Идентификации пользователей в NGFW на примере технологии User-ID от Palo Alto Networks

При помощи технологии «User-ID», брандмауэры Palo Alto Networks бесшовно интегрируются с рядом служб каталогов предприятий и служб терминалов, что позволяет использовать в политиках безопасности не только IP-адреса хостов, но и непосредственно имена пользователей и групп. 

NGFW от Palo Alto Networks поддерживает следующие корпоративные сервисы как источники данных):

• Microsoft Active Directory;
• LDAP;
• Novell eDirectory;
• Citrix Metaframe Presentation Server or XenApp;
• Microsoft Terminal Services.

Для того, чтобы создать политику, основанную на пользователях и группах, брандмауэр должен иметь список всех доступных пользователей и соответствующих им групп. Он получает это соответствие «Группа - Пользователь», напрямую подключившись к LDAP серверу. Данная процедура называется «Group Mapping».

Чтобы иметь возможность использовать политики на основе пользователей и групп, брандмауэр так же должен иметь возможность сопоставить IP-адреса отправителей/получателей в пакетах данных, с именами пользователей, которые генерируют данный трафик. Данная процедура называется «User Mapping».

Брандмауэр получает информацию необходимую для «User Mapping» либо непосредственно подключившись к серверу, либо при помощи программы-посредника User-ID агента. Информация снимается следующим способом:

• путем мониторинга логов Exchange-сервера или AD DC-сервера - поиск событий «вход в систему» (logon events);
• путем мониторинга Novell eDirectory for login information;
• непосредственным зондированием клиентских систем (clients probing).

1.1.          Коротко о Group Mapping

Для того чтобы определять политики безопасности на основе пользователей или групп, брандмауэр должен получить список групп и соответствующих им пользователей, с сервера каталогов. Чтобы включить эту функцию, необходимо создать профиль LDAP сервера (LDAP server profile), который инструктирует брандмауэр, как подключиться и аутентифицироваться на сервере и как искать (корневой) каталог для пользователей и групп. После настройки функциональности «Group Mapping» и успешного подключения к серверу LDAP, при определении политики безопасности, вы будете иметь возможность выбрать пользователей или группы. Брандмауэр поддерживает различные серверы LDAP каталога, в том числе Microsoft Active Directory (AD), Novell eDirectory и Sun ONE Directory Server.

1.2.          Коротко о User Mapping

Получив имена пользователей и групп, брандмауэр узнал только одну часть головоломки. Чтобы политика безопасности отрабатывала корректно, брандмауэр должен обладать информацией: отображение «Пользователь - IP» (каким пользователям соответствуют какие IP адреса) – “User Mapping”. Для проведения «User Mapping», необходимо, либо настроить User-ID  агента посредством установки программного агента на серверах Windows (используется, в основном, при многодоменных схемах), либо задействовав встроенный в микрокод брандмауэра WMI/NetBIOS клиент (используется при однодоменных схемах). 

Это позволяет получить отображение «Пользователь-IP» с использованием одного или нескольких методов:

1. Мониторинг журналов событий безопасности серверов Microsoft Exchange, контроллеров домена, или Novell eDirectory, на предмет наличия событий входа в систему (logon events). Например, в среде AD, агент будет контролировать журналы безопасности на предмет:

• выдачи или продления билетов (ticket) Kerberos;
• доступ  к Exchange Server (если настроено);
• доступ к файлам и службе печати (для контролируемых серверов).

2. В среде Microsoft Windows, агент может быть настроен для зондирования (probe) клиентских систем с использованием  Windows Management Instrumentation (WMI) или NetBIOS. При обнаружении неизвестного IP-адреса, осуществляется его немедленное зондирование. Затем, если зондирование включено, агент будет периодически проверять каждый известный IP адрес (по умолчанию каждые 20 минут, но это можно изменить), чтобы убедиться, что работает все тот же пользователь.

3.  В многопользовательских средах, таких как Microsoft Terminal Server или Citrix-системах, нескольким пользователям присвоен один и тот же IP-адрес. В этом случае задача процесса «User Mapping» состоит в определении для каждого пользователя комбинации «Пользователь - IP-адрес - Порт». Чтобы выполнить отображение этого типа, необходимо установить Palo Alto Networks Terminal Services Agent на Windows/ Citrix терминальный сервер.

4. Для мобильных устройств и пользователей, подключенных удаленно («родной» VPN), информацию о “User-Mapping” брандмауэру передает непосредственно Global Protect клиент.

5. Если брандмауэр или User-ID агент не в состоянии сопоставить IP-адрес пользователю, например, если пользователь не входит в систему (not logged in) или использует операционную систему (например, Linux) не поддерживаемую вашим контроллером домена, ‑ вы можете настроить Captive Portal. После настройки, любой веб-трафик (HTTP или HTTPS) соответствующий вашей политике ‑ аутентифицируется на Captive Portal. Аутентификация осуществляется, либо прозрачно ‑ через «NT LAN Manager (NTLM)-вызов» в браузере, либо активно ‑ путем  перенаправления пользователя на Web- форму для аутентификации.
Возможна аутентификация из следующих источников:

• RADIUS;
• LDAP;
• Kerberos;
• локальная база данных;
• аутентификация с использованием сертификатов.

6. Для прочих типов трафика, которые не могут быть отображены с использованием стандартных методов «User Mapping» или Captive Portal (например, пользователь использует  сторонние VPN или подключается с использованием 802.1x) ‑ обратитесь к PAN-OS XML на основе REST API.Следующая диаграмма иллюстрирует все вышеперечисленные методы идентификации / аутентификации.