Identity Collector - это софт, который просматривает логи контроллеров AD, и возвращает на CheckPoint соответствие пользователя и IP адреса машины этого пользователя.
Виртуальная машина для Identity Collector:
· Windows Server 2008-2022
· 4 CPU
· 8 ГБ ОЗУ
· 100 ГБ диск
· .NET framework (version 4)
· Учётная запись в AD, входящая в группу Event Log Readers
· Сетевой доступ для Identity Collector в соответствии с таблицей: https://sc1.checkpoint.com/documents/Identity_Awareness_Clients_Admin_Gu...
· Дистрибутив “Identity Collector - for Windows OS”, скачанный с https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_do...
После установки Identity Collector, создадим в нем AD домен.
По сути, это сервера AD, с которых будут собираться логи
Секретный ключ нам понадобится позже
Сохраняем и применяем изменения.
Здесь, в указанном поле мы вводим ключ.
Шлюз будет пока недоступен, поэтому он будет желтым, и тест проходить не будет.
Применяем изменения
Если всё нормально, Gateway на Identity Collector должен стать зеленым.
Команда позволяет посмотреть, что пришло с Identity Collector:
[Expert@chkp01:0]# pdp m client_type "Identity Collector"
Команда вывалит пользователей. В случае, если связь с коллектором нарушена, пользователей не будет.
Статус контроллеров должен быть Connected, счетчики должны расти.
На уровне шлюза также должны расти счетчики и статус Connected
Создаем Networks из Private, и помещаем их в группу Private_NETs
Далее создаём правила NAT:
Здесь S и H означают Static и Hide NAT.
Создаём в следующем порядке (по правилам)
(1) NO NAT - правило, запрещающее натировать Private_NETs to Private_NETs
(10 - 15) - Общие правила натирования, которые были созданы автоматически на уровне подсетей. Создаётся пара правил для каждой подсети.
(2-7) - Правила публикации внутренних ресурсов.
Chkp_ext1 и Chkp_ext2 - кластерные белые адреса двух провайдеров, к которым подключен кластер.
(8 - 9) Правила были отключены, т.к. 443 порт используется для VPN
(11-13) - Правила безусловного NAT для определенных внутренних хостов и подсетей
(19) - Под это правило создавался сервис tcp_10443:
Создаём объект внутреннего сервера
Создаём сервис tcp и udp 19790
В правилах NAT создаём 4 правила трансляции Static:
В политиках создаём правило Test RDP:
Смотрим логи доступа к белому адресу
Если ничего не видно, трафик можно посмотреть через консоль, доходит ли трафик вообще:
fw monitor -e "accept host(195.112.100.134);"
где 195.112.100.134 - адрес клиента, пытающегося зайти
Дополнительно можно отключить акселерацию пакетов, тогда он будет ловить больше. Это замедляет обработку трафика:
fwaccel off fw monitor -e "accept host(195.112.100.134);"
Посмотреть дропнутые пакеты фаерволом и номер и номер правила:
fw ctl zdebug drop |grep 195.112.100.134
Посмотреть через tcpdump:
tcpdump -nni any host 195.112.100.134
В наших настройках мы разрешили аутентифицированным пользователям использовать SNAT.
Недоменные же пользователи будут распознаваться как анонимы, и у них будет только http, https.
Аутентификация через portal или Browser Based Authentication позволяет пользователю аутентифицироваться через браузер, которым мы можем зайти на портал Checkpoint.
Identity Agent - это программа, которая устанавливается на клиент. Позволяет автоматом аутентифицироваться и запомнить логин/пароль.
Здесь 192.168.252.250 внутрениий адрес кластера
Портал выглядит следующим образом:
Identity Agent можно скачать здесь:
https://sc1.checkpoint.com/documents/Identity_Awareness_Clients_Admin_Gu...
После установки, необходимо будет ввести адрес Checkpoint 192.168.252.250, а также доменный логин/пароль пользователя.
Добавить комментарий