Ce qu’on peut mon pare-feu ? Identifier les utilisateurs !

 

Prenons regarder de plus près les options disponibles pour identifier les utilisateurs par leur nom d’utilisateur et ce que l'on peut faire avec cette information. Nous allons aller au cours de la configuration du client User-ID et comparer cela au déploiement sans client, mis en place le portail captif et de préparer mappage de groupe destinés aux politiques de sécurité.

 

 

Préparation de Windows

 

Avant que vous puissiez commencer, téléchargez l’Agent d’Identification utilisateur. Il peut être trouvé sur le portail de support sous mises à jour logicielles. Après avoir téléchargé le programme d’installation, nous vous recommandons d’installer sur votre serveur Active Directory, mais ce n’est pas strictement nécessaire, si vous préférez utiliser un autre serveur. En raison de paramètres UAC (User Access Control) sur les serveurs Windows, nous vous recommandons d’exécuter l’installateur en tant qu’administrateur. Ouvrez une invite de commande avec l’option « Exécuter en tant qu’administrateur », naviguez jusqu’au dossier contenant le fichier d’installation et execue le programme d’installation de la ligne de commande.

 

 

 

Une fois le processus d’installation terminé, ouvrez l’Agent User-ID dans le menu Démarrer et allez dans réglages. Cliquez sur modifier pour démarrer la configuration de l’Agent utilisateur.

 

La première chose que vous devrez configurer est le nom d’utilisateur que le service s’exécutera comme. Assurez-vous que le compte bénéficie au moins des privilèges suivants (les autorisations incorrectes/incomplètes peuvent entraîner le message d'erreur «démarrer le service a échoué avec l'erreur 1069») veuillez suivre cet article pour une configuration étape par étape des privilèges d'utilisateur: Comment Installez l'Agent user-ID et empêchez'Start service a échoué avec l'erreur 1069 '

• Lecteurs de journaux d'Événements (Udit et gérer le journal de sécurité dans Windows 2003)
• Opérateur de serveur (pour fonctionner comme un service)
• Utilisateurs DCOM (pour sonder de WMI)

Si c’est un peu déroutant, définissez le compte en tant qu’administrateur pour l’instant et à la fin de cet article, j’ai ajouté plus de plusieurs liens vers des articles pertinents qui peuvent vous aider à mieux comprendre et planifier les déploiements agent User-ID.

 

L'agent reprend les événements logon_success et auth_ticket_granted/Renew répertoriés dans le Guide d'administration

• Windows Server 2003 — les ID d’événement pour les événements requis sont 672 (dotée du Ticket d’authentification), 673 (Service billet accordé) et 674 (billet accordé renouvelé). 
• Windows Server 2008/2012 (y compris R2) ou MS Exchange — les ID d’événement pour les événements requis sont 4768 (dotée du Ticket d’authentification), 4769 (Service billet accordé), 4770 (billet accordé renouvelé) et 4624 (succès d’ouverture de session).

 

Enfin, sur la liste de préparation d’Active Directory, assurez-vous avec succès l’audit est activé, alors les événements de connexion sont capturés dans les journaux AD :

 

 

Configuration de l’Agent utilisateur

 

 

Maintenant nous allons configurer l’Agent de l’UID. Si vous n’avez encore aucun utilisateur dédié, sur l’utilisateur administrateur, ce qui peut être changé par la suite, lorsque vous êtes confortable avec le programme d’installation et un peu de temps à lire grâce à de nouvelles recommandations. Le premier onglet de la configuration vous aura à définir le nom d’utilisateur.

 

 

L’onglet suivant auront la fréquence des lectures de journal. Celle-ci définira la fréquence à laquelle l’agent va interroger le journal des événements et recherchez les événements de connexion réussie à ajouter l’adresse IP source et son compte d’utilisateur associé à la liste de l’utilisateur-ip. Dans la plupart des cas, le paramètre par défaut de 1 seconde est recommandé.

 

Les sessions de serveur peuvent être activées pour surveiller les connexions du client au serveur. Cela pourrait venir utile lorsque la plupart des clients ont un mappage de lecteur sur l’annonce qui peut être utilisé pour vérifier si un compte d’utilisateur est toujours connecté et relié à sa part.

 

L’onglet sondage Client vous permet de contrôler si et comment les machines clientes sont détectés périodiquement pour voir si un compte est toujours connecté. Ces sondes sera en mesure de supprimer un mappage de l’utilisateur-ip au cas où un ordinateur est connecté à un compte local ou soudainement retiré du réseau. Une planification est nécessaire Toutefois, car les ordinateurs de destination n’ont pas besoin d’appuyer ces sondes. Sonde en raison d’une stratégie de pare-feu A échoué, ou si le client n’autorise pas de wmi pour le compte de l’Agent utilisateur, se traduira par le mappage de l’utilisateur-ip à supprimer aussi bien. Si vous n’êtes pas sûr si vos clients seront en mesure d’appuyer le sondage, désactivez les deux sondes pour l’instant.

 

L’onglet Cache permet un délai d’attente sera définie sur les entrées dans le mappage de l’utilisateur-ip. Surtout si le sondage est désactivé ce précieux car il permet de supprimer les mappages utilisateur-ip « fade ». Si un événement de journal de succesful ActiveDirectory est détecté, le délai d’attente est actualisée.

 

Dans un environnement de bureau assez statique, ça pourrait être sûre d’avoir ce délai défini à 600 + minutes, la durée de vie par défaut kerberos utilisateur billet est 10 heures. Dans un environnement très dynamique avec de nombreux utilisateurs partage des postes de travail, il peut être plus avantageux définir le délai d’expiration d’un délai plus court.

 

L’Agent Service onglet vous permet de changer le port par défaut, que le service est à l’écoute sur les connexions entrantes de pare-feu.

 

Nous allons laisser les onglets eDirectory et syslog pour l’instant, allez-y et cliquez sur OK. Vous pourrez voir un résumé de la configuration que vous venez de créer et de la liste de contrôle d’accès que vous pouvez définir jusqu'à limite dont les adresses IP ou les sous-réseaux peuvent se connecter à l’Agent utilisateur. Allez-y et valider la nouvelle configuration de l’Agent utilisateur.

 

Rapidement, assurez-vous que le service s’exécute en revenant à la page d’accueil de l’agent :

Si l’Agent n’a pas été démarré, vous pouvez manuellement il commencer d’ici.

 

Ensuite, nous allons configurer les serveurs Active Directory va établir une connexion à l’agent pour recueillir des informations sur l’activité de l’utilisateur. Ouvrez la page de découverte et de frapper la découverte automatique, cela remplira la liste des serveurs disponibles en utilisant les informations de l’ordinateur local. Des serveurs supplémentaires peuvent être ajoutés manuellement. Dans le cas où un serveur est multi-résident entrées excédentaires peuvent être retirées si nécessaire.

 

La liste d’inclusion/exclusion vous permet de contrôler qui sous-réseaux devraient ou ne devraient pas être surveillés pour les événements de connexion de l’utilisateur.

 

La page de suivi devrait maintenant commencer à remplissage avec le nouveau mappage utilisateur-ip. Au démarrage de l’Agent utilisateur est tout d’abord, il passera par les dernières entrées du 50.000 journal d’Active Directory et suivra ensuite chaque seconde pour les nouvelles entrées. Selon l’heure de la journée et la chattiness du journal des événements sur votre serveur, il pourrait prendre un certain temps avant que la liste est remplie avec une base de données fiable des adresses IP actives (en tenir compte lors du déploiement de stratégies de sécurité).

 

Maintenant, l’agent a été établie, ouvrir le pare-feu GUI. Dans l’onglet périphérique, Identification de l’utilisateur, un déploiement sans client peut être configuré en utilisant les mêmes paramètres que nous avons utilisé dans l’Agent utilisateur. Cela pourrait être très utile dans un environnement plus petit ou quand l’accès à Active Directory ne permet pas installer un morceau de logiciel. Nous ne recommandons pas l’utilisation du déploiement sans client dans un grand environnement car cela pourrait provoquer beaucoup de frais généraux.

 

Pour vous connecter à l’Agent d’ID utilisateur installé, nous devons passer à l’onglet suivant et ajouter un nouvel Agent de l’ID utilisateur.

Attribuez un nom à l’agent pour facilement identifier, définir son adresse IP et le port, que nous avons configuré dans l’onglet « Service de l’Agent » de configuration de l’agent. Collecteur doit être utilisé uniquement si un autre pare-feu est utilisé comme un point de collecte et de ce pare-feu doit recueillir des renseignements de ce pare-feu. En cas de portail captif est configuré pour prendre en charge l’authentification NTLM dans le navigateur au moins un agent doit être mis en place pour agir en tant que proxy. Activez cette option maintenant que je vais vous montrer comment configurer NTLM une fois nous configurer le portail captif.

 

Validez cette configuration et attendez que le voyant « Connecté » à venir en vert. 

La prochaine étape est de permettre l’Identification de l’utilisateur pour les zones nécessitant un nom d’utilisateur. Permettre ceci pour la zone à internet n’est pas conseillé à moins que l’ACL d’Identification de l’utilisateur est configuré pour effectuer uniquement des UserID pour un sous-réseau spécifique dans cette zone. Si ce n’est pas défini, le pare-feu interrogera l’Agent utilisateur pour plus d’informations sur toutes les adresses IP qui se connecte à l’interface externe du pare-feu.

 

Rendez-vous sur le réseau de l’onglet et ouvrir les Zones, ouvrez la zone de confiance et permettre l’Identification de l’utilisateur.

 

Validez la configuration après que toutes les zones nécessaires ont été activées. Une fois la validation terminée, trafic journaux commencera à afficher les informations de l’utilisateur :

 

 

Portail captif

 

 

Pour tous les utilisateurs qui ne peuvent pas être ramassés par l’intermédiaire de la manière conventionnelle de journaux d’événements Active Directory, un système de portail captif peut être mis en place où une session de navigation est interceptée et le navigateur de l’utilisateur interrogées via NTLM pour les informations d’identification, ou un formulaire en ligne présentées à l’utilisateur d’entrée de nom d’utilisateur et mot de passe.

 

Comme les utilisateurs peuvent être redirigés vers une authentification requérant de la page du portail, une expérience utilisateur optimale est d’avoir un certificat dans le lieu qui est approuvé dans toute l’organisation, donc si une autorité de certification est disponible pour créer un certificat de serveur, ce qui permettra le navigateur se n'affiche pas un message d’erreur lorsque l’utilisateur est redirigé. Si aucun local CA n’est disponible, un certificat auto-signé peut être généré et importer manuellement sur les clients à améliorer l’expérience utilisateur.

 

Dirigez-vous vers l’onglet périphérique et générer un nouveau certificat auto-signé ou importer un certificat d’organisme. J’ai créé mon certificat comme une autorité de certification, mais cela n’est pas strictement nécessaire. Comme nom commun, j’ai mis l’adresse IP de mon interface que j’utiliserai ce que l’adresse IP de redirection, mais si vous avez un serveur DNS interne, vous pouvez définir un nom de domaine complet comme captiveportal.mycompany.com et l’utiliser dans la redirection.

Ensuite, vous devez créer un profil de Service SSL/TLS pour pouvoir utiliser ce certificat comme le certificat de serveur de portail captif. Choisir quelle version minimale et maximale de TLS, vous voudriez le portail à l’appui :

 

Un pas de plus avant que nous pouvons configurer le portail captif est de permettre l’authentification. Aller vers les profils de serveur LDAP et créer un nouveau profil LDAP du serveur Active Directory.

Ensuite, créez un profil d’authentification. Veillez à définir les attributs de connexion appropriée pour votre environnement. Pour Active Directory, ce sera généralement « sAMAccountName ».

Dans l’onglet Avancé, vous pouvez limiter le groupe d’utilisateurs autorisés à s’authentifier, mais pour l’instant, nous allons mettre sur « All ».

 

Ensuite, configurez le portail captif.

 

Vous allez activer le mode de redirection, comme qui redirigera l’utilisateur vers une page de destination sur l’interface du pare-feu. Cela permettra le certificat créé à l’étape précédente pour présenter l’utilisateur avec une expérience de bon navigateur. Si on quitte transparant mode activé, le pare-feu empruntera l’URL de destination originale, invoquant un HTTP 401 authentification demande. Toutefois, en raison de la nature en ligne de cette authentification, le client ne sera pas présenté avec un certificat approprié et obtenez toujours une erreur de certificat.

• Définir le profil de Service SSL/TLS pour le certificat de portail captif.
• Définir le profil d’authentification à profil d’authentification ldap.
• Définir l’hôte de rediriger vers l’IP de l’interface du pare-feu. Comme mentionné précédemment, cela pourrait être un nom de domaine complet résoudre l’adresse IP et défini comme nom commun dans le certificat.

Pour la redirection de travailler, l’interface doit avoir des Pages de réponse activée. Ceux-ci peuvent être activées par un profil de gestion de l’Interface. Dans le Layer3 de la série de mise en route, nous avons couvert l'ajout d'un profil de gestion d'Interface pour permettre le ping--nous pouvons éditer ce profil pour permettre également des pages de réponse:

 

La dernière étape consiste à créer des stratégies de portail captif. Créer une politique où l’action se déroule au navigateur-défi et créer une seconde ci-dessous qui utilise le formulaire en ligne action. La politique de défi navigateur essaiera d’interroger le navigateur pour l’authentification NTLM cmpatible. En cas d’échec, la politique de la deuxième présentera un formulaire web à remplir au nom d’utilisateur et mot de passe l’utilisateur.

 

 

Mappage de groupe

 

Puisque vous avez déjà créé un profil LDAP, une étape supplémentaire permettra d’informations du groupe à être prélevés dans Active Directory. Cette information de groupe peut alors servir pour créer la stratégie de sécurité qui sera d’accorder ou de refuser des utilisateurs en fonction de leur appartenance de groupe et de compte utilisateur.

 

Sous l’onglet périphérique dans l’Identification de l’utilisateur, allez dans paramètres de mappage de groupe et créer un nouveau profil. Définir le profil de serveur au profil LDAP et définissez le domaine de l’utilisateur vers le domaine NetBios.

L’intervalle de mise à jour est 3600 secondes (60 minutes) par défaut. Si vos utilisateurs changent inter-groupes régulièrement, ça pourrait être bénéfique de réduire cet intervalle. Dans la liste groupe comprennent, vous pouvez choisir précisément quels groupes pour récupérer sur le pare-feu :

 

 

Après avoir sélectionné les groupes que vous allez utiliser, valider la configuration. Une fois la validation terminée, ces groupes seront disponibles dans les domaines de l’utilisateur de politique de sécurité.

 

 

Maintenant, vous pouvez créer des stratégies de sécurité basées sur les groupes d’utilisateurs :

 

 

Commandes CLI

 

Plusieurs commandes CLI peuvent être utiles de vérifier tous les utilisateurs sont identifiés correctement, et les informations de groupe sont exactes :

 

 

• Voir l’établissement utilisateur groupe nom <groupname>pour afficher les membres d’un certain groupe</groupname>

> Show nom du groupe d'utilisateurs "CN = utilisateurs du domaine, CN = utilisateurs, DC = exemple, DC = com" 

nom court: exemple. com\domain utilisateurs

source type: LDAP
source: groupmapping

[1] exemple. com\administrator
[2] example. com\astark
[3] exemple. com\bstark 
[4] exemple. com\cgrimes
[5] example. com\dtargaryen
[6] exemple. com\jlannister
[7] exemple. com\jsnow
[8] example. com\lgrimes
[9] exemple. com\rgrimes
[10] example. com\tlannister
[11] exemple. com\varys 

 

• montrer utilisateur mappage groupe état tous pour connaître le statut de l’annonce de profil de mappage de groupe le temps avant une refresh/last à rafraîchir

> show groupe d'utilisateurs-état de mappage tous les mappages degroupe (vsys1, type: Active-Directory): groupmapping Bind DN: administrator@example.com base: DC = exemple, DC = com filtre de groupe: (aucun) filtre utilisateur: (aucun) serveurs    : configuré 1 serveurs 10.192.16.98 (389) dernière action heure: 3418 il ya (a pris 0 secs) prochaine action temps: en 182 secs nombre de groupes: 3 CN = personnel informatique, CN = utilisateurs, DC = exemple, DC = com < C11 > CN = ressources humaines, CN = utilisateurs, DC = exemple, DC = com CN = utilisateurs du domaine, CN = utilisateurs, DC = exemple, DC = com            

 

• afficher utilisateur ip-utilisateur-mappage aux yeux de tous les actifs actuellement identifiés aux utilisateurs et comment ils ont été identifiés

> afficher l'utilisateur IP-utilisateur-Mapping tous les

VSYS IP de L'Utilisateur IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------------
10.0.0.188 vsys1 UIA example\rgrimes                   1304 1304 
10.0.0.29 vsys1 CP example\administrator 561 2593 
total: 2 utilisateurs

> Show utilisateur IP-User-Mapping tous les types 
ad Active Directory
 CP captive Portal
 Edir      eDirectory
 GP global Protect
 SSO SSO
 syslog syslog
 UIA User-ID agent
 inconnu inconnu
 XMLAPI XML API              

 

Consultez la feuille de triche CLI User-ID pour des commandes CLI plus utiles.

 

Autres informations utiles sur la planification de déploiements UID :

 

Méthodes conseillées pour la sécurisation des déploiements de User-ID

 

UNE liste complète de l'ID d'événement lu par l'agent peut être trouvée dans le Guide d'administration

 

J’espère que vous avez aimé cet article. S’il vous plaît n’hésitez pas à laisser des commentaires dans la section ci-dessous.

S'il vous plaît aussi consulter les épisodes précédents à Getting Started: la série.

 

Tom