ID статьи: 867
Последнее обновление: 11 ноя, 2024
Documentation: Product: LogAn Version: 7.1.x, 7.2.x Technology: Identification and Authentication
UserID — технология прозрачной аутентификации пользователей на устройствах LogAn/NGFW. Источниками данных для однозначной идентификации пользователей являются журналы безопасности операционных систем доменных контроллеров, данные журналов серверов приложений и доступа, в которых пользователи уже аутентифицированы. Для того, чтобы создавать политики, включающие пользователей и группы, межсетевому экрану необходимо сопоставить IP-адреса с пользователями, получившими эти адреса и извлечь информацию о группах, в которые они входят. UserID предоставляет несколько методов, позволяющие выполнить такое сопоставление. Например, для получения информации о пользователях UserID может просматривать журналы на серверах в поисках сообщений от служб аутентификации. Те пользователи, чьи имена не удалось сопоставить с IP-адресами, могут быть перенаправлены на специальный портал (Captive Portal) для прохождения аутентификации. Для получения информации о группах межсетевой экран подключается напрямую к серверам LDAP. В настоящий момент в качестве источников данных для аутентификации в UserID используются журналы Microsoft ActiveDirectory, данные syslog или сообщения RADIUS accounting (начиная с версии ПО 7.2.0). Для конечных пользователей работа UserID полностью прозрачна, то есть пользователям нет необходимости в явном виде проходить аутентификацию на NGFW. Принцип работы UserIDВ зависимости от сценария использования и настройки UserID получает данные о событиях, связанных с аутентификацией пользователей, одним из следующих способов: 1. Непосредственное получение данных узлом с UserID агентом от источников данных аутентификации с помощью настроенных коннекторов:
2. Работа c источником данных через посредника — специального программного агента, который устанавливается на контроллер домена или сервер сборщика событий домена (WEC):
Главные достоинства данного способа получения данных из домена AD:
Рассмотрим принцип работы технологии UserID на примере сценария взаимодействия с Active Directory в качестве источника данных для аутентификации пользователей через технологию WMI. На контроллере домена AD работает аудит событий безопасности, который записывает события по настроенным категориям в специальный журнал аудита. После создания и настройки коннектора UserID агента "Microsoft Active Directory", UserID агент начинает периодически отправлять на контроллер AD WMI-запросы для извлечения следующих событий по Event ID из журнала аудита:
Данные события позволяют UserID агенту получать информацию о регистрации пользователей и членстве в группах. Полученная информация записывается в специальную системную базу данных на LogAn. UserID агент на LogAn периодически обращается к этой базе данных, извлекает из записей имя пользователя, домен, SID, IP-адрес, список групп пользователя. Эти данные кэшируются. Интервал поиска записей в базе данных можно задать в настройках UserID агента. Время жизни данных о пользователе в кэше устанавливается в настройках коннектора UserID агента. В случае, если список групп, в которые входит пользователь, не был получен, UserID агент обращается к контроллеру домена по протоколу LDAP в соответствии с настроенным профилем аутентификации для получения информации о группах. В сценарии с использованием в качестве источника данных аутентификации пользователей серверов-источников данных syslog принцип работы аналогичен, только LogAn в этом случае выступает в роли syslog listener — принимает сообщения от отправителя syslog (номер порта и протокол устанавливаются в настройках сборщика логов, по умолчанию порт TCP 514) и затем отфильтровывает нужные события из потока принятых данных с помощью настроенных фильтров из библиотеки "Syslog фильтры UserID агента". В этом случае в базу данных сохраняются: имя пользователя, IP-адрес, SID (опционально). Для получения информации о группах, в которых зарегистрирован пользователь, UserID агент обращается к контроллеру домена по LDAP протоколу в соответствии с настроенным профилем аутентификации. В сценарии с использованием сообщений RADIUS accounting в качестве источника данных аутентификации пользователей принцип работы в целом схож. LogAn в этом сценарии выступает в роли пропускного RADIUS-сервера — принимает сообщения RADIUS accounting от серверов NAS (по порту UDP 1813) и проверяет пользователя на контроллере домена AD по LDAP в соответствии с настроенным профилем аутентификации. Использование UserID агента на LogAn позволяет масштабировать технологию UserID на другие устройства сети. Найденные в собранных данных события отправляются на другие NGFW в соответствии с политикой UserID Sharing на основании настроенных профилей редистрибуции (подробнее о профилях читайте в статье Профили редистрибуции). Данная политика позволяет при необходимости отправлять разные данные на разные узлы NGFW. На NGFW отправляются только GUID пользователя, его IP-адрес и список идентификаторов групп, участником которых он является. Такая архитектура позволяет использовать один или несколько серверов LogAn для централизованного сбора информации о пользователях с различных источников и далее централизованно и избирательно распространять эту информацию на узлы NGFW в сети. Алгоритм настройки UserIDДля настройки работы UserID необходимо выполнить ряд действий как на стороне источников данных аутентификации, так и на LogAn. На стороне источников данныхПри работе с Active Directory в качестве источника данных об аутентификации пользователей, необходимо включить аудит событий безопасности. Потребуются следующие категории:
При работе с серверами-источниками данных syslog необходимо на них настроить отправку журналов на адрес UserID агента (то есть на IP-адрес LogAn; номер порта и протокол устанавливаются в настройках сборщика логов (syslog), по умолчанию порт TCP 514). При работе с серверами RADIUS NAS необходимо на серверах настроить отправку сообщений RADIUS accounting на адрес UserID агента (то есть на IP-адрес LogAn, порт UDP 1813). На стороне LogAnНа стороне LogAn необходимо выполнить следующие настройки:
Создание коннектора UserID агентаКоннектор UserID агента в веб-консоли администратора LogAn создается в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы. Необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора:
Microsoft ADВ случае, если в качестве источника информации выступает Microsoft Active Directory необходимо: 1. Настроить источник событий. 2. Настроить параметры коннектора UserID агента для мониторинга AD. Для включения аудита событий на сервере AD необходимо отредактировать Политики Аудита в Политике домена по умолчанию и Конфигурацию расширенной политики, как указано на следующих снимках экрана, используя оснастку gpedit.msc: Для выполнения WMI-запросов необходимо создать пользователя с соответствующими привилегиями по процедуре, указанной ниже. Внимание!Эти настройки нужны для подключения агента по WMI посредством учётной записи с ограниченными правами.
1. Создать учётную запись пользователя на контроллере домена:
2. Сконфигурировать членство в группах для новой учётной записи пользователя:
3. Назначить права Distributed Component Object Model (DCOM):
4. Сконфигурировать назначения защиты пространства имён WMI:
Внимание! Обновление Windows KB5014692 может привести к появлению ошибок доступа к WMI типа: NTSTATUS: NT_STATUS_ACCESS_DENIED. В этом случае можно попробовать добавить в реестр Windows следующую информацию:
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat При использовании серверов AD в качестве источников событий UserID агент выполняет WMI-запросы для поиска событий, связанных с успешным входом в систему (идентификатор события 4624), событий Kerberos (события с номерами: 4768, 4769, 4770) и события членства в группах (идентификатор события 4627). В веб-консоли администратора LogAn в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: Microsoft AD. Далее указать следующие данные:
На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в логах AD: SyslogВ случае, если в качестве источника информации выступает сервер-источник данных syslog, необходимо: 1. Настроить источник событий. Для корректной работы коннектора UserID агента необходимо настроить сервер-источник данных syslog для отсылки журналов на адрес UserID агента. Подробнее см. документацию на сервер-источник данных syslog. Общие настройки syslog-сервера на устройстве LogAn находятся в разделе Настройки ➜ Сборщик логов ➜ Syslog. Необходимо нажать кнопку Настроить сервер в панели инструментов: В окне настроек syslog-сервера устанавливаются параметры соединения по syslog: Для протокола TCP:
Для протокола UDP:
2. Разрешить сбор информации с удалённых устройств по протоколу syslog. В настройках контроля доступа зоны, в которой находится отправитель syslog, разрешить сервис "Сборщик логов". 3. Настроить параметры коннектора UserID агента для отправителя syslog. В веб-консоли администратора LogAn в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: Отправитель syslog. Далее указать следующие данные:
На вкладке Фильтры выбираются фильтры для поиска необходимых записей журнала: Фильтры создаются и настраиваются в разделе Библиотеки ➜ Syslog фильтры UserID агента. Подробнее читайте в разделе Syslog фильтры UserID агента. На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в логах syslog: RADIUS accounting(Доступно начиная с версии ПО 7.2.0) В случае, если источником информации выступают сообщения RADIUS accounting необходимо: 1. Настроить источник событий. Для корректной работы коннектора UserID агента необходимо настроить NAS-сервер для отправки сообщений RADIUS accounting на адрес UserID агента (порт UDP 1813). Подробнее см. документацию на NAS-сервер. 2. Разрешить получение запросов RADIUS accounting от удалённых устройств. В настройках контроля доступа зон, в которых находятся NAS-серверы, разрешить сервис "Агент аутентификации". 3. Настроить параметры коннектора UserID агента для RADIUS-сервера. В веб-консоли администратора LogAn в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы необходимо нажать кнопку Добавить на панели инструментов и выбрать тип создаваемого коннектора: RADIUS-сервер. Далее указать следующие данные:
На вкладке Адреса указываются адреса хостов (NAS-серверов), с которых UserID агент будет получать события RADIUS accounting: На вкладке Каталоги пользователей выбираются каталоги, в которых происходит поиск пользователя, найденного в логах RADIUS accounting: Настройка UserID агентаНастройка общих параметров UserID агента производится в разделе Настройки ➜ Пользователи и устройства ➜ UserID агент коннекторы. Необходимо нажать кнопку Настроить агент на панели инструментов: На вкладке Общие настраиваются интервалы опроса данных:
На вкладке Ignore network list указываются списки IP-адресов, события от которых будут проигнорированы UserID агентом. Запись об игнорировании источника появится в журнале UserID: Список может быть создан в разделе Библиотеки ➜ IP-адреса, или при настройке агента (кнопка Создать и добавить новый объект). Подробнее о создании и настройке списков IP-адресов читайте в разделе IP-адреса. Данная настройка является глобальной и относится ко всем источникам. На вкладке Ignore user list указываются имена пользователей, события от которых будут проигнорированы UserID агентом. Поиск производится по Common Name (CN) пользователя AD: Данная настройка является глобальной и относится ко всем источникам. Запись об игнорировании пользователя появится в журнале UserID. Важно! При задании имени допустимо использовать символ астериск (*), но только в конце строки. ПримечаниеПри подключении NGFW к Log Analyzer возможна одновременная работа UserID агентов, настроенных на обоих устройствах. Агенты устройств будут работать независимо друг от друга. События журналов UserID агентов, полученные NGFW, как и события других журналов, будут переданы на LogAn.
ЖурналированиеUserID агент периодически обращается к настроенным источникам данных. Полученные события сохраняются в служебной базе данных без каких-либо изменений. Содержимое данной базы можно посмотреть в соответствующих журналах:
В веб-консоли администратора LogAn их можно посмотреть в разделе Журналы и отчеты ➜ Журналы: UserID агент периодически обращается к служебной базе данных и извлекает из записей событий имя пользователя, SID, домен, IP-адрес, списки групп. Результаты обработки записей событий заносятся в журнал UserID. Посмотреть его можно в том же разделе: Журналы и отчеты ➜ Журналы. Описание журналов источников данных и UserID агента читайте в разделе Журналы. Описание форматов экспорта журналов UserID находится в Приложении в разделе Описание форматов журналов.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 867
Последнее обновление: 11 ноя, 2024
Ревизия: 17
Просмотры: 4959
Комментарии: 0
Теги
|