决议
我的防火墙还能做什么?识别用户。
让我们仔细看看有哪些选项可以通过用户的用户名来识别用户,以及可以用这些信息做什么。我们将查看User-ID客户端的配置,并将其与无客户端部署进行比较,设置俘虏式门户,并准备在安全策略中使用组映==射。
准备Windows
在你开始工作之前,请下载用户识别代理。它可以在Support Portal网站的软件更新下找到。下载完安装程序后,我们建议将其安装在你的活动目录服务器上,但如果你喜欢使用不同的服务器,这并不是严格的要求。由于Windows服务器上的UAC(用户访问控制)设置,我们建议以管理员身份运行安装程序。用 "以管理员身份运行 "选项打开一个命令提示符,导航到包含安装程序文件的文件夹,并从命令行中执行安装程序。
安装过程完成后,从开始菜单中打开User-ID Agent,进入设置。点击编辑,开始配置User-ID代理。
你需要配置的第一件事是该服务将以何种用户名运行。确保该账户至少被授予以下权限(不正确/不完整的权限可能导致 "启动服务失败,错误1069 "的错误信息),请按照这篇文章一步一步地设置用户权限。How to Install User-ID Agent and Prevent 'Start service failed with error 1069'
-事件日志阅读者(在Windows 2003中审计和管理安全日志)
-服务器操作员(以服务形式运行)
-DCOM用户(用于WMI探测)
如果这有点混乱,请暂时将账户设置为管理员。
代理人接收到的登录_成功和Auth_ticket_granted/renew事件如下所示
-Windows Server 2003-所需事件的事件ID是672(验证票授予)、673(服务票授予)和674(票授予更新)。
-Windows Server 2008/2012(包括R2)或MS Exchange--所需事件的事件ID是4768(验证票授予)、4769(服务票授予)、4770(票授予更新)和4624(登录成功)。
最后,在ActiveDirectory准备列表中,确保启用成功的审计,以便在AD日志中捕获登录事件。
User-ID代理的配置
现在让我们来配置UID代理。如果你还没有专门的用户,请将用户设置为管理员,这可以在以后更改,当你对设置感到满意并有时间阅读进一步的建议时。配置的第一个标签将让你设置用户名。
下一个标签将有读取日志的频率。这将设置代理要轮询事件日志的频率,并寻找成功的登录事件,将源IP及其相关的用户账户添加到用户-IP列表中。在大多数情况下,推荐使用1秒的默认设置。
可以启用服务器会话来监控客户与服务器的连接。当大多数客户在AD上有一个驱动器映射,用来验证一个用户账户是否仍在登录并连接到其共享。
缓存选项(Cache)允许对用户-IP映射中的条目设置一个超时时间。特别是当探测功能被禁用时,这很有价值,因为它允许你删除 "陈旧 "的用户-IP映射。如果检测到一个ActiveDirectory成功的日志事件,超时就会被刷新。
在一个相当静态的办公环境中,把这个超时设置为600分钟以上是安全的,因为默认的kerberos用户票的寿命是10小时。在一个有许多用户共享工作站的非常动态的环境中,将超时设置为一个较短的时间可能更有利。
通过回到代理的主页面,快速确保服务正在运行。(Agent is running)
如果代理还没有启动,你可以从这里手动启动它点Start,或者停止 Stop。
接下来,我们将配置代理要连接的ActiveDirectory服务器,以收集用户活动的信息。打开 "发现 "页面,点击 "自动发现",这将通过使用本地机器信息来填充可用的服务器列表。其他服务器可以手动添加。如果一个服务器是多宿主,必要时可以删除多余的条目。
包括/排除(Include/Exclude)列表允许你控制哪些子网应该或不应该被监测到用户登录事件。
监控页面现在应该开始填入新的用户-IP映射。当User-ID代理第一次启动时,它将通过ActiveDirectory的最后50.000个日志条目,然后每秒钟监测新的条目。根据一天中的时间和你的服务器上的事件日志的聊天情况,可能需要一段时间才能在列表中填入可靠的活动IP地址数据库(在部署安全策略时考虑到这一点)。
现在代理已经准备好了,打开防火墙GUI。在设备选项卡中,在用户识别中,可以使用我们在用户识别代理中使用的相同参数配置无客户端部署。这在一个较小的环境中或当访问ActiveDirectory不允许安装一个软件时,可能非常有用。我们不建议在大型环境中使用无客户端部署,因为这可能会导致大量的开销。
为了连接到已安装的User-ID代理,我们需要跳到下一个标签,添加一个新的User-ID代理。
下一步是为需要 UserID 的区域启用 User Identification。不建议为面向互联网的区域启用该功能,除非用户识别ACL被设置为只为该区域的特定子网执行用户识别。如果没有设置,防火墙将查询User-ID代理,了解连接到防火墙外部接口的每个IP地址的信息。
前往 "网络 "标签,打开 "区域",打开 "信任区",并启用 "用户识别"。
在所有需要的区域都被启用后,提交配置。提交完成后,流量日志将开始显示用户信息。
强制门户认证 (Captive Portal)
对于任何不能通过传统的活动目录事件日志方式发现的用户,可以建立一个俘虏式门户系统,在这个系统中,浏览会话被拦截,用户的浏览器通过NTLM查询凭证信息,或者向用户提供一个网页表格,让用户输入用户名和密码。
由于用户可能会被重定向到一个请求认证的门户页面,最佳的用户体验是拥有一个整个组织都信任的证书,所以如果有一个证书颁发机构可以创建一个服务器证书,这将使浏览器在用户被重定向时不会弹出错误信息。如果没有本地CA,可以生成一个自签名的证书并手动导入到客户端,以改善用户体验。
前往 "Device "选项,生成一个新的自签名证书或导入一个组织证书。我把我的证书创建为一个证书颁发机构,但这并不是严格意义上的必要。作为通用名称,我设置了我的接口的IP地址,因为我将使用它作为重定向IP,但如果你有一个内部DNS服务器,你可以设置一个FQDN,如captiveportal.mycompany.com,并在重定向中使用它。
然后创建一个认证配置文件。请确保为你的环境适当地设置登录属性。对于活动目录,这通常是 "sAMAccountName"。
在 "高级 "选项中,你可以限制允许认证的用户组,但现在,我们要将其设置为 "所有"。
接下来,强制门户认证。
你要启用重定向模式,因为这将把用户重定向到防火墙界面上的一个登陆页面。这将允许在上一步创建的证书向用户展示一个适当的浏览器体验。如果不启用转接模式,防火墙将冒充原始目标URL,调用HTTP 401认证请求。然而,由于这种认证的内联性质,客户端将不会得到适当的证书,并将始终得到一个证书错误。
-设置SSL/TLS服务配置文件设置为Captive Portal证书。
-设置认证配置文件设置为ldap认证配置文件。
-设置重定向主机设置为防火墙的接口IP。如前所述,这可以是一个解析到IP的FQDN,并在证书中设置为通用名称。
为了使重定向发挥作用,该接口需要启用响应页。这些可以通过接口管理配置文件来启用。在入门系列的Layer3部分中,我们介绍了添加接口管理配置文件以允许ping--我们可以编辑该配置文件以允许响应页。
最后一步是创建Captive Portal策略。创建一个策略,动作设置为浏览器挑战,并在下面创建第二个策略,使用web-form动作。浏览器挑战策略将尝试对浏览器进行NTLM兼容认证。如果失败,第二个策略将向用户提供一个Web表单,让他们填写用户名和密码。
组图(Group Mapping)
由于你已经创建了一个LDAP配置文件,一个额外的步骤将允许从活动目录中收集组信息。然后,这些组信息可以用来创建安全策略,根据用户账户和组成员资格允许或拒绝用户。
在 "用户识别 "的 "设备 "选项卡上,进入 "group mapping"设置 "并创建一个新的配置文件。将服务器配置文件设置为LDAP配置文件,将用户域设置为NetBios域。
更新间隔默认为3600秒(60分钟)。如果你的用户经常在不同的组之间更换,减少这个时间间隔可能是有益的。在 "包括组 "列表中,你可以专门选择哪些组来检索到防火墙。
在你选择了你要使用的组之后,提交配置。提交完成后,这些组将在安全策略用户字段中可用。
现在你可以根据用户组建立安全策略。
CLI命令
有几个CLI命令可以派上用场,以验证所有用户的身份是否正确,组的信息是否准确。
> show user group name "cn=domain users,cn=users,dc=example,dc=com" short name: example.com\domain users source type: ldap source: groupmapping [1 ] example.com\administrator [2 ] example.com\astark [3 ] example.com\bstark [4 ] example.com\cgrimes [5 ] example.com\dtargaryen [6 ] example.com\jlannister [7 ] example.com\jsnow [8 ] example.com\lgrimes [9 ] example.com\rgrimes [10 ] example.com\tlannister [11 ] example.com\varys
> show user group-mapping state all
Group Mapping(vsys1, type: active-directory): groupmapping
Bind DN : administrator@example.com
Base : DC=example,DC=com
Group Filter: (None)
User Filter: (None)
Servers : configured 1 servers
10.192.16.98(389)
Last Action Time: 3418 secs ago(took 0 secs)
Next Action Time: In 182 secs
Number of Groups: 3
cn=it staff,cn=users,dc=example,dc=com
cn=human resources,cn=users,dc=example,dc=com
cn=domain users,cn=users,dc=example,dc=com
> show user ip-user-mapping all IP Vsys From User IdleTimeout(s) MaxTimeout(s) --------------- ------ ------- -------------------------------- -------------- ------------- 10.0.0.188 vsys1 UIA example\rgrimes 1304 1304 10.0.0.29 vsys1 CP example\administrator 561 2593 Total: 2 users > show user ip-user-mapping all type AD Active Directory CP Captive Portal EDIR eDirectory GP Global Protect SSO SSO SYSLOG Syslog UIA User-ID Agent UNKNOWN Unknown XMLAPI XML API
