הפעם לשם שינוי אני רוצה דווקא להתחיל בסיפור של תסריט שקרה בחברה ויכול לקרות בכל חברה שאתם עובדים או תעבדו בה בעתיד.
הפקיד/ה מהחברהמחליטים לפתוח את המחשב של מהנדס הרשת ללא אישור, כמובן שלמהנדס הרשת יש הרשאות גבוהות – והם מחליטים לבצע פעולות זדוניות ברשת בשביל מטרה מסוימת. ברכיב ה Firewall הפעולה הזו מאופשרת, אך לא בשביל הפקיד. אל תדאגו חבר’ה , יש פתרון לבעיה הזו ע”י חברת Checkpoint.
הנושא שלנו היום הוא סוכן Identity Awareness של חברת Checkpoint.
חוקת ה firewall בנויה ממקור שפונה אל יעד בשירות מסוים ואנחנו כמנהלי רשת נחליט האם התעבורה הזו תעבור או תיחסם.
כתובת מקור בנויה מכתובת IP . בחברת Checkpoint עלה הצורך להסיר את ה”ערפל” ולבנות את החוקים בצורה יותר ספציפית ומדויקת כדי שנדע באמת מי המשתמש מאחורי ה IP .
הפתרון : סוכן שמותקן על כל עמדה, הסוכן נקרא Identity Awareness.
תפקיד הסוכן לגלה לנו מי המשתמש ולא לפי כתובת. בנוסף, נוכל לבצע מעקב אחר המשתמש. יש כמה מקומות בהם משתמשים יכולים להיות מאוחסנים. אני אסביר תצורה של LDAP עם שימוש בשרת DC של חברת Microsoft.
אם נרצה להשתמש בסוכן Identity Awareness של חברת Checkpoint אנו צריכים לגרום ל FW שלנו להיות מחובר אל שרת AD. מה הפעולות?
בשביל חיבור ה Firewall Checkpoint אל שרת ה Active Directory נדרש לבצע 3 פעולות:
1. הפעלת User Directory דרך Global Properties בשביל שיהיה תמיכה של ה firewall ב LDAP.
2. יצירת LDAP Account Unit, שזה אובייקט שמייצג את השרת ומאפשר יצירת חיבור בין ה- Firewall ל- Domain Controller.
3. יצירת LDAP Group, שזה אובייקט שמאפשר קישור בין ה- Firewall לבין קבוצה ב- Active Directory.
