Аутентификация пользователя

Аутентификация пользователя – это процесс определения является ли пользователь тем, кем он представляется, и проверки его прав доступа. На устройстве Firebox учетная запись пользователя состоит из двух частей: имя пользователя и пароль.

Каждая учетная запись пользователя привязывается к IP адресу, что позволяет администратору устройства Firebox выполнять мониторинг всех подключений через Firebox. С использованием аутентификации пользователи могут подключаться к сети с любого компьютера, но получать доступ только с сетевым портам и протоколам, использование которых им разрешено.
Firebox может отслеживать соединения, которые начинаются с определенного IP адреса, и во время аутентификации пользователя также передает имя сеанса.

Вы можете создавать политики брандмауэра, которые будут предоставлять пользователям или группе пользователей доступ к определенным сетевым ресурсам. Это особенно полезно в сетях, в которых несколько пользователей используют один компьютер с одним IP адресом. Вы можете настроить ваш Firebox, как локальный сервер аутентификации, или использовать существующий Active Directory, LDAP или RADIUS сервер аутентификации.

Если вы используете аутентификацию Firebox через порт 4100, права доступа определяются на базе имени пользователя. Если вы используете ПО для аутентификации о стороннего разработчика, права доступа пользователей, аутентификация которых осуществляется на серверах сторонних производителей, базируется на принадлежности к определенной группе.
Аутентификация пользователя WatchGuard разрешает привязку имени пользователя к IP адресу, что позволит вам аутентифицировать и мониторить соединения прямо на устройстве Firebox. Основной вопрос, которым задается каждый администратор, это «Должен ли я разрешить трафик с устройства X на устройство Y?”

Для корректной работы WatchGuard аутентификации IP адрес компьютера пользователя не должен меняться в течение  во время процедуры аутентификации.

В большинстве окружений связь между IP-адресом и пользователем стабильна и практически не меняется, и ее можно использовать для аутентификации трафика пользователя. В окружениях, в которых связь между пользователем и IP-адресом не постоянна, например в распределенных или терминальных сетях, использование аутентификации пользователя является нецелесообразным.
На сегодняшний день WatchGuard поддерживает протокол AAA (Authentication, Accounting, and Access control), который основан на стабильной связи между IP-адресом и пользователем. Мы также поддерживаем аутентификацию в домен Active Directory через Single Sign-On, а также поддерживаем наиболее часто используемые серверы аутентификации. Вдобавок мы поддерживаем параметры неактивности и ограничения по времени сеанса.

Это позволяет ограничить промежуток времени, в течение которого IP-адресу будет разрешена передача трафика через Firebox до момента, пока пользователям не придется снова вводить свои пароли.
Если вы управляете SSO доступом при помощи белых списков, управляете таймаутами неактивности пользователей, таймаутами сессий, а также управляете процедурой допуска к аутентификации, вы значительно повышаете уровень управления аутентификацией, ведением учета и доступом. Для того чтобы отключить аутентификацию пользователя, вам необходимо отключить учетную запись пользователя на сервере аутентификации.

Процедура аутентификации пользователей

Для обработки запросов аутентификации в устройстве Firebox запущен HTTPS-сервер. Для того чтобы пройти процедуру аутентификации, пользователь должен подключиться к странице аутентификации устройства Firebox:

https://IP_адрес_интерфейса_ Firebox:4100/
или
https://Имя_хоста_Firebox:4100

На этой странице вы найдете форму для аутентификации. Пользователю необходимо ввести свое имя пользователя и пароль. Firebox по протоколу PAP (Password Authentication Protocol) отправляет эти данные на сервер аутентификации.

После того как пользователь был аутентифицирован, он может использовать сетевые ресурсы. Так как Fireware XTM по умолчанию для HTTPs использует самоподписанный сертификат, вы увидите предупреждение о безопасности. Вы можете проигнорировать это сообщение. Если вы хотите, чтобы это сообщение больше не появлялось, вам необходимо установить third-party сертификат или сгенерировать свой собственный сертификат, который соответствует IP адресу или имя домена, которые использовались для аутентификации.

Закрытие аутентифицированной сессии вручную

Для того чтобы закрыть аутентифицированную сессию пользователям нет необходимости ждать пока не наступит таймаут. Они могут вручную закрыть свою сессию до того, как наступит таймаут. Для того чтобы закрыть сессию необходимо открыть страницу Authentication. Если страница будет закрыта, то для того чтобы закрыть аутентифицированную сессию пользователю необходимо будет снова аутентифицироваться.

Для того чтобы закрыть аутентифицированную сессию выполните следующее:

1. Зайдите на страницу Authentication:

https://[device interface IP address]:4100/
или
https://[device host name]:4100

2. Нажмите Logout.

Управление аутентифицированными пользователями

При помощи Firebox System Manager вы можете просматривать списки аутентифицированных пользователей и при необходимости закрывать их сессии.
Если страница Authentication настроена для автоматической переадресации на другую страницу, то через несколько секунд после того, как вы откроете страницу портала аутентификации, вы будете переадресованы. Вам необходимо выйти из системы до того, как вы будете перенаправлены на другую страницу.

Просмотр аутентифицированных пользователей

Для того чтобы посмотреть аутентифицированных пользователей на вашем Firebox выполните следующее:

1. Запустите Firebox System Manager.
2. Выберите закладку Authentication List.
Откроется список всех аутентифицированных пользователей.

Закрытие сессии пользователя

Для того чтобы закрыть сессию пользователя в Firebox System Manager выполните следующее:

1. Выберите закладку Authentication List.
Откроется список аутентифицированных пользователей.
2. Выберите одного или несколько пользователей.
3. Нажмите правой кнопкой на имя пользователя и выберите Log Off User.

Использование аутентификации для блокировки входящего трафика

Одной из функций аутентификации является блокировка исходящего трафика. Однако при помощи аутентификации вы также можете блокировать входящий трафик. Если у вас есть учетная запись на Firebox и Firebox имеет внешний публичный IP адрес, вы можете аутентифицироваться на Firebox с внешнего компьютера.

Например, вы можете ввести следующее: https://:4100/

После того, как вы будете аутентифицированы, вы можете использовать политики, настроенные для вашей учетной записи. Для того чтобы разрешить удаленному пользователю аутентифицироваться через External интерфейс выполните следующее:

1. В WSM подключитесь к устройству и откройте Policy Manager.
2. Два раза нажмите на политику WatchGuard Authentication. Эта политика появится после того, как вы к политике добавите пользователя или группу пользователей.
Откроется диалоговое окно Edit Policy Properties.
3. В выпадающем списке WG-Auth connections are выберите Allowed.
4. В секции From нажмите Add.
Откроется диалоговое окно Add Address.
5. Из списка выберите Any и нажмите Add.
6. Нажмите OK.
Any появится в секции From.
7. В секции To нажмите Add.
8. Из списка выберите Firebox и нажмите Add.
9. Нажмите OK.
Запись Firebox появится в секции To


 
10. Нажмите OK для того чтобы закрыть диалоговое окно Edit Policy Properties.

Аутентификация через Firebox шлюз

Firebox шлюз – это устройство, которое подключается к сети для защиты вашего Сервера Управления от внешних атак из сети Интернет.
Для того чтобы передавать запросы на аутентификацию через Firebox шлюз на другие устройства, вам необходимо создать политику, которая разрешает передачу трафика аутентификации на шлюзе. Если трафик аутентификации на шлюзе заблокирован, то при помощи Policy Manager добавьте политику WG-Auth. Эта политика управляет трафиком через TCP порт 4100. Эта политика должна разрешать трафика на IP адрес необходимого устройства.

Настройка глобальных параметров аутентификации

Для того чтобы настроить глобальные параметры аутентификации (таймауты и перенаправления со страницы аутентификации) и включить Single Sign-On (SSO) выполните следюущее:

1. Откройте Policy Manager.
2. Выберите Setup > Authentication > Authentication Settings.
Откроется диалоговое окно Authentication Settings
 
Настройка глобальных таймаутов аутентификации

Этот промежуток времени определяет, как долго пользователь будет оставаться аутентифицированным после закрытия аутентифицированной сессии. Величину этого таймаута вы можете настроить в диалоговых окнах Authentication Settings или Setup Firebox User.
Для пользователей, аутентифицированных серверами стороннего производителя, величины таймаутов, настроенные на этих серверах, используются вместо таймаутов, настроенных на Firebox. Таймауты аутентификации не применяются для пользователей Mobile VPN with PPTP.

Session Timeout

Промежуток времени в течение которого пользователь может передавать трафик во внешнюю сеть. Если вы значение этого поля установите равным ноль (0) секунд, минут, часов или дней, то таймаут сессии не используется и пользователь может оставаться подключенным в течение неограниченного времени.

Idle Timeout

Промежуток времени, в течение которого пользователь может оставаться подключенным в неактивном состоянии (не передает трафик во внешнюю сеть).
Если вы установите значение этого поля равным  нулю (0) секунд, минут, часов и дней, то таймаут по неактивности не используется и пользователь может оставаться подключенным в течение неограниченного времени.

Разрешить параллельные подключения

Вы можете разрешить нескольким пользователям аутентифицироваться с использованием одних и тех же атрибутов доступа на одном сервере аутентификации. Это полезно для гостевых учетных записей или в лабораторных условиях. Когда второй пользователей входит в систему под теми же именем пользователя и паролем, сессия первого аутентифицированного пользователя автоматически закрывается.

Если вы выключите эту опцию, пользователь не сможет аутентифицироваться на одном сервере.

1. Откройте диалоговое окно Authentication Settings
2. Включите опцию Allow multiple concurrent firewall authentication logins from the same account

Для пользователей Mobile VPN with IPSec и Mobile VPN with SSL параллельные подключения с одной и той же учетной записи разрешены в независимости от этой опции. Для параллельного подключения эти пользователи должны подключаться с разных IP адресов. Поэтому если пользователи находятся за Firebox, использующим NAT, они не смогут одновременно подключаться под одной и той же учетной записью. Пользователи Mobile VPN with PPTP не имеют таких ограничений.

Автоматическая переадресация пользователь на страницу аутентификации

Если вы хотите, чтобы ваши пользователи перед тем, как получить доступ в сеть Интернет, проходили процедуру аутентификации, вы можете для неаутентифицированных пользователей настроить автоматическую переадресацию на страницу аутентификации и заставить их самим заходить на страницу аутентификации. Это применяется только к HTTP и HTTPS соединениям.

Auto redirect users to authentication page for authentication

При включении этой опции, все неаутентифицированные пользователи, перед тем как получить доступ к сети Интернет, будут автоматически перенаправлены на страницу аутентификации. При выключении этой опции пользователям необходимо будет самим заходить на страницу аутентификации.

Настройка стартовой страницы по умолчанию

Если вы включите опцию Auto redirect users to authentication page for authentication, то при попытке открыть какой-либо сайт в браузере пользователь попадет на страницу аутентификации. Если вы хотите, чтобы после успешного входа в систему, пользователь попадал на другую страницу, то выполните следующее.

1. В диалоговом окне Authentication Settings включите опцию Send a redirect to the browser after successful authentication.
2. В соответствующем текстовом поле введите URI сайта, который браузер будет открывать после того, как пользователь будет успешно аутентифицирован.

Настройка таймаутов Сеанса Управления

Здесь вы можете настроить временные интервалы, в течение которых пользователь с правами чтения/записи будет оставаться аутентифицированным после того, как Firebox закроет сессию.

Session Timeout

Промежуток времени в течение которого пользователь может передавать трафик во внешнюю сеть. Если вы значение этого поля установите равным ноль (0) секунд, минут, часов или дней, то таймаут сессии не используется и пользователь может оставаться подключенным в течение неограниченного времени.

Idle Timeout

Промежуток времени, в течение которого пользователь может оставаться подключенным в неактивном состоянии (не передает трафик во внешнюю сеть). Если вы установите значение этого поля равным  нулю (0) секунд, минут, часов и дней, то таймаут по неактивности не используется и пользователь может оставаться подключенным в течение неограниченного времени.

Включение Single Sign-On

Если вы включите использование Single Sign-On (SSO), то пользователи, подключенные к Trusted или Optional сетям будут автоматически аутентифицироваться.

Политика WatchGuard Authentication (WG-Auth)

Политика WatchGuard Authentication (WG-Auth) создается автоматически на вашем Firebox. Первая созданная вами политика с указанием имени пользователя или группы пользователей в поле From (закладка Policy) автоматически создает политику WG-Auth. Эта политика управляет доступом к порту 4100, на который пользователи отправляют запросы аутентификации.
Например, для аутентификации на устройстве Firebox с IP-адресом 10.10.10.10, в адресной строке браузера введите https://10.10.10.10:4100.

Если вы хотите отправлять запросы аутентификации на определенное устройство через шлюз, то вам придется вручную добавить политику WG-Auth. Если трафик аутентификации на шлюзе заблокирован, то вам необходимо создать политику WG-Auth, которая разрешит трафик аутентификации на IP адреса назначения.

Купить WatchGuard:   Firebox X Core e-Series - Надёжное UTM-решение для растущего бизнеса. Firebox X Edge e-Series- Решение для информационной безопасности малых сетей и удаленных офисов.  Firebox X Peak e-Series - Используется в сложных, разветвленных сетях.