הפעם לשם שינוי אני רוצה דווקא להתחיל בסיפור של תסריט שקרה בחברה ויכול לקרות בכל חברה שאתם עובדים או תעבדו בה בעתיד.
הפקיד/ה מהחברהמחליטים לפתוח את המחשב של מהנדס הרשת ללא אישור, כמובן שלמהנדס הרשת יש הרשאות גבוהות – והם מחליטים לבצע פעולות זדוניות ברשת בשביל מטרה מסוימת. ברכיב ה Firewהכל הפעולה הזו מאופשרת, אך לא בשביל הפקיד. אל תדאגו חבר’ה , יש פתרון לבעיה הזו ע”י חברת Checkpoint.
הנושא שלנו היום הוא סוכן Identity Awareness של חברת Checkpoint.
חוקת ה firewהכל בנויה ממקור שפונה אל יעד בשירות מסוים ואנחנו כמנהלי רשת נחליט האם התעבורה הזו תעבור או תיחסם.
כתובת מקור בנויה מכתובת IP . בחברת Checkpoint עלה הצורך להסיר את ה”ערפל” ולבנות את החוקים בצורה יותר ספציפית ומדויקת כדי שנדע באמת מי המשתמש מאחורי ה IP .
הפתרון : סוכן שמותקן על כל עמדה, הסוכן נקרא Identity Awareness.
תפקיד הסוכן לגלה לנו מי המשתמש ולא לפי כתובת. בנוסף, נוכל לבצע מעקב אחר המשתמש. יש כמה מקומות בהם משתמשים יכולים להיות מאוחסנים. אני אסביר תצורה של LDAP עם שימוש בשרת DC של חברת Microsoft.
אם נרצה להשתמש בסוכן Identity Awareness של חברת Checkpoint אנו צריכים לגרום ל FW שלנו להיות מחובר אל שרת AD. מה הפעולות?
בשביל חיבור ה Firewהכל Checkpoint אל שרת ה Active Directory נדרש לבצע 3 פעולות:
1. הפעלת User Directory דרך Global Properties בשביל שיהיה תמיכה של ה firewהכל ב LDAP.
2. יצירת LDAP Account Unit, שזה אובייקט שמייצג את השרת ומאפשר יצירת חיבור בין ה- Firewהכל ל- Domain Controller.
3. יצירת LDAP Group, שזה אובייקט שמאפשר קישור בין ה- Firewהכל לבין קבוצה ב- Active Directory.
