas (tener esto en cuenta al implementar políticas de seguridad).

 

Ahora el agente ha sido preparado, abrir el firewall GUI. En la ficha dispositivo, identificación del usuario, una implementación sin cliente puede configurarse utilizando los mismos parámetros que utilizamos en el agente de usuario. Esto podría ser muy útil en un entorno más pequeño o cuando el acceso a la ActiveDirectory no permite instalar una pieza de software. No recomendamos usar el despliegue sin cliente en un entorno grande ya que esto podría causar mucho la sobrecarga.

 

Para conectar con el agente de usuario instalado, necesitamos saltar a la siguiente pestaña y añadir a un nuevo agente de ID de usuario.

Asigne un nombre al agente fácilmente identificar, configurar su IP y el puerto que hemos configurados en la pestaña de 'Agente servicio' de configuración del agente. Colector debe ser utilizado si un firewall diferente se utiliza como un punto de recogida y este firewall necesita recopilar información de ese firewall. En caso de portal cautivo está configurado para admitir autenticación NTLM en el navegador al menos un agente necesita configurar para actuar como un proxy. Activar esta opción ahora, te mostraré cómo configurar NTLM una vez configuramos Portal cautivo.

 

Cometer esta configuración y esperar la luz de 'Conectado' a verde. 

El siguiente paso es permitir la identificación de usuario para las zonas que requieren nombre de usuario. Esto permite para la zona de conexión a internet no es recomendable a menos que el usuario identificación ACL está listo para realizar sólo ID de usuario para una subred específica en esa zona. Si no está establecido, el firewall consulta al agente de usuario para obtener información sobre cada dirección IP que se conecta a la interfaz externa del cortafuegos.

 

Diríjase a la red de pestaña y abrir las zonas, abrir la zona de confianza y permitir la identificación de usuario.

 

Confirme la configuración después de que se han habilitado todas las zonas necesarias. Después de la confirmación, los registros de tráfico comenzará mostrando la información de usuario:

 

 

Portal cautivo

 

 

Para los usuarios que no pueden ser recogidos a través de la forma convencional de registros de sucesos de Active Directory, puede configurarse un sistema de portal cautivo donde se intercepta una sesión de navegación y el navegador del usuario consulta a través de NTLM para la información de credenciales o un formulario web presentada al usuario de entrada usuario y contraseña.

 

Como los usuarios pueden redirigirse a una autenticación solicitud de página del portal, una experiencia de usuario óptima es tener un certificado en el lugar que es de confianza en toda la organización, por lo que si una autoridad de certificación está disponible para crear un certificado de servidor, esto permitirá que el navegador para no aparecer un mensaje de error cuando el usuario es redirigido. Si no CA local está disponible, un certificado autofirmado puede ser generado e importado manualmente sobre los clientes para mejorar la experiencia del usuario.

 

Dirígete a la pestaña de dispositivo y generar un nuevo certificado autofirmado o importar un certificado de la organización. Creé mi certificado como autoridad certificadora, pero esto no es estrictamente necesario. Como nombre común configurar la dirección IP de mi interfaz va a utilizar esto como la redirección de IP, pero si tienes un servidor DNS interno, podría establecer un FQDN como captiveportal.mycompany.com y utilícelo en la redirección.

A continuación, necesita crear un perfil de servicio SSL/TLS para poder utilizar este certificado como el certificado de servidor portal cautivo. Elegir qué versión mínima y máxima de TLS como el portal de ayuda:

 

Un paso más antes de que podamos configurar Portal cautivo es habilitar la autenticación. Ir a los perfiles de servidor LDAP y crear un nuevo perfil LDAP para el servidor de Active Directory.

Crear un perfil de autenticación. Asegúrese de que establecer los atributos de conexión apropiado para su entorno. Para Active Directory, esto generalmente es 'sAMAccountName'.

En la ficha avanzadas, puede limitar el grupo de usuarios permitidos para autenticar, pero por ahora, vamos a poner este 'Todo'.

 

A continuación, configurar el Portal cautivo.

 

Vas a activar el modo de redirección, como redireccionen al usuario a una página de inicio en la interfaz de firewall. Esto permitirá que el certificado creado en el paso anterior para presentar al usuario una experiencia de navegador adecuado. Si modo transparente quedo activada, el firewall será hacerse pasar por la URL de destino original, invocando un 401 de HTTP autenticación solicitud. Sin embargo, debido a la naturaleza en línea de esta autenticación, el cliente no se presentará un certificado adecuado y siempre obtendrá un error de certificado.

• Establecer el perfil de servicio SSL/TLS en el certificado de portal cautivo.
• Definir el modo de autenticación de ldap autenticación perfil.
• Establecer el host de redirigir a la IP de la interfaz del firewall. Como se mencionó anteriormente, esto podría ser un FQDN a la IP y establecer como nombre común en el certificado.

Para que la redirección a trabajar, la interfaz debe tener respuesta páginas habilitadas. Estos pueden activarse a través de un perfil de gestión de interfaz. En la instalación de layer3 de la serie Getting Started, cubrimos la adición de un perfil de administración de interfaces para permitir ping--podemos editar ese perfil para permitir también páginas de respuesta:

 

El último paso es crear políticas de Portal cautivo. Crear una política donde la acción está definida como navegador-desafío y otro abajo que utiliza la acción de formulario web. La política de impugnación de navegador intentará sondear el navegador para la autenticación de NTLM cmpatible. Si esto falla, la segunda política presentará al usuario con un formulario web para rellenar nombre de usuario y contraseña.

 

 

Asignación de grupo

 

Puesto que ya ha creado un perfil LDAP, información de grupo de Active Directory permite un paso extra. Esta información del grupo puede utilizarse entonces para crear Directiva de seguridad que le permitir o denegar a los usuarios basándose en su pertenencia de grupo y cuenta de usuario.

 

En la pestaña de dispositivo de identificación de usuario, vaya a configuración de asignación de grupo y crear un nuevo perfil. Defina el perfil de servidor al perfil de LDAP y el dominio de usuario al dominio NetBios.

El intervalo de actualización es 3600 segundos (60 minutos) de forma predeterminada. Si los usuarios cambian entre grupos con regularidad, podría ser beneficioso disminuir este intervalo. En la lista de grupo incluyen, usted puede elegir específicamente qué grupos para recuperar en el servidor de seguridad:

 

 

Después de seleccionar los grupos que vas a utilizar, comprometen la config. Después de la confirmación, estos grupos estarán disponibles en los campos de usuario de la política de seguridad.

 

 

Ahora puede crear políticas de seguridad basadas en grupos de usuarios:

 

 

Comandos de la CLI

 

Varios comandos de la CLI pueden ser útiles para verificar todos los usuarios se identifican correctamente y la información del grupo es precisa:

 

 

• Mostrar usuario grupo nombre <groupname>para mostrar a los miembros de un determinado grupo</groupname>

> Mostrar nombre de grupo de usuario "CN = usuarios de dominio, CN = usuarios, DC = ejemplo, DC = com" 

nombre abreviado: ejemplo. usuarios de com\domain

tipo de origen: LDAP
Fuente: groupmapping

[1] example. com\administrator
[2] example. com\astark
[3] example. com\bstark 
[4] example. com\cgrimes
[5] example. com\dtargaryen
[6] example. com\jlannister
[7] example. com\jsnow
[8] example. com\lgrimes
[9] example. com\rgrimes
[10] example. com\tlannister
[11] example. com\varys 

 

• Mostrar usuario asignación grupo estado todos a ver el estado del anuncio de Perfil de asignación de grupo el tiempo antes de un refresh/last actualizar

> Mostrar estado de asignación de grupos de usuarios todas lasasignaciones de grupos (vsys1, tipo: Active-Directory): Groupmapping BIND DN: Administrator@example.com base: DC = ejemplo, DC = filtro de grupo com: (None) filtro de usuario: (ninguno) servidores    : configurado 1 servidores 10.192.16.98 (389) tiempo de la última acción: 3418 secs hace (tomó 0 secs) tiempo de la acción siguiente: en 182 secs número de grupos: 3 CN = personal de ti, CN = usuarios, DC = ejemplo, DC = com < C11 > CN = recursos humanos, CN = usuarios, DC = ejemplo, DC = com CN = usuarios de dominio, CN = usuarios, DC = ejemplo, DC = com            

 

• Mostrar usuario ip mapping de usuario activo actualmente identificado todos los usuarios y cómo fueron identificados

> Mostrar usuario IP-usuario-asignación de todos los

VSYS IP de usuario IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------------
10.0.0.188 vsys1 UIA example\rgrimes                   1304 1304 
10.0.0.29 VSYS1 CP example\administrator 561 2593 
total: 2 usuarios

> Mostrar usuario IP-usuario-mapping todo tipo 
ad Active Directory
 CP cautivo portal
 EDIR      eDirectory
 GP global proteger
 SSO SSO
 syslog syslog
 UIA usuario-ID agente
 desconocido
 XMLAPI XML API              

 

Consulte la hoja de trucos User-ID CLI para obtener comandos CLI más útiles.

 

Otra información útil sobre planificación de implementaciones de UID:

 

Mejores prácticas para asegurar implementaciones de ID de usuario

 

Se puede encontrar una lista completa del identificador de eventos leído por el agente en la Guía de administración

 

Espero que les haya gustado este artículo. No dude en dejar comentarios en la sección siguiente.

Por favor, también echa un vistazo a los episodios anteriores en la introducción : la serie.

 

Tom