如何使用User-ID

cancel
Showing results for 
Show  only  | Search instead for 
Did you mean: 
L2 Linker
Did you find this article helpful? Yes No
No ratings

决议
我的防火墙还能做什么?识别用户。

让我们仔细看看有哪些选项可以通过用户的用户名来识别用户,以及可以用这些信息做什么。我们将查看User-ID客户端的配置,并将其与无客户端部署进行比较,设置俘虏式门户,并准备在安全策略中使用组映==射。

 

准备Windows

在你开始工作之前,请下载用户识别代理。它可以在Support Portal网站的软件更新下找到。下载完安装程序后,我们建议将其安装在你的活动目录服务器上,但如果你喜欢使用不同的服务器,这并不是严格的要求。由于Windows服务器上的UAC(用户访问控制)设置,我们建议以管理员身份运行安装程序。用 "以管理员身份运行 "选项打开一个命令提示符,导航到包含安装程序文件的文件夹,并从命令行中执行安装程序。

 

rtaImage.png

安装过程完成后,从开始菜单中打开User-ID Agent,进入设置。点击编辑,开始配置User-ID代理。

 

你需要配置的第一件事是该服务将以何种用户名运行。确保该账户至少被授予以下权限(不正确/不完整的权限可能导致 "启动服务失败,错误1069 "的错误信息),请按照这篇文章一步一步地设置用户权限。How to Install User-ID Agent and Prevent 'Start service failed with error 1069'

-事件日志阅读者(在Windows 2003中审计和管理安全日志)

-服务器操作员(以服务形式运行)
-DCOM用户(用于WMI探测)

如果这有点混乱,请暂时将账户设置为管理员。

 

  代理人接收到的登录_成功和Auth_ticket_granted/renew事件如下所示  

admin guide

-Windows Server 2003-所需事件的事件ID是672(验证票授予)、673(服务票授予)和674(票授予更新)。
-Windows Server 2008/2012(包括R2)或MS Exchange--所需事件的事件ID是4768(验证票授予)、4769(服务票授予)、4770(票授予更新)和4624(登录成功)。

 

最后,在ActiveDirectory准备列表中,确保启用成功的审计,以便在AD日志中捕获登录事件。

rtaImage.png

 

User-ID代理的配置

 

现在让我们来配置UID代理。如果你还没有专门的用户,请将用户设置为管理员,这可以在以后更改,当你对设置感到满意并有时间阅读进一步的建议时。配置的第一个标签将让你设置用户名。

rtaImage.png

 

下一个标签将有读取日志的频率。这将设置代理要轮询事件日志的频率,并寻找成功的登录事件,将源IP及其相关的用户账户添加到用户-IP列表中。在大多数情况下,推荐使用1秒的默认设置。

 

可以启用服务器会话来监控客户与服务器的连接。当大多数客户在AD上有一个驱动器映射,用来验证一个用户账户是否仍在登录并连接到其共享。

rtaImage.png
客户端探测选项(Client Probing)让你控制是否以及如何定期探测客户机,以查看一个账户是否仍在登录中。这些探测将能够在机器登录到本地账户或突然从网络中删除用户-ip映射。然而,需要进行一些规划,因为目标机器确实需要支持这些探针。由于防火墙策略导致的探测失败,或者如果客户没有授权wmi到User-ID代理账户,将导致用户-ip映射也被删除。如果你不确定你的客户是否能够支持探测,请暂时禁用这两个探测。
rtaImage.png
 

缓存选项(Cache)允许对用户-IP映射中的条目设置一个超时时间。特别是当探测功能被禁用时,这很有价值,因为它允许你删除 "陈旧 "的用户-IP映射。如果检测到一个ActiveDirectory成功的日志事件,超时就会被刷新。

 

在一个相当静态的办公环境中,把这个超时设置为600分钟以上是安全的,因为默认的kerberos用户票的寿命是10小时。在一个有许多用户共享工作站的非常动态的环境中,将超时设置为一个较短的时间可能更有利。

rtaImage.png
代理服务标签允许你改变服务对传入防火墙连接的默认监听端口。
rtaImage.png
 
我们现在先不谈eDirectory和syslog标签,继续点击ok选项。你会看到你刚刚创建的配置的摘要和访问控制列表,你可以设置它来限制哪些IP地址或子网可以连接到User-ID代理。继续并提交新的User-ID代理配置。
 
rtaImage.png

通过回到代理的主页面,快速确保服务正在运行。(Agent is running)

rtaImage.png

如果代理还没有启动,你可以从这里手动启动它点Start,或者停止 Stop。

 

接下来,我们将配置代理要连接的ActiveDirectory服务器,以收集用户活动的信息。打开 "发现 "页面,点击 "自动发现",这将通过使用本地机器信息来填充可用的服务器列表。其他服务器可以手动添加。如果一个服务器是多宿主,必要时可以删除多余的条目。

 

包括/排除(Include/Exclude)列表允许你控制哪些子网应该或不应该被监测到用户登录事件。

 

rtaImage.png

监控页面现在应该开始填入新的用户-IP映射。当User-ID代理第一次启动时,它将通过ActiveDirectory的最后50.000个日志条目,然后每秒钟监测新的条目。根据一天中的时间和你的服务器上的事件日志的聊天情况,可能需要一段时间才能在列表中填入可靠的活动IP地址数据库(在部署安全策略时考虑到这一点)。

 

现在代理已经准备好了,打开防火墙GUI。在设备选项卡中,在用户识别中,可以使用我们在用户识别代理中使用的相同参数配置无客户端部署。这在一个较小的环境中或当访问ActiveDirectory不允许安装一个软件时,可能非常有用。我们不建议在大型环境中使用无客户端部署,因为这可能会导致大量的开销。

rtaImage.png

为了连接到已安装的User-ID代理,我们需要跳到下一个标签,添加一个新的User-ID代理。

rtaImage.png
为代理分配一个名称以方便识别,设置其IP和我们在代理配置的 "代理服务 "标签中配置的端口。只有当不同的防火墙被用作收集点,并且该防火墙需要从该防火墙收集信息时,才应使用收集器。如果Captive portal被配置为支持浏览器中的NTLM认证,则至少需要设置一个代理来充当代理。现在启用这个选项,因为一旦我们配置了Captive Portal,我将向你展示如何设置NTLM。
rtaImage.png

下一步是为需要 UserID 的区域启用 User Identification。不建议为面向互联网的区域启用该功能,除非用户识别ACL被设置为只为该区域的特定子网执行用户识别。如果没有设置,防火墙将查询User-ID代理,了解连接到防火墙外部接口的每个IP地址的信息。

 

前往 "网络 "标签,打开 "区域",打开 "信任区",并启用 "用户识别"。

rtaImage.png

在所有需要的区域都被启用后,提交配置。提交完成后,流量日志将开始显示用户信息。

rtaImage.png

 

强制门户认证 (Captive Portal)

对于任何不能通过传统的活动目录事件日志方式发现的用户,可以建立一个俘虏式门户系统,在这个系统中,浏览会话被拦截,用户的浏览器通过NTLM查询凭证信息,或者向用户提供一个网页表格,让用户输入用户名和密码。

 

由于用户可能会被重定向到一个请求认证的门户页面,最佳的用户体验是拥有一个整个组织都信任的证书,所以如果有一个证书颁发机构可以创建一个服务器证书,这将使浏览器在用户被重定向时不会弹出错误信息。如果没有本地CA,可以生成一个自签名的证书并手动导入到客户端,以改善用户体验。

 

前往 "Device "选项,生成一个新的自签名证书或导入一个组织证书。我把我的证书创建为一个证书颁发机构,但这并不是严格意义上的必要。作为通用名称,我设置了我的接口的IP地址,因为我将使用它作为重定向IP,但如果你有一个内部DNS服务器,你可以设置一个FQDN,如captiveportal.mycompany.com,并在重定向中使用它。

rtaImage.png
接下来,你需要创建一个SSL/TLS服务配置文件,以便能够使用该证书作为俘虏式门户的服务器证书。选择你希望门户支持的TLS的最小和最大版本。
 
rtaImage.png
在我们配置强制门户认证之前,还有一个步骤是启用认证。转到LDAP服务器配置文件,为活动目录服务器创建一个新的LDAP配置文件。
rtaImage.png

然后创建一个认证配置文件。请确保为你的环境适当地设置登录属性。对于活动目录,这通常是 "sAMAccountName"。

在 "高级 "选项中,你可以限制允许认证的用户组,但现在,我们要将其设置为 "所有"。

rtaImage.png

接下来,强制门户认证。

 

你要启用重定向模式,因为这将把用户重定向到防火墙界面上的一个登陆页面。这将允许在上一步创建的证书向用户展示一个适当的浏览器体验。如果不启用转接模式,防火墙将冒充原始目标URL,调用HTTP 401认证请求。然而,由于这种认证的内联性质,客户端将不会得到适当的证书,并将始终得到一个证书错误。

 

rtaImage.png

 

-设置SSL/TLS服务配置文件设置为Captive Portal证书。
-设置认证配置文件设置为ldap认证配置文件。
-设置重定向主机设置为防火墙的接口IP。如前所述,这可以是一个解析到IP的FQDN,并在证书中设置为通用名称。
为了使重定向发挥作用,该接口需要启用响应页。这些可以通过接口管理配置文件来启用。在入门系列的Layer3部分中,我们介绍了添加接口管理配置文件以允许ping--我们可以编辑该配置文件以允许响应页。

rtaImage.png

最后一步是创建Captive Portal策略。创建一个策略,动作设置为浏览器挑战,并在下面创建第二个策略,使用web-form动作。浏览器挑战策略将尝试对浏览器进行NTLM兼容认证。如果失败,第二个策略将向用户提供一个Web表单,让他们填写用户名和密码。

rtaImage.png

组图(Group Mapping)

由于你已经创建了一个LDAP配置文件,一个额外的步骤将允许从活动目录中收集组信息。然后,这些组信息可以用来创建安全策略,根据用户账户和组成员资格允许或拒绝用户。

 

在 "用户识别 "的 "设备 "选项卡上,进入 "group mapping"设置 "并创建一个新的配置文件。将服务器配置文件设置为LDAP配置文件,将用户域设置为NetBios域。

rtaImage.png

更新间隔默认为3600秒(60分钟)。如果你的用户经常在不同的组之间更换,减少这个时间间隔可能是有益的。在 "包括组 "列表中,你可以专门选择哪些组来检索到防火墙。

rtaImage.png

在你选择了你要使用的组之后,提交配置。提交完成后,这些组将在安全策略用户字段中可用。

rtaImage.png

现在你可以根据用户组建立安全策略。

rtaImage.png

CLI命令

有几个CLI命令可以派上用场,以验证所有用户的身份是否正确,组的信息是否准确。

 

  • show user group name <groupname>  来查看组的成员
> show user group name "cn=domain users,cn=users,dc=example,dc=com" 

short name:  example.com\domain users

source type: ldap
source:      groupmapping

[1     ] example.com\administrator
[2     ] example.com\astark
[3     ] example.com\bstark
[4     ] example.com\cgrimes
[5     ] example.com\dtargaryen
[6     ] example.com\jlannister
[7     ] example.com\jsnow
[8     ] example.com\lgrimes
[9     ] example.com\rgrimes
[10    ] example.com\tlannister
[11    ] example.com\varys

 

 

  • show user group-mapping state all 查看组映射配置文件的状态,以及刷新/最后一次刷新前的时间。
> show user group-mapping state all


Group Mapping(vsys1, type: active-directory): groupmapping 
        Bind DN    : administrator@example.com
        Base       : DC=example,DC=com
        Group Filter: (None)
        User Filter: (None)
        Servers    : configured 1 servers
                10.192.16.98(389)
                        Last Action Time: 3418 secs ago(took 0 secs)
                        Next Action Time: In 182 secs
        Number of Groups: 3
        cn=it staff,cn=users,dc=example,dc=com
        cn=human resources,cn=users,dc=example,dc=com
        cn=domain users,cn=users,dc=example,dc=com

 

 

  • show user ip-user-mapping all 查看所有当前识别的活跃用户以及他们是如何被识别的。
> show user ip-user-mapping all

IP              Vsys   From    User                             IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- -------------------------------- -------------- -------------
10.0.0.188      vsys1  UIA     example\rgrimes                   1304           1304         
10.0.0.29       vsys1  CP      example\administrator             561            2593         
Total: 2 users

> show user ip-user-mapping all type 
  AD        Active Directory
  CP        Captive Portal
  EDIR      eDirectory
  GP        Global Protect
  SSO       SSO
  SYSLOG    Syslog
  UIA       User-ID Agent
  UNKNOWN   Unknown
  XMLAPI    XML API

 

Rate this article:
Register or Sign-in
Contributors
Labels
Article Dashboard
Version history
Last update:
‎01-16-2023 06:20 PM
Updated by: