Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Active Directory als Identitätsquelle

Erfahren Sie mehr über Active Directory als Identitätsquelle, seine Vorteile und wie ein Active Directory als Identitätsquelle funktioniert.

Eine Identitätsquelle speichert Benutzerinformationen in einer Datenbank. Sie können diese Informationen für die Benutzerauthentifizierung verwenden. Active Directory als Identitätsquelle definiert die Integration der Firewall mit Microsoft Windows Active Directory.

Trinkgeld:

Active Directory als Identitätsquelle wurde zuvor als integrierte Benutzer-Firewall bezeichnet.

Überblick über Active Directory als Identitätsquelle

Abbildung 1 veranschaulicht ein typisches Szenario, in dem Active Directory als Identitätsquelle bereitgestellt wird. Benutzer innerhalb und außerhalb der Active Directory-Domäne müssen über ein Gerät auf das Internet zugreifen.

Nützt

  • Simplifiziert Konfigurationsschritte und bietet bestmögliche Sicherheit für den Zugriff auf das Gerät.

  • Ideal für mittelständische Unternehmen und bis hin zu mittelgroßen Bereitstellungen.

  • Unterstützt hohe Verfügbarkeit (HA).

  • Die Konfiguration des Captive Portals ist für Benutzer, die sich nicht authentifizieren, optional.

Wie funktioniert Active Directory als Identitätsquelle?

Abbildung 1: Bereitstellung Active Directory as Identity Source Deployment von Active Directory als Identitätsquelle
Tabelle 1: Komponenten von Active Directory als Identitätsquelle

Komponenten

Beschreibung

Domänencontroller

Der Domänencontroller hilft beim Anwenden von Sicherheitsrichtlinien für den Anforderungszugriff auf Benutzerauthentifizierungsressourcen. Der Domänencontroller kann auch als LDAP-Server fungieren.

Domain-PC

Gruppe verbundener Windows-Computer, die Benutzerkontoinformationen und eine Sicherheitsrichtlinie gemeinsam nutzen.

Nicht-Domänen-PC

Benutzer können von jedem Standort aus mit einem Gerät mit Internetverbindung auf die Windows-Desktopumgebung zugreifen.

LDAP-Authentifizierungsserver für Nicht-Domänenbenutzer

Das LDAP-Protokoll hilft bei der Identifizierung der Gruppen, zu denen Benutzer gehören. Der Benutzername und die Gruppeninformationen werden vom LDAP-Dienst im Active Directory-Controller abgefragt.

  1. Das Gerät liest und analysiert das Windows-Ereignisprotokoll des Active Directory-Controllers und generiert eine Authentifizierungstabelle.

  2. Das Active Directory als Identitätsquelle kennt jeden Domänenbenutzer über die Authentifizierungstabelle.

  3. Das Gerät konfiguriert eine Richtlinie, die die erforderliche benutzer- oder gruppenbasierte Zugriffssteuerung erzwingt.

  4. Für alle Nicht-Domänenbenutzer oder Domänenbenutzer auf einem Nicht-Domänencomputer gibt der Administrator ein Captive Portal an, um die Authentifizierung des Benutzers zu erzwingen (wenn das Gerät das Captive Portal für den Datenverkehrstyp unterstützt).

  5. Nachdem Benutzer ihre Namen und Kennwörter eingegeben und sich authentifiziert haben, ruft das Gerät Benutzer-/Gruppeninformationen ab und setzt die Richtlinie durch.

  6. Wenn die IP-Adresse oder Benutzerinformationen nicht im Ereignisprotokoll verfügbar sind, können sich Benutzer zusätzlich zum Captive Portal erneut beim Windows-PC anmelden, um einen Ereignisprotokolleintrag zu generieren. Anschließend generiert das System den Eintrag zur Benutzerauthentifizierung.

Client für die Windows-Verwaltungsinstrumentation (WMIC)

Was ist der Windows-Verwaltungsinstrumentationsclient (WMIC)?

Wenn Sie Active Directory als Identitätsquelle konfigurieren, stellt das Gerät eine Verbindung mit der Windows-Verwaltungsinstrumentation (WMI)/dem DCOM-Modul (Distributed Component Object Module) mit dem Domänencontroller her. Das Gerät fungiert als WMI-Client (WMIC). Das Gerät liest und überwacht das Sicherheitsereignisprotokoll auf dem Domänencontroller. Das Gerät analysiert die Ereignismeldungen, um Informationen zur Zuordnung von IP-Adressen zu Benutzern zu generieren.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Lesen Sie den Abschnitt Plattformspezifisches WMIC-Verhalten , um Hinweise zu Ihrer Plattform zu erhalten.

Wie liest WMIC das Ereignisprotokoll auf dem Domänencontroller?

WMIC liest das Ereignisprotokoll auf dem Domänencontroller folgendermaßen:

  1. Das Gerät überwacht das Ereignisprotokoll in einem konfigurierbaren Intervall, das standardmäßig 10 Sekunden beträgt.

  2. Das Gerät liest das Ereignisprotokoll für eine bestimmte Zeitspanne, die Sie konfigurieren können. Die Standardzeitspanne beträgt eine Stunde.

  3. Bei jedem Start von WMIC prüft das Gerät den letzten Zeitstempel und die aktuelle Zeitspanne. Wenn der letzte Zeitstempel älter ist als die aktuelle Zeitspanne, wird die aktuelle Zeitspanne wirksam.

  4. Das Gerät kann das Ereignisprotokoll lesen, um sowohl IPv4- als auch IPv6-Adressen zu erhalten.

  5. Wenn WMIC gestartet wird, verfügt die Firewall über eine maximale Anzahl von Ereignissen, die aus dem Ereignisprotokoll gelesen werden können. Sie können die maximale Anzahl von Ereignissen nicht konfigurieren.

    Wenn WMIC gestartet wird, verwendet WMIC die maximale Anzahl mit der Zeitspanneneinstellung. Wenn der Grenzwert erreicht ist, beendet der WMIC das Lesen des Ereignisprotokolls.

  6. Nach einem Failover liest das Gerät das Ereignisprotokoll aus dem Zeitstempel des letzten Ereignisprotokolls.

Angeben von IP-Filtern zum Einschränken der IP-zu-Benutzer-Zuordnung

Sie können die IP-Filter angeben, um die Zuordnungsinformationen zwischen IP-Adressen und Benutzern einzuschränken, die das Gerät aus dem Ereignisprotokoll generiert.

Um zu verstehen, wann ein Filter für eine solche Zuordnung nützlich ist, betrachten Sie das folgende Szenario. Ein Kunde stellt 10 Geräte in einer Domain bereit, und jedes Gerät steuert eine Zweigstelle. Alle 10 Geräte lesen alle 10 Ereignisprotokolle für die Anmeldung von Zweigstellenbenutzern im Domänencontroller. Das Gerät ist jedoch so konfiguriert, dass es nur erkennt, ob der Benutzer in der von ihm gesteuerten Verzweigung authentifiziert ist. Durch die Konfiguration eines IP-Filters auf dem Gerät liest das Gerät nur das IP-Ereignisprotokoll, das unter seiner Kontrolle steht.

Sie können einen Filter so konfigurieren, dass IP-Adressen oder Präfixe ein- oder ausgeschlossen werden. Sie können maximal 20 Adressen für jeden Filter angeben.

Überprüfung und Statistiken des Windows-Ereignisprotokolls

Sie können überprüfen, ob die Authentifizierungstabelle IP-Adresse und Benutzerinformationen erhält, indem Sie den show services user-identification active-directory-access active-directory-authentication-table all Befehl eingeben. Für jede Domäne wird eine Liste der IP-Adress-zu-Benutzer-Zuordnungen angezeigt. Die Tabelle enthält keine Gruppeninformationen, bis LDAP ausgeführt wird.

Sie können Statistiken zum Lesen des Ereignisprotokolls anzeigen, indem Sie den show services user-identification active-directory-access ip-user-mapping statistics domain Befehl ausgeben.

Firewall-Authentifizierung als Backup für WMIC

Die primäre Methode für Active Directory als Identitätsquelle zum Abrufen von IP-Adressen-zu-Benutzer-Zuordnungsinformationen besteht darin, dass das Gerät als WMI-Client (WMIC) fungiert. Die Funktionen zum Lesen von Ereignisprotokollen und zum Austesten von PCs verwenden jedoch beide WMI, und die Verwendung einer globalen Richtlinie zum Deaktivieren des WMI-zu-PC-Tests wirkt sich auf das Lesen von Ereignisprotokollen aus. Dies kann zum Fehler der PC-Sonde führen, und es ist eine Sicherungsmethode zum Abrufen von IP-Adress-zu-Benutzer-Zuordnungen erforderlich. Bei dieser Methode wird die Firewallauthentifizierung verwendet, um Benutzer zu identifizieren.

Weitere Informationen finden Sie unter Domain PC Probing.

Wenn eine Domäne in dieser Anweisung konfiguriert ist, erkennt, fwauth dass es sich bei der Domäne um einen Domänenauthentifizierungseintrag handelt, und sendet den Domänennamen zusammen mit der Authentifizierungsanforderung an den fwauth Prozess. Nachdem die Authentifizierungsantwort empfangen wurde, fwauth wird dieser Domänenauthentifizierungseintrag gelöscht. Der fwauth Prozess sendet die Quell-IP-Adresse, den Benutzernamen, die Domäne und andere Informationen an den UserID-Prozess, der überprüft, ob es sich um einen gültigen Domänenbenutzereintrag handelt. Der nachfolgende Datenverkehr trifft auf diesen Benutzer-Firewall-Eintrag.

Sondierung von Domänen-PCs

Was ist Domain PC Probing?

Die Untersuchung von Domänen-PCs fungiert als Ergänzung zum Lesen von Ereignisprotokollen. Wenn sich ein Benutzer bei der Domäne anmeldet, enthält das Ereignisprotokoll diese Informationen. Der PC-Test wird nur ausgelöst, wenn keine IP-zu-Adress-Zuordnung aus dem Ereignisprotokoll vorhanden ist.

Die Domäneninformationen ändern sich ständig, wenn sich Benutzer bei Domänen-PCs an- und abmelden. Die Active Directory-Funktion als Identitätsquelle testet einen Mechanismus zum Nachverfolgen und Überprüfen von Informationen in den Authentifizierungstabellen, indem Domänen-PCs direkt nach IP-Adressen-zu-Benutzer-Zuordnungsinformationen durchsucht werden. Neue und geänderte Informationen, die vom Test identifiziert werden, dienen dazu, die Einträge der Active Directory-Authentifizierungstabelle zu aktualisieren, was für die Aufrechterhaltung der Firewallintegrität von entscheidender Bedeutung ist.

Der IP-Adressfilter wirkt sich auch auf die PC-Sonde aus. Nachdem Sie den IP-Adressfilter konfiguriert haben, wird nur die im Filter angegebene IP-Adresse überprüft.

Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.

Lesen Sie den Abschnitt Plattformspezifisches Verhalten der Proberate, um Hinweise zu Ihrer Plattform zu erhalten.

Domänen-PC-Sondierung Benutzerinformationen

Das Active Directory als Identitätsquelle verfolgt den Online-Status von Benutzern, indem es Domänen-PCs überprüft. Wenn ein Benutzer nicht online ist oder kein erwarteter Benutzer ist, wird die Active Directory-Authentifizierungstabelle entsprechend aktualisiert. Es gelten die folgenden Testverhalten:

On-demand probing

On-Demand-Tests treten auf, wenn ein Paket aufgrund eines fehlenden Eintrags in der Active Directory-Authentifizierungstabelle verworfen wird. In diesem Fall wird der Authentifizierungstabelle ein Eintrag mit dem Status "Ausstehend" hinzugefügt, und der Domänen-PC, der durch das Feld "Quell-IP" des verworfenen Pakets identifiziert wird, wird nach IP-Adresse und Benutzerinformationen durchsucht. Der Eintrag verbleibt im Status "Ausstehend", bis eine Antwort vom Test empfangen wird.
Manual probing

Die manuelle Sondierung wird verwendet, um den Online-Status eines Benutzers oder einer Reihe von Benutzern zu überprüfen und Fehler zu beheben, und liegt im Ermessen des Systemadministrators.

Anmerkung:

Manuelle Tests können dazu führen, dass Einträge aus der Active Directory-Authentifizierungstabelle entfernt werden. Wenn Ihr PC beispielsweise aufgrund eines Netzwerkproblems nicht reagiert, z. B. wenn der PC zu ausgelastet ist, wird der IP-Adresseneintrag des PCs als invalid markiert und Ihr Zugriff blockiert.

Basierend auf der Testantwort des Domänen-PCs werden Aktualisierungen an der Active Directory-Authentifizierungstabelle vorgenommen, und die zugehörigen Firewall-Richtlinien werden wirksam. Wenn nach 90 Sekunden keine Antwort vom Test empfangen wird, tritt beim Authentifizierungseintrag eine Zeitüberschreitung auf. Der Authentifizierungseintrag mit Zeitüberschreitung ist der Authentifizierungseintrag für den Status "Ausstehend", der beim Starten des PC-Tests generiert wird.

Wenn der Test erfolgreich ist, wird der Status des Authentifizierungseintrags von "Ausstehend" auf "Gültig" aktualisiert. Wenn der Test nicht erfolgreich ist, wird der Status des Authentifizierungseintrags als ungültig markiert. Der ungültige Eintrag hat die gleiche Lebensdauer wie ein gültiger Eintrag und wird durch anstehende fwauth-Authentifizierungsergebnisse (Firewall Authentication Process) oder durch das Ereignisprotokoll überschrieben.

Wenn das Gerät aus irgendeinem Grund, z. B. aufgrund einer Netzwerkkonfiguration oder eines Problems mit der Windows-Firewall, nicht auf einen Domänen-PC zugreifen kann, schlägt der Test fehl.

Weitere Testantworten und entsprechende Authentifizierungstabellenaktionen finden Sie in Tabelle 2.

Tabelle 2: Testantworten und zugehörige Aktionen der Active Directory-Authentifizierungstabelle

Probe-Antwort vom Domänen-PC

Active Directory-Authentifizierungstabellenaktion

Gültige IP-Adresse und Benutzername

IP-bezogener Eintrag hinzufügen.

Angemeldeter Benutzer geändert

IP-bezogener Eintrag aktualisieren.

Abfallzeit

Aktualisieren Sie den IP-bezogenen Eintrag als ungültig.

Zugriff abgelehnt

Aktualisieren Sie den IP-bezogenen Eintrag als ungültig.

Verbindung abgelehnt

Aktualisieren Sie den IP-bezogenen Eintrag als ungültig.

Authentifizierung fehlgeschlagen

(Der konfigurierte Benutzername und das Kennwort haben keine Berechtigung, den Domänen-PC zu testen.)

Aktualisieren Sie den IP-bezogenen Eintrag als ungültig.

Wie konfiguriere ich die Sonde?

Die Sondierung auf Anforderung ist standardmäßig aktiviert. Um die bedarfsgesteuerte Sondierung zu deaktivieren, können Sie die set services user-identification active-directory-access no-on-demand-probe Anweisung verwenden. Löschen Sie diese Anweisung, um die Überprüfung wieder zu aktivieren. Wenn die Sondierung auf Anforderung deaktiviert ist, ist die manuelle Sondierung verfügbar.

Um eine manuelle Sondierung zu initiieren, können Sie den request services user-identification active-directory-access ip-user-probe address ip-address address domain domain-name Befehl verwenden. Wenn kein Domänenname angegeben ist, prüft der Test die erste konfigurierte Domäne für die IP-Adresse. Um einen Bereich anzugeben, verwenden Sie die entsprechende Netzwerkadresse.

Der Timeoutwert für den Test ist konfigurierbar. Wenn innerhalb des wmi-timeout Intervalls keine Antwort vom Domänen-PC empfangen wird, schlägt der Test fehl, und das System erstellt entweder einen ungültigen Authentifizierungseintrag oder aktualisiert den vorhandenen Authentifizierungseintrag als ungültig. Wenn bereits ein Authentifizierungstabelleneintrag für die getestete IP-Adresse vorhanden ist und innerhalb des wmi-timeout Intervalls keine Antwort vom Domänen-PC empfangen wird, schlägt der Test fehl, und dieser Eintrag wird aus der Tabelle gelöscht.

Weitere Informationen finden Sie unter Konfigurieren von Active Directory als Identitätsquelle auf der Firewall der SRX-Serie.

Sondierungsrate und Statistiken

Die maximale Testrate für das Active Directory als Identitätsquelle ist standardmäßig festgelegt und kann nicht geändert werden. Die Probefunktion unterstützt 5000 Benutzer oder bis zu 10 Prozent der gesamten unterstützten Authentifizierungseinträge, je nachdem, welcher Wert kleiner ist. Die Unterstützung von 10 Prozent bedeutet, dass die Anzahl der IP-Adressen, die auf eine Untersuchung warten, zu keinem Zeitpunkt 10 Prozent überschreiten darf.

LDAP für Active Directory als Identitätsquelle

Wozu dient LDAP für Active Directory als Identitätsquelle?

Die Verwendung von LDAP in diesem Abschnitt gilt speziell für LDAP-Funktionen innerhalb des Active Directory als Identitätsquelle.

Um die Benutzer- und Gruppeninformationen zu erhalten, die für die Implementierung des Active Directory als Identitätsquelle erforderlich sind, verwendet das Gerät das Lightweight Directory Access Protocol (LDAP). Das Gerät fungiert als LDAP-Client, der mit einem LDAP-Server kommuniziert. In einem allgemeinen Implementierungsszenario des Active Directory als Identitätsquelle fungiert der Domänencontroller als LDAP-Server. Das LDAP-Modul im Gerät fragt standardmäßig das Active Directory im Domänencontroller ab.

Das Gerät lädt Benutzer- und Gruppenlisten vom LDAP-Server herunter. Das Gerät fragt auch den LDAP-Server nach Benutzer- und Gruppenaktualisierungen ab. Das Gerät lädt eine Benutzer-zu-Gruppen-Zuordnungsbeziehung der ersten Ebene herunter und berechnet dann eine vollständige Benutzer-zu-Gruppen-Zuordnung.

Wie funktioniert LDAP für Active Directory als Identitätsquelle?

Der Benutzername, das Kennwort, die IP-Adresse und der Port des LDAP-Servers sind optional, können aber konfiguriert werden.

  • Wenn der Benutzername und das Kennwort nicht konfiguriert sind, verwendet das System den Benutzernamen und das Kennwort des konfigurierten Domänencontrollers.

  • Wenn die IP-Adresse des LDAP-Servers nicht konfiguriert ist, verwendet das System die Adresse eines der konfigurierten Active Directory-Domänencontroller.

  • Wenn der Port nicht konfiguriert ist, verwendet das System Port 389 für Klartext oder Port 636 für verschlüsselten Text.

Standardmäßig verwendet die LDAP-Authentifizierungsmethode die einfache Authentifizierung. Der Benutzername und das Passwort des Clients werden im Klartext an den LDAP-Server gesendet. Denken Sie daran, dass das Passwort klar ist und aus dem Netzwerk ausgelesen werden kann.

Um zu vermeiden, dass das Kennwort offengelegt wird, können Sie die einfache Authentifizierung innerhalb eines verschlüsselten Kanals [d. h. Secure Sockets Layer (SSL)] verwenden, solange der LDAP-Server LDAP über SSL (LDAPS) unterstützt. Nach der Aktivierung von SSL werden die vom LDAP-Server an das Gerät gesendeten Daten verschlüsselt. Informationen zum Aktivieren von SSL finden Sie in der user-group-mapping Anweisung.

Geräteidentität

Sie können die Authentifizierungsfunktion Active Directory als Identitätsquelle verwenden, um den Zugriff auf Netzwerkressourcen basierend auf den Attributen oder Merkmalen des verwendeten Geräts zu steuern. Nachdem Sie die Authentifizierungsfunktion für die Geräteidentität konfiguriert haben, können Sie Sicherheitsrichtlinien konfigurieren, die den Datenverkehr vom identifizierten Gerät basierend auf der Richtlinienaktion zulassen oder verweigern.

Weitere Informationen finden Sie unter Beispiel: Konfigurieren der Authentifizierungsfunktion für die Geräteidentität.

Warum sollten Sie die Geräteidentität verwenden, um den Zugriff auf Ihr Netzwerk zu steuern?

Aus verschiedenen Gründen kann es sinnvoll sein, den Zugriff auf Ihre Netzwerkressourcen anhand der Identität des Geräts des Benutzers und nicht anhand der Identität des Benutzers zu steuern. Das Feature Active Directory als Identitätsquelle für Geräteidentitäten wurde entwickelt, um eine Lösung für diese und ähnliche Situationen zu bieten, indem es Ihnen ermöglicht, den Netzwerkzugriff basierend auf Attributen des Geräts des Benutzers zu steuern.

Das Gerät empfängt oder erhält die Geräteidentitätsinformationen von der Authentifizierungsquelle auf die gleiche Weise wie die Benutzeridentitätsinformationen, abhängig von der Authentifizierungsquelle. Der Prozess, bei dem die Geräteidentitätsinformationen abgerufen und in der Tabelle mit den Geräteidentitätsinformationen gespeichert werden, umfasst die folgenden Aktionen seitens des Geräts:

  • Abrufen der Geräteidentitätsinformationen.

    Abhängig von der Authentifizierungsquelle verwendet das Gerät eine der beiden folgenden Methoden, um die Geräteidentitätsinformationen abzurufen:

    • Microsoft Active Directory als Identitätsquelle: Wenn Ihre Umgebung für die Verwendung von Microsoft Active Directory eingerichtet ist, erhält die Firewall oder das Gerät der NFX-Serie die IP-Adresse und die Gruppen des Geräts vom Active Directory-Domänencontroller und LDAP-Dienst. Das Gerät kann die Geräteinformationen aus dem Ereignisprotokoll des Domänencontrollers extrahieren und dann eine Verbindung mit dem Active Directory-LDAP-Server herstellen, um die Namen der Gruppen abzurufen, denen das Gerät angehört. Das Gerät verwendet die Informationen, die es aus dem Ereignisprotokoll erhalten hat, um die Informationen des Geräts im LDAP-Verzeichnis zu suchen.

    • Network Access Control (NAC)-Systeme von Drittanbietern: Wenn Ihre Netzwerkumgebung für eine NAC-Lösung konfiguriert ist und Sie sich für diesen Ansatz entscheiden, sendet das NAC-System die Informationen zur Geräteidentität an die Firewall oder das Gerät der NFX-Serie. Diese Authentifizierungssysteme verwenden den POST-Dienst der RESTful Webservices-API, der als Web-API bezeichnet wird. Das Gerät implementiert die API und macht es den Authentifizierungssystemen zur Verfügung, damit diese die Geräteidentitätsinformationen an die Firewall senden können. Die API verfügt über eine formale XML-Struktur und Einschränkungen, die die Authentifizierungsquelle einhalten muss, um diese Informationen an das Gerät zu senden.

      Warnung:

      Wenn Sie diesen Ansatz wählen, müssen Sie überprüfen, ob Ihre NAC-Lösung mit dem Gerät funktioniert.

  • Erstellen eines Eintrags für das Gerät in der Authentifizierungstabelle für die Geräteidentität.

    • Nachdem die Firewall die Geräteidentitätsinformationen abgerufen hat, erstellt sie einen Eintrag dafür in der Authentifizierungstabelle für die Geräteidentität. Die Authentifizierungstabelle für die Geräteidentifikation ist von der Active Directory-Authentifizierungstabelle oder einer der anderen lokalen Authentifizierungstabellen getrennt, die für Authentifizierungsquellen von Drittanbietern verwendet werden.

    • Im Gegensatz zu lokalen Benutzerauthentifizierungstabellen, die für eine Authentifizierungsquelle oder -funktion spezifisch sind, enthält die Authentifizierungstabelle für die Geräteidentität Informationen zur Geräteidentität für alle Authentifizierungsquellen. Es kann jedoch jeweils nur eine Authentifizierungsquelle, z. B. Active Directory, aktiv sein. Die Firewall lässt zu, dass jeweils nur eine Authentifizierungsquelle verwendet wird, um die Anforderung an das System zur Verarbeitung von Informationen einzuschränken.

    • Der Zweck des Abrufens der Geräteinformationen und ihrer Eingabe in die Authentifizierungstabelle für die Geräteidentität besteht darin, den Benutzerzugriff auf Netzwerkressourcen basierend auf der Identität des Geräts zu steuern. Dazu müssen Sie auch Sicherheitsrichtlinien konfigurieren, die das Gerät basierend auf dem angegebenen Geräteidentitätsprofil identifizieren, und die Aktion angeben, die für den Datenverkehr von diesem Gerät ausgeführt werden soll.

    • Die Funktion zur Authentifizierung der Geräteidentität bietet eine generische Lösung, bei der Informationen zur Geräteidentität unabhängig von der Authentifizierungsquelle in derselben Tabelle gespeichert werden.

Geräteidentitätsattribute und -profile

Das Geräteidentitätsprofil, das in der CLI als bezeichnet wird end-user-profile, ist eine Schlüsselkomponente der Authentifizierungsfunktion für Active Directory-Ursprungsgeräte. Es identifiziert das Gerät und gibt seine Attribute an.

Geräteidentität

Die Geräteidentität besteht im Wesentlichen aus der IP-Adresse des Geräts, seinem Namen, seiner Domäne und den Gruppen, denen das Gerät angehört.

Die folgende Ausgabe zeigt z. B. Informationen über das Gerät, auf die aus dem Geräteidentitätsprofil verwiesen wird. In diesem Beispiel wird gezeigt, dass die Authentifizierungstabelle für die Geräteidentität Einträge für zwei Geräte enthält. Für jeden Eintrag werden die IP-Adresse des Geräts, der dem Gerät zugewiesene Name und die Gruppen, zu denen das Gerät gehört, angezeigt. Beachten Sie, dass beide Geräte zur Gruppe grp4 gehören.

Geräteidentitätsprofil

Ein Geräteidentitätsprofil gibt den Namen des Geräts und Informationen an, die die IP-Adresse des Geräts, Gruppen, zu denen das Gerät gehört, und Attribute des Geräts gehören, die zusammen als Hostattribute bezeichnet werden. Die Packet Forwarding Engine des Geräts ordnet die IP-Adresse eines Geräts dem Geräteidentitätsprofil zu.

Wenn Datenverkehr von einem Gerät bei der Firewall oder der NFX-Serie eintrifft, ruft das Gerät die IP-Adresse des Geräts aus dem ersten Paket des Datenverkehrs ab und verwendet sie, um in der Authentifizierungstabelle für die Geräteidentität nach einem übereinstimmenden Geräteidentitätseintrag zu suchen. Anschließend wird dieses Geräteidentitätsprofil mit einer Sicherheitsrichtlinie abgeglichen, deren source-end-user-profile Feld den Namen des Geräteidentitätsprofils angibt. Wenn eine Übereinstimmung gefunden wird, wird die Sicherheitsrichtlinie auf den vom Gerät ausgehenden Datenverkehr angewendet.

Dasselbe Geräteidentitätsprofil kann auch für andere Geräte gelten, die dieselben Attribute verwenden. Damit jedoch dieselbe Sicherheitsrichtlinie angewendet wird, müssen das Gerät und sein Datenverkehr mit allen anderen Feldern in der Sicherheitsrichtlinie übereinstimmen.

Ein Geräteidentitätsprofil muss den Domänennamen enthalten. Es kann mehr als einen Satz von Attributen enthalten, muss aber mindestens eines enthalten. Betrachten Sie die folgenden beiden Gruppen von Attributen, die zu dem Profil mit dem Namen marketing-main-alice gehören. Das Profil enthält die folgenden Attribute:

  • alice-T430 als Name des Geräts.

  • MARKETING und WEST-COAST als die Gruppen, zu denen das Gerät gehört.

  • example.net als Name der Domäne, zu der es gehört.

Das Profil weist auch die folgenden Attribute auf, die das Gerät charakterisieren:

  • Laptop als Gerätekategorie (Gerätekategorie)

  • Lenovo als Geräteanbieter (device-vendor)

  • ThinkPad T430 als Gerätetyp (device-type)

In Fällen wie dem marketing-main-alice-Profil, das den dem Gerät zugewiesenen Namen enthält, gilt das Profil ausschließlich für dieses Gerät.

Nehmen wir nun an, dass ein anderes Profil mit dem Namen marketing-west-coast-T430 konfiguriert wurde und die gleichen Attribute wie das marketing-main-alice-Profil enthält, mit einer Ausnahme: Der Name, der dem Gerät im Profil marketing-main-alice zugewiesen wurde, wurde nicht als Attribut im Profil marketing-west-coast-T430 enthalten. In diesem Fall bilden die im Profil enthaltenen Attribute nun ein Gruppenprofil. Die Anwendung des Profils wird auf alle Lenovo ThinkPad T430-Geräte (bei denen es sich um Laptops handelt) erweitert, die den übrigen im Profil definierten Eigenschaften oder Attributen entsprechen.

Geräte werden vom Profil abgedeckt, wenn alle anderen Attribute übereinstimmen: Geräte, die entweder zur Gruppe MARKETING oder zur Gruppe WEST-COAST gehören, die das Profil marketing-west-coast-T430 als Gruppen angibt, oder zu beiden Gruppen stimmen mit dem Profil überein.

Wie bereits erwähnt, kann ein Geräteidentitätsprofil mehr als eine Gruppe enthalten. Ein Gerät kann auch zu mehr als einer Gruppe gehören.

Beachten Sie zur weiteren Veranschaulichung, dass das Gruppengeräteidentitätsprofil mit dem Namen marketing-west-coast-T430 auch für das Gerät mit dem Namen alice-T430 gilt, da dieses Gerät sowohl zur MARKETING- als auch zur WESTCOAST-Gruppe gehört und mit allen anderen im Profil definierten Attributen übereinstimmt. Natürlich gilt das Produktidentitätsprofil marketing-main-alice auch weiterhin für das Gerät mit der Bezeichnung alice-T430. Daher gehört das Gerät mit der Bezeichnung alice-T430 zu mindestens zwei Gruppen und wird von mindestens zwei Geräteidentitätsprofilen abgedeckt.

Angenommen, ein anderes Profil mit dem Namen "marketing-human-resources" wurde mit allen Attributen des Geräteidentitätsprofils "marketing-west-coast-T430" definiert, jedoch mit den folgenden Unterschieden: Das neue Geräteidentitätsprofil enthält eine Gruppe mit dem Namen "HUMAN-RESOURCES" und nicht die Gruppe mit dem Namen "WEST-COAST". Sie enthält jedoch die Gruppe MARKETING.

Da das Gerät mit der Bezeichnung alice-T430 zur Gruppe MARKETING gehört, die als Gruppe im Marketing-Personalprofil verbleibt, stimmt das Gerät alice-T430 auch mit dem Identitätsprofil des Marketing-Personalwesens überein. Jetzt stimmt das alice-T430-Gerät mit drei Profilen überein. Wenn die Namen eines dieser Profile im source-end-user-profile einer Sicherheitsrichtlinie angegeben sind und das alice-T430-Gerät mit allen anderen Feldern im Sicherheitsprofil übereinstimmt, wird die Aktion dieses Profils auf den Datenverkehr von diesem Gerät angewendet.

Die vorherigen Beispiele für Geräteidentitätsprofile veranschaulichen die folgenden Punkte:

  • Es kann ein Profil definiert werden, um nur ein Gerät zu identifizieren, oder es kann so definiert werden, dass es auf viele Geräte angewendet wird.

  • Ein Geräteidentitätsprofil kann mehr als eine Gruppe enthalten, zu der ein bestimmtes Gerät gehört.

  • Ein Gerät kann mit mehr als einem Geräteidentitätsprofil übereinstimmen, indem es die Merkmale oder Attribute abgleicht, einschließlich mindestens einer der Gruppen, die für das Profil konfiguriert sind.

Die flexible Verwendung von Geräteidentitätsprofilen wird deutlich, wenn Sie Sicherheitsrichtlinien konfigurieren, die das Feld source-end-user-profile enthalten sollen, insbesondere wenn die Aktion der Richtlinie auf eine Reihe von Geräten angewendet werden soll.

Abgleich von Sicherheitsrichtlinien und Geräteidentitätsprofile

Das Gerät folgt den Standardregeln für den Abgleich des Datenverkehrs mit den Sicherheitsrichtlinien. Das folgende Verhalten bezieht sich auf die Verwendung eines Geräteidentitätsprofils in einer Sicherheitsrichtlinie zum Ermitteln einer Übereinstimmung:

  • Die Verwendung eines Geräteidentitätsprofils in einer Sicherheitsrichtlinie ist optional.

    • Wenn im Feld source-end-user-profile kein Geräteidentitätsprofil angegeben ist, any wird das Profil angenommen.

    • Sie können das Schlüsselwort any nicht im source-end-user-profile Feld einer Sicherheitsrichtlinie verwenden.

      Wenn Sie das Feld source-end-user-profile in einer Sicherheitsrichtlinie verwenden, müssen Sie auf ein bestimmtes Profil verweisen. Das Gerät, von dem aus der Zugriffsversuch erfolgt, muss mit den Attributen des Profils übereinstimmen.

  • In einer einzigen Sicherheitsrichtlinie kann nur ein Geräteidentitätsprofil angegeben werden.

  • Eine erneute Übereinstimmung der Sicherheitsrichtlinie wird ausgelöst, wenn der source-end-user-profile Feldwert der Sicherheitsrichtlinie geändert wird. Wenn ein Attributwert eines Profils geändert wird, wird keine erneute Übereinstimmung ausgelöst.

Vordefinierte Geräteidentitätsattribute

Die Firewall stellt die vordefinierten Richtlinienattribute für die Geräteidentität bereit, die mithilfe der RESTful-Webservice-API von Drittanbietern konfiguriert werden, die von NAC-Systemen oder Active Directory-LDAP verwendet wird.

  • Geräteidentität

  • Gerätekategorie

  • Geräteanbieter

  • Gerätetyp

  • device-os

  • Version des Gerätebetriebssystems

Sie geben Werte für diese Attribute in einem Geräteidentitätsprofil an.

Merkmale von Geräteidentitätsprofilen und -attributen und Zielskalierung

In diesem Abschnitt wird beschrieben, wie die Firewall und die Geräte der NFX-Serie mit Geräteidentitätsattributen und -profilen umgehen. Außerdem werden geräteunabhängige und geräteabhängige Skalierungszahlen für diese Entitäten angegeben.

Die folgenden Attribut- und Profilmerkmale gelten für die Verwendung auf allen unterstützten Firewalls und Geräten der NFX-Serie.

  • Die maximale Länge der folgenden Entitäten beträgt 64 Bytes: Geräteidentität, Profilnamen (in der CLI als end-user-profile bezeichnet), Attributnamen, Attributwerte.

  • Sie können Werte in einem Bereich nicht überlappen, wenn Sie mehr als einen digitalen Wertebereich für dasselbe Attribut konfigurieren.

  • Wenn das Gerät ein Geräteidentitätsprofil mit einer Sicherheitsrichtlinie abgleicht, werden alle Attribute im Profil berücksichtigt. So werden sie behandelt:

    • Wenn das Geräteidentitätsprofil mehrere Werte für ein Attribut enthält, werden die Werte dieses Attributs einzeln behandelt. Man sagt, dass sie ORed sind.

      Damit die Sicherheitsrichtlinie auf das Gerät angewendet werden kann, müssen die folgenden Bedingungen erfüllt sein. Das Gerät muss den folgenden Funktionen entsprechen:

      • Einer der Werte für jedes Attribut, das mehrere Werte hat.

      • Die restlichen Attributwerte, die im Geräteidentitätsprofil angegeben sind.

      • Die Werte des Sicherheitsrichtlinienfelds.

    • Alle einzelnen Attribute, die einen einzelnen Wert aufweisen, werden separat behandelt und zusammen als Sammlung von Werten betrachtet, d. h., der AND-Vorgang wird auf sie angewendet. Das Gerät verwendet seine standardmäßigen Richtlinienabgleichskriterien bei der Verarbeitung dieser Attribute.

Tabelle 3 zeigt die plattformunabhängigen Skalierungswerte, die in der Funktion zur Authentifizierung der Geräteidentität verwendet werden.

Tabelle 3: Plattformunabhängige Skalierung

Artikel

Maximum

Werte pro Attribut

20

Attribute pro Profil

100

Angabe des Geräteidentitätsprofils pro Sicherheitsrichtlinie (source-end-user-profile)

1

Tabelle 4 zeigt die plattformabhängigen Skalierungswerte, die in der Funktion zur Authentifizierung der Geräteidentität verwendet werden.

Tabelle 4: Plattformabhängige Skalierung

Bahnsteig

Maximale Anzahl von Profilen

Maximale Gesamtanzahl der Attributwerte

SRX5000-Reihe

4000

32000

SRX1500

1000

8000

SRX300, SRX320

100

1000

SRX340, SRX345

100

1000

Virtuelle Firewall vSRX

500

4000

NFX150

100

1000

Die folgenden Änderungen an Geräteidentitätsprofilen und deren Verwendung in Sicherheitsrichtlinien führen nicht dazu, dass das Gerät einen Sitzungsscan durchführt:

  • Aktualisierungen eines Profils, auf das in einer Sicherheitsrichtlinie verwiesen wird.

  • Aktualisierungen der Profilkonfiguration.

  • Aktualisierungen von Attributen, die über die RESTful-Webdienste-API vorgenommen werden, die von NAC-Systemen oder Active Directory-LDAP verwendet wird.

Authentifizierungstabelle für Geräteidentität

Wenn Sie das Gerät so konfigurieren, dass es die Authentifizierungsfunktion für die Geräteidentität für die Authentifizierung basierend auf der Geräteidentität und ihren Attributen verwendet, erstellt das Gerät eine neue Tabelle mit dem Namen Authentifizierungstabelle für die Geräteidentität. Im Gegensatz zu anderen lokalen Authentifizierungstabellen enthält die Authentifizierungstabelle für die Geräteidentität keine Informationen über einen Benutzer, sondern über das Gerät des Benutzers. Die Authentifizierungstabelle für die Geräteidentität dient als Repository für Geräteidentitätsinformationen für alle Geräte, unabhängig von ihrer Authentifizierungsquelle. Sie kann z. B. Einträge für Geräte enthalten, die von Active Directory oder NAC-Authentifizierungsquellen von Drittanbietern authentifiziert wurden.

Ein Tabelleneintrag für die Geräteidentitätsauthentifizierung enthält die folgenden Teile:

  • Die IP-Adresse des Geräts.

  • Der Name der Domäne, zu der das Gerät gehört.

  • Die Gruppen, denen das Gerät zugeordnet ist.

  • Die Geräteidentität.

    Die Geräteidentität ist eigentlich die eines Geräteidentitätsprofils (in der CLI als end-user-profilebezeichnet). Dieser Profiltyp enthält eine Gruppe von Attributen, die ein bestimmtes einzelnes Gerät oder eine bestimmte Gruppe von Geräten charakterisieren, z. B. einen bestimmten Laptoptyp.

IPv6-Adressen für die UserFW-Authentifizierung (User Firewall Module) ermöglichen es, dass IPv6-Datenverkehr mit jeder Sicherheitsrichtlinie übereinstimmt, die für die Quellidentität konfiguriert ist. IPv6-Adressen werden für die folgenden Authentifizierungsquellen unterstützt:

  • Active Directory-Authentifizierungstabelle

  • Geräteidentität mit Active Directory-Authentifizierung

  • Lokale Authentifizierungstabelle

  • Firewall-Authentifizierungstabelle

Warum sich der Inhalt der Tabelle "Device Identity Authentication" ändert

Die Geräteidentitätseinträge in der Tabelle zur Authentifizierung der Geräteidentität werden geändert, wenn bestimmte Ereignisse eintreten: wenn der Benutzerauthentifizierungseintrag, dem der Geräteidentitätseintrag zugeordnet ist, abläuft, wenn Änderungen der Sicherheitsrichtlinie in Bezug auf den Verweis auf eine Gruppe, der das Gerät angehört, auftreten, wenn das Gerät zu Gruppen hinzugefügt oder aus Gruppen entfernt wird, oder wenn Gruppen, zu denen es gehört, gelöscht werden und diese Änderung am Windows Active Directory-LDAP-Server vorgenommen wird.

  • Wenn der Benutzeridentitätseintrag, dem ein Geräteidentitätseintrag zugeordnet ist, abläuft

    Wenn das Gerät einen Eintrag für ein Gerät in der Authentifizierungstabelle für die Geräteidentität generiert, ordnet es diesen Eintrag einem Benutzeridentitätseintrag in einer lokalen Authentifizierungstabelle für die spezifische Authentifizierungsquelle zu, die den Benutzer des Geräts authentifiziert hat, z. B. Active Directory. Das heißt, der Geräteidentitätseintrag in der Authentifizierungstabelle für die Geräteidentität wird mit dem Eintrag für den Benutzer des Geräts in der Benutzerauthentifizierungstabelle verknüpft.

    Wenn der Benutzerauthentifizierungseintrag, dem der Geräteidentitätseintrag zugeordnet ist, abläuft und aus der Benutzerauthentifizierungstabelle gelöscht wird, wird der Geräteidentitätseintrag automatisch aus der Geräteidentitätsauthentifizierungstabelle gelöscht. Das heißt, es wird keine Nachricht ausgegeben, um Sie über dieses Ereignis zu informieren.

  • Wenn Änderungen der Sicherheitsrichtlinie in Bezug auf den Verweis auf eine Gruppe auftreten, zu der das Gerät gehört

    Um den Zugriff auf Netzwerkressourcen basierend auf der Geräteidentität zu steuern, erstellen Sie ein Geräteidentitätsprofil, auf das Sie in einer Sicherheitsrichtlinie verweisen können. Zusätzlich zu anderen Attributen enthält ein Geräteidentitätsprofil die Namen von Gruppen. Wenn in einer Sicherheitsrichtlinie auf ein Geräteidentitätsprofil verwiesen wird, werden die darin enthaltenen Gruppen als interessierte Gruppen bezeichnet.

    Eine Gruppe gilt als interessierte Gruppe , wenn in einer Sicherheitsrichtlinie auf sie verwiesen wird, d. h., wenn sie in einem Geräteidentitätsprofil enthalten ist, das source-end-user-devicim Feld e einer Sicherheitsrichtlinie angegeben ist. Wenn eine Gruppe in einem Geräteidentitätsprofil enthalten ist, das derzeit nicht in einer Sicherheitsrichtlinie verwendet wird, wird sie nicht in die Liste der interessierten Gruppen aufgenommen. Eine Gruppe kann in der Liste der Gruppen, auf die durch Sicherheitsrichtlinien verwiesen wird, ein- und aussteigen.

  • Wenn ein Gerät zu einer Gruppe hinzugefügt oder aus einer Gruppe entfernt wird oder eine Gruppe gelöscht wird

    Um die Geräteidentitätseinträge in der Authentifizierungstabelle für lokale Geräteidentitäten auf dem neuesten Stand zu halten, überwacht die SRX-Serie oder NFX-Serie das Active Directory-Ereignisprotokoll auf Änderungen. Es kann nicht nur feststellen, ob sich ein Gerät vom Netzwerk abgemeldet oder angemeldet hat, sondern auch Änderungen an allen Gruppen, denen das Gerät möglicherweise angehört. Wenn Änderungen an den Gruppen vorgenommen werden, zu denen ein Gerät gehört, d. h., wenn ein Gerät zu einer Gruppe hinzugefügt oder aus einer Gruppe entfernt oder die Gruppe gelöscht wird, ändert das Gerät den Inhalt der betroffenen Geräteeinträge in seiner eigenen Authentifizierungstabelle für die Geräteidentität, um die auf dem LDAP-Server von Microsoft Windows Active Directory vorgenommenen Änderungen widerzuspiegeln.

Die Authentifizierungstabelle für die Geräteidentität wird entsprechend den Änderungen an den Gruppen aktualisiert, denen das Gerät auf dem LDAP-Server zugeordnet ist, wie in Tabelle 5 dargestellt.

Tabelle 5: Gruppenänderungen für Geräte im Active Directory-LDAP und in der Firewall der SRX-Serie oder der Reaktion der NFX-Serie

Änderungen am LDAP

Firewall der SRX-Serie oder LDAP-Aktion der NFX-Serie für Meldungen und BenutzerID-Daemon

Die Gruppeninformationen für ein Gerät haben sich geändert. Das Gerät wurde zu einer Gruppe hinzugefügt oder aus einer Gruppe entfernt, oder eine Gruppe, zu der das Gerät gehört, wurde gelöscht.

Das Active Directory-LDAP-Modul sendet eine Benachrichtigung über die Änderung an den BenutzerID-Daemon der Firewall oder der NFX-Serie und weist ihn an, die Informationen in der Authentifizierungstabelle für lokale Geräteidentitäten zu überarbeiten.

Das Gerät verarbeitet diese Nachrichten alle 2 Minuten.

Der Geräteeintrag in LDAP wird gelöscht.

Das Active Directory-LDAP-Modul sendet eine Benachrichtigung über die Änderung an den UserID-Daemon und weist ihn an, die Informationen in der Authentifizierungstabelle für die lokale Geräteidentität zu überarbeiten.

Das Gerät verarbeitet diese Nachrichten alle 2 Minuten.

Der UserID-Daemon des Firewall- oder Gerätes der NFX-Serie wird über die Änderungen informiert. Ob eine Gruppe, zu der ein Gerät gehört, in einer Sicherheitsrichtlinie angegeben ist oder nicht, wirkt sich darauf aus, welche Informationen in den Einträgen der Authentifizierungstabelle für die Geräteidentität für das betroffene Gerät gespeichert werden. Tabelle 6 zeigt die Aktivität, die auftritt, wenn eine Gruppe zum Active Directory-LDAP hinzugefügt oder daraus gelöscht wird.

Tabelle 6: Änderungen an Geräteidentitätseinträgen basierend auf Sicherheitsrichtlinienspezifikationen

Änderungen des Geräteidentitätsprofils

Verhalten bei der Gerätegruppenzuordnung

UserID-Daemon-Antwort der SRX-Serie oder NFX-Serie

Eine neue Gruppe, die dem Active Directory-LDAP hinzugefügt wurde, wird dem Identitätsprofil der Firewall der SRX-Serie hinzugefügt.

Das Gerät ruft die Liste der Geräte, die zur neuen Gruppe und ihren Untergruppen gehören, vom Active Directory-LDAP-Server ab. Die Liste wird dem lokalen LDAP-Verzeichnis hinzugefügt.

Der UserID-Daemon bestimmt, ob die Authentifizierungstabelle für die Geräteidentität Einträge für die Gruppe der betroffenen Geräte enthält. Wenn dies der Fall ist, werden die Gruppeninformationen für diese Einträge aktualisiert.

Hier ist z. B. der Eintrag für device1, bevor er aktualisiert wurde, um die neue Gruppe einzuschließen, und nachdem die Gruppe hinzugefügt wurde:

  • Gerät1, G1

  • Gerät1, G1, G2

Eine Gruppe wird aus dem Active Directory LDAP gelöscht. Das Gerät löscht die Gruppe aus dem Geräteidentitätsprofil.

Das Gerät ruft die Liste der Geräte, die zur gelöschten Gruppe gehören, aus seiner lokalen LDAP-Datenbank ab.

Die Gerätegruppenzuordnung wird aus dem lokalen LDAP-Verzeichnis gelöscht.

Der UserID-Daemon überprüft die Authentifizierungstabelle der Geräteidentität auf Einträge, die zur Gruppe gehören. Die Gruppe wird aus den betroffenen Einträgen entfernt.

Hier ist z. B. der Eintrag für device1, bevor die Gruppe gelöscht wurde und nachdem die Gruppe gelöscht wurde:

  • Gerät1, G1, G2

  • Gerät1, G1

In Tabelle 7 wird der Inhalt der Geräteauthentifizierungseinträge für mehrere Geräte erläutert, die vom Löschen einer Gruppe betroffen sind.

Tabelle 7: Änderungen an der Authentifizierungstabelle für die Geräteidentität aufgrund von LDAP- und Sicherheitsrichtlinienänderungen

IP-Adresse

Geräteschrift

Gruppe

Ursprüngliche Einträge

192.0.2.10

Gerät1

Gruppe1, Gruppe2

192.0.2.11

Gerät2

Gruppe3, Gruppe4

192.0.2.12

Gerät3

Gruppe2

Gleiche Einträge nach dem Löschen von Gruppe2

192.0.2.10

Gerät1

Gruppe1

192.0.2.11

Gerät2

Gruppe3, Gruppe4

192.0.2.12

Gerät3

Dieser Eintrag enthält keine Gruppen mehr.

Geräteidentitätsinformationen aus Windows Active Directory für die Netzwerkzugriffssteuerung

Sie können die Funktion zur Authentifizierung der Geräteidentität verwenden, um den Zugriff auf Ihre Netzwerkressourcen basierend auf der Identität und den Attributen des verwendeten Geräts und nicht auf der Benutzeridentität zu steuern. Informationen zu einem Gerät werden in der Authentifizierungstabelle für die Geräteidentität gespeichert. Sie können den Namen eines Geräteidentitätsprofils, das die Geräteattribute enthält, im Feld source-end-user-profile einer Sicherheitsrichtlinie angeben. Wenn alle Bedingungen erfüllt sind, werden die Aktionen der Sicherheitsrichtlinie auf den Datenverkehr angewendet, der von diesem Gerät ausgeht.

Damit Sie Geräteidentitätsprofile in Sicherheitsrichtlinien verwenden können, muss das Gerät der Firewall der SRX-Serie oder der NFX-Serie die Geräteidentitätsinformationen für authentifizierte Geräte abrufen. Das Gerät erstellt die Authentifizierungstabelle für die Geräteidentität, die zum Speichern von Geräteidentitätseinträgen verwendet werden soll. Er durchsucht die Tabelle nach einer Geräteübereinstimmung, wenn Datenverkehr von einem Gerät eingeht. In diesem Thema wird der Prozess behandelt, der bei der Verwendung von Active Directory als Authentifizierungsquelle ausgeführt wird.

Ein Active Directory-Domänencontroller authentifiziert Benutzer, wenn sie sich bei der Domäne anmelden, und schreibt einen Datensatz dieses Ereignisses in das Windows-Ereignisprotokoll. Außerdem wird ein Datensatz in das Ereignisprotokoll geschrieben, wenn sich ein Benutzer von der Domäne abmeldet. Das Domänencontroller-Ereignisprotokoll stellt dem Gerät Informationen zu authentifizierten Geräten bereit, die derzeit in der Domäne aktiv sind, und zu dem Zeitpunkt, zu dem diese Geräte von der Domäne abgemeldet werden.

Der UserID-Daemon führt die folgenden Aktionen aus:

  1. Es liest die Ereignisprotokolle des Active Directory-Domänencontrollers, um die IP-Adressen von Geräten abzurufen, die in der Domäne angemeldet und von Windows authentifiziert wurden.

    Der UserID-Daemon in der Routing-Engine des Geräts implementiert einen WMI-Client (Windows Management Instrumentation) mit verteilten COM-/Microsoft-RPC-Stapeln von Microsoft und einem Authentifizierungsmechanismus für die Kommunikation mit einem Windows Active Directory-Domänencontroller in einer Active Directory-Domäne. Mithilfe von Ereignisprotokollinformationen, die vom Active Directory-Controller abgerufen werden, ruft der Prozess die IP-Adressen aktiver Active Directory-Geräte ab. Der Prozess überwacht Änderungen am Active Directory-Ereignisprotokoll mithilfe derselben WMI DCOM-Schnittstelle, um die Geräteidentitätsinformationen in der lokalen Authentifizierungstabelle so anzupassen, dass alle am Active Directory-Server vorgenommenen Änderungen widergespiegelt werden.

  2. Es verwendet die Geräte-IP-Adressen, die es aus dem Ereignisprotokoll erhalten hat, um Informationen über die Gruppen zu erhalten, zu denen ein Gerät gehört. Um diese Gruppeninformationen zu erhalten, stellt das Gerät zu diesem Zweck eine Verbindung zum LDAP-Dienst im Active Directory-Controller her, wobei das LDAP-Protokoll verwendet wird.

Als Ergebnis dieses Prozesses ist das Gerät in der Lage, Einträge für die Geräte in der Authentifizierungstabelle für die Geräteidentität zu generieren. Nachdem ein Eintrag für ein Gerät in der Authentifizierungstabelle für die Geräteidentität generiert wurde, ordnet das Gerät diesen Eintrag dem entsprechenden Benutzereintrag in der lokalen Active Directory-Authentifizierungstabelle zu. Sie können dann auf die Einträge des Geräteidentitätsprofils in Sicherheitsrichtlinien verweisen, um den Zugriff auf Ressourcen zu steuern.

Verhalten und Einschränkungen

  • Das Lesen des Ereignisprotokolls verbraucht CPU-Ressourcen des Domänencontrollers, was zu einer hohen CPU-Auslastung im Domänencontroller führen kann. Aus diesem Grund sollte der Active Directory-Domänencontroller über eine leistungsstarke Konfiguration von mindestens 4 Kernen und 8 Gigabyte Arbeitsspeicher verfügen.

  • Das Ereignisprotokoll des Domänencontrollers zeichnet eine maximale Länge von 16 Byte der Geräte-ID auf, einschließlich eines NULL-Abschlusszeichens. Daher beträgt die maximale Länge der Geräte-ID, die das Gerät vom Domänencontroller abruft, 15 Byte.

  • Wenn der Domänencontroller das Ereignisprotokoll löscht oder wenn die in das Ereignisprotokoll geschriebenen Daten fehlen oder verzögert werden, sind die Informationen zur Geräteidentitätszuordnung möglicherweise ungenau. Wenn die Firewall oder das Gerät der NFX-Serie das Ereignisprotokoll nicht lesen kann oder wenn es NULL-Daten enthält, meldet das Gerät eine Fehlerbedingung in seinem eigenen Protokoll.

  • Wenn die Tabelle mit den Geräteidentitätsinformationen die Kapazität erreicht, können keine neuen Geräteidentitätseinträge hinzugefügt werden. In diesem Fall wird der Datenverkehr vom Gerät unterbrochen.

XML-Lösung für Geräteidentität für NAC-Authentifizierungssysteme von Drittanbietern

Abbildung 2 zeigt die Kommunikation zwischen der Firewall und einer NAC-Authentifizierungsquelle eines Drittanbieters, die für die Authentifizierung der Geräteidentität verwendet wird. Die Firewall empfängt die Geräteidentitätsinformationen vom NAC-System und speichert sie in ihrer lokalen Authentifizierungstabelle für die Geräteidentität. Eine Sicherheitsrichtlinie, die ein Geräteidentitätsprofil angibt, gilt für ein oder mehrere Geräte. Wenn ein Gerät mit dem Geräteidentitätsprofil und anderen Teilen der Sicherheitsrichtlinie übereinstimmt, wird die Sicherheitsrichtlinie auf den Datenverkehr angewendet, der von diesem Gerät ausgeht.

Die Verwendung eines Geräteidentitätsprofils in einer Sicherheitsrichtlinie ist optional. Wenn im Feld source-end-user-profile der Sicherheitsrichtlinie kein Geräteidentitätsprofil angegeben ist, wird vom Profil "any" ausgegangen. Sie können jedoch nicht das Schlüsselwort "any" im Feld source-end-user-profile einer Sicherheitsrichtlinie verwenden. Es ist ein reserviertes Schlüsselwort.

Abbildung 2: Network Access Control (NAC)-System eines Drittanbieters für die Authentifizierung Third-Party Network Access Control (NAC) System for Device Identity Authentication der Geräteidentität

XML-Web-API-Implementierung auf Firewall- und Geräten der NFX-Serie

Mit der RESTful Web Services API können Sie die Geräteidentitätsinformationen in einer formalen XML-Struktur an die Firewall oder das Gerät der NFX-Serie senden. Dadurch kann Ihre NAC-Lösung in das Gerät integriert werden und die Geräteinformationen effizient an das Gerät senden. Sie müssen sich an die formale Struktur und die Einschränkungen beim Senden von Informationen an das Gerät mithilfe der API halten.

Sicherstellen der Integrität von Daten, die vom NAC-Service an die Firewall oder Geräte der NFX-Serie gesendet werden

Die folgenden Anforderungen stellen sicher, dass die vom NAC-Dienst gesendeten Daten nicht kompromittiert werden:

  • Die API-Implementierung ist auf die Verarbeitung von HTTP/HTTPS POST-Anforderungen beschränkt. Jede andere Art von Anforderung, die empfangen wird, generiert eine Fehlermeldung.

  • Der API-Daemon analysiert und verarbeitet HTTP/HTTPS-Anfragen nur von der folgenden dedizierten URL:

  • Die HTTP/HTTPS-Inhalte, die Ihre NAC-Lösung an die Firewall sendet, müssen konsistent korrekt formatiert sein. Das korrekte XML-Format weist darauf hin, dass keine Kompromisse eingegangen werden, und stellt sicher, dass Informationen zur Benutzeridentität nicht verloren gehen.

Datengrößenbeschränkungen und andere Einschränkungen

Die folgenden Datengrößenbeschränkungen gelten für die Daten, die an die Firewall oder das Gerät der NFX-Serie gesendet werden:

  • Das NAC-Authentifizierungssystem muss die Größe der gesendeten Daten steuern. Andernfalls kann der Web-API-Daemon sie nicht verarbeiten. Der Web-API-Daemon kann maximal 2 Megabyte an Daten verarbeiten.

  • Die folgenden Einschränkungen gelten für XML-Daten für Rollen- und Gerätestatusinformationen. Der Web-API-Daemon verwirft an ihn gesendete XML-Daten, die diese Mengen überschreiten (d. h. die Überlaufdaten):

    • Das Gerät kann maximal 209 Rollen verarbeiten.

    • Das Gerät unterstützt nur einen Zustandstyp mit sechs möglichen Statustoken oder Werten. Identitätsinformationen für einen einzelnen Benutzer können nur ein Statustoken aufweisen.

Informationen zur Benutzeridentität in der Sitzungsprotokolldatei

Mit Active Directory als Identitätsquelle können Sie das System so konfigurieren, dass die Identität des Benutzers nach Benutzer- oder Gruppenname in das Sitzungsprotokoll geschrieben wird, ohne das Quellidentitätstupel (source-identity) in der Sicherheitsrichtlinie verwenden zu müssen. Wenn Sie die Identität des Benutzers anhand des Namens kennen, wie er im Protokoll geschrieben ist, und nicht nur anhand der IP-Adresse des Geräts des Benutzers, erhalten Sie einen besseren Einblick in seine Aktivitäten und können Sicherheitsprobleme schneller und einfacher lösen. Wenn Sie sich auf die Quellzone (from-zone) verlassen, um die Protokollierung der Benutzeridentität auszulösen, anstatt auf die Quellidentität, wird der Kreis der Benutzer erweitert, deren Quellidentität protokolliert wird.

Weitere Informationen finden Sie unter Beispiel: Konfigurieren von Benutzeridentitätsinformationen für das Sitzungsprotokoll basierend auf der Quellzone.

In der Regel müssen Sie für jede Sicherheitsrichtlinie in der Richtlinie die Quell- und Ziel-IP-Adressen sowie die Zonen angeben, mit denen der Datenverkehr abgeglichen wird. Sie müssen auch eine Anwendung angeben, mit der der Datenverkehr abgeglichen wird. Wenn der Datenverkehr diesen Kriterien entspricht, wird die Aktion der Sicherheitsrichtlinie auf den Datenverkehr angewendet, der vom Gerät des Benutzers ausgeht. Es werden jedoch keine Informationen zur Benutzeridentität in das Sitzungsprotokoll geschrieben.

Anstatt sich ausschließlich auf die IP-Adresse des Geräts des Benutzers zu verlassen, um die Quelle des Datenverkehrs zu identifizieren, können Sie optional die Benutzeridentität, d. h. den Benutzernamen oder den Gruppennamen, im Quellidentitätstupel einer Sicherheitsrichtlinie angeben. Dieser Ansatz gibt Ihnen eine größere Kontrolle über den Ressourcenzugriff, indem die Anwendung der Aktionen der Sicherheitsrichtlinie auf einen einzelnen, identifizierten Benutzer oder eine Gruppe von Benutzern eingegrenzt wird, wenn andere Bedingungen für die Übereinstimmung mit der Sicherheitsrichtlinie erfüllt sind. Die Verwendung des Quellidentitättupels schränkt jedoch die Anwendung der Richtlinie auf den Datenverkehr von einem einzelnen Benutzer oder einer einzelnen Benutzergruppe ein.

Es kann vorkommen, dass Sie möchten, dass das System die Benutzeridentität für alle Benutzer, von denen der Datenverkehr stammt, basierend auf der Zone, zu der sie gehören (from-zone), in das Sitzungsprotokoll schreibt. In diesem Fall möchten Sie die Datenverkehrsübereinstimmung und die Anwendung der Sicherheitsrichtlinie nicht auf einen einzelnen Benutzer oder eine Benutzergruppe einschränken, was bei der Konfiguration des Quellidentitätstupels der Fall wäre.

Mit der zonenbasierten Benutzeridentitätsfunktion können Sie das System anweisen, Benutzeridentitätsinformationen für jeden Benutzer in das Protokoll zu schreiben, der zu einer Zone gehört, die mit der source-identity-log-Anweisung konfiguriert ist, wenn diese Zone als Quellzone in einer übereinstimmenden Sicherheitsrichtlinie verwendet wird.

Damit die Funktion source-identity-log wirksam wird, müssen Sie auch die Protokollierung der Ereignisse zum Initialisieren (session-init) und zum Beenden der Sitzung (session-close) als Teil der Aktionen der Sicherheitsrichtlinie konfigurieren.

In Tabelle 8 sind die Plattformen aufgeführt, die diese Funktion unterstützen.

Tabelle 8: Unterstützte Plattformen

Unterstützte Firewall-Plattformen der SRX-Serie

SRX320-KARTON

SRX380-KARTON

SRX1500 Serie

Active Directory als Identitätsquelle Authentifizierungstabelle

Das Active Directory als Identitätsquelle verwaltet bis zu 2048 Sitzungen für jeden Benutzer, für den es einen Benutzeridentitäts- und Authentifizierungseintrag in der Authentifizierungstabelle gibt. Möglicherweise gibt es weitere Sitzungen, die einem Benutzer über die 2048 unterstützten Sitzungen hinaus zugeordnet sind, aber diese werden nicht von Active Directory als Identitätsquelle verwaltet. Wenn ein Authentifizierungseintrag in einer Authentifizierungstabelle gelöscht wird, schließt Active Directory als Identitätsquelle nur Sitzungen, die diesem Eintrag zugeordnet sind. Sitzungen, die nicht verwaltet werden, werden nicht geschlossen.

In Tabelle 9 ist Active Directory als Authentifizierungstabelle der Identitätsquelle aufgeführt, die von der Junos OS-Version in Ihrer Installation abhängt.

Tabelle 9: Active Directory als Identitätsquelle Authentifizierungstabelle Geräteunterstützung

Geräte

Authentifizierungstabelleneinträge für Identitätsquelle

Domänen

Controller

SRX300, SRX320

500

1

5

SRX340, SRX345, SRX380

1000

1

5

SRX1500, SRX1600 SRX2300

20,000

2

10

SRX4000-Linie

50,000

2

10

SRX5000-Reihe

Die Benutzereingaben lauten wie folgt:

  • 100000—Für Benutzer ohne JIMS

  • 256000—Für Benutzer mit JIMS

2

10

Virtuelle Firewall vSRX (2 vCPUs und 4 GB vRAM, 5 vCPUs und 8 GB vRAM)

5000

2

10

Virtuelle Firewall vSRX (9 vCPUs und 16 GB vRAM, 17 vCPUs und 32 GB vRAM)

10,000

2

10

NFX150

500

1

5

Zeitüberschreitungseinstellung für Active Directory als Identitätsquelle

Hier bezieht sich die Timeout-Einstellung auf die erzwungene Zeitüberschreitung für die Firewall-Authentifizierung, da sie für Active Directory-Authentifizierungseinträge für Benutzer gilt, die sich über das Captive Portal authentifizieren.

Wenn sich ein Benutzer über das Captive Portal authentifiziert, wird für diesen Benutzer ein Authentifizierungstabelleneintrag generiert, der auf den Informationen basiert, die die Firewall vom Firewallauthentifizierungsmodul erhält. Zu diesem Zeitpunkt wird die standardmäßige Timeoutlogik für die datenverkehrsbasierte Authentifizierung auf den Eintrag angewendet.

Als Administrator ist es wichtig, dass Sie die Kontrolle darüber haben, wie lange Nicht-Domänenbenutzer, die sich über das Captive Portal authentifizieren, authentifiziert bleiben. Die Timeout-Funktion gibt Ihnen diese Kontrolle. Durch die Verwendung wird sichergestellt, dass Nicht-Domänenbenutzer nicht auf unbestimmte Zeit authentifiziert bleiben. Nehmen wir beispielsweise an, dass der Datenverkehrsfluss kontinuierlich zum und vom Gerät eines Nicht-Domänenbenutzers erfolgt, der über das Captive Portal authentifiziert wurde. Angesichts des Verhaltens des standardmäßigen Timeouts für die datenverkehrsbasierte Authentifizierung würde der Nicht-Domänenbenutzer auf unbestimmte Zeit authentifiziert bleiben.

Wenn der Timeoutwert konfiguriert ist, wird er in Verbindung mit der datenverkehrsbasierten Timeoutlogik verwendet. Hier erfahren Sie, wie sich Timeouteinstellungen auf Active Directory-Authentifizierungseinträge für Benutzer auswirken, die über das Captive Portal authentifiziert wurden. In allen folgenden Fällen wurde ein Authentifizierungseintrag für einen Benutzer basierend auf Firewall-Authentifizierungsinformationen generiert, nachdem sich der Benutzer über das Captive Portal authentifiziert hatte.

  • Die Zeitüberschreitung ist auf 3 Stunden festgelegt.

    Datenverkehr wird weiterhin von einem Gerät empfangen und generiert, das einem Authentifizierungseintrag für einen Benutzer zugeordnet ist. Nach 3 Stunden läuft der Authentifizierungseintrag ab, obwohl zu diesem Zeitpunkt in der Packet Forwarding Engine Sitzungen für den Authentifizierungseintrag verankert sind.

  • Wenn diese Option festgelegt ist, hat die Zeitüberschreitung keine Auswirkungen.

    Einem Authentifizierungseintrag sind keine Sitzungen zugeordnet. Sie läuft nach der für das Zeitlimit für den Authentifizierungseintrag festgelegten Zeit ab, z. B. 30 Minuten.

  • Die Timeout-Konfiguration wird gelöscht.

    Die Zeitüberschreitung hat keine Auswirkungen auf neue Authentifizierungseinträge. Timeout bleibt für vorhandene Authentifizierungseinträge erzwungen, für die es vor dem Löschen galt. Das heißt, für diese Authentifizierungseinträge bleibt die ursprüngliche Timeouteinstellung wirksam.

  • Die Konfigurationseinstellung für die Zeitüberschreitung wurde geändert.

    Die neue Timeouteinstellung wird auf neue eingehende Authentifizierungseinträge angewendet. Bestehende Einträge behalten die ursprüngliche, frühere Einstellung bei.

  • Die Zeitüberschreitung wird auf 0 gesetzt, wodurch sie deaktiviert wird.

    Wenn das Timeout auf einen neuen Wert festgelegt ist, wird dieser Wert allen eingehenden Authentifizierungseinträgen zugewiesen. Es gibt keine Timeout-Einstellung für vorhandene Authentifizierungseinträge.

  • Der Timeoutwert ist nicht konfiguriert.

    • Die Firewall generiert einen Authentifizierungseintrag für einen Benutzer. Die standardmäßige datenverkehrsbasierte Timeoutlogik wird auf den Authentifizierungseintrag angewendet.

    • Der Active Directory-Timeoutwert ist für 50 Minuten konfiguriert. Auf einen Authentifizierungseintrag wird ein datenverkehrsbasiertes Timeout von 50 Minuten angewendet.

    • Die Active Directory-Zeitüberschreitung ist nicht konfiguriert. Das standardmäßige datenverkehrsbasierte Timeout von 30 Minuten wird auf einen Authentifizierungseintrag angewendet.

Plattformspezifisches Active Directory als Identitätsquellenverhalten

Verwenden Sie den Funktions-Explorer , um die Plattform- und Releaseunterstützung für Active Directory als Identitätsquelle zu bestätigen.

Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:

Plattformspezifisches WMIC-Verhalten

Plattformunterschied
Firewall der SRX-Serie

  • Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Firewalls, die die WMIC-Funktion unterstützen, beträgt die maximale Anzahl von Ereignissen, die aus dem Ereignisprotokoll gelesen werden können, 100.000.

  • Auf SRX5400-, SRX5600- und SRX5800 Firewalls, die die WMIC-Funktion unterstützen, beträgt die maximale Anzahl von Ereignissen, die aus dem Ereignisprotokoll gelesen werden können, 200.000.

Plattformspezifisches Tastratenverhalten

Plattformunterschied
Firewall der SRX-Serie

  • Bei SRX300-, SRX320-, SRX340-, SRX345- und SRX380-Firewalls, die die Sondierungsratenfunktion unterstützen, beträgt die maximale Sondierungsrate 100 Sondierungen pro Minute.

  • Bei SRX5400-, SRX5600- und SRX5800-Firewalls, die die Funktion "Sondierungsrate" unterstützen, beträgt die maximale Sondierungsrate 600 Sondierungen pro Minute.