Identitätsbewusste Firewall
Erfahren Sie mehr über die identitätsbewusste Firewall und ihre Komponentenauthentifizierungstabelle.
Die Identität ist die Grundlage für die Sicherung jedes Netzwerks, jeder Anwendung, jedes Geräts und jedes Benutzerzugriffs. Benutzeridentität (Anmeldeinformationen, Gruppeninformationen, IP-Adresse) und Geräteinformationen, die über verschiedene Quellen gesammelt werden, tragen zur Sicherung Ihrer Netzwerkressourcen bei.
Teams im Security Operations Center (SOC) und Network Operations Center (NOC) können Identitätsparameter verwenden, um Sicherheitsrichtlinien zu konfigurieren. Sicherheitsrichtlinien bieten den authentifizierten Benutzern die richtige Zugriffsebene.
Identity hilft Ihrem Unternehmen, wichtige Sicherheitsbedrohungen zu mindern, indem der Zugriff auf Ihre Ressourcen (Netzwerkkomponenten, Anwendungen) basierend auf Benutzername, Rollen und Gruppen gesichert wird.
der Juniper SRX-Serie
Vorteile der identitätsbewussten Firewall
Eine identitätsbewusste Firewall:
-
Fügt Ihrem Netzwerk eine zusätzliche Sicherheitsebene hinzu.
-
Hilft bei der Identifizierung der Quelle (Benutzer oder Gerät) des Datenverkehrs im Netzwerk.
-
Bietet Visibilität für Benutzer und Geräte, die Warnungen und Alarme generieren und Sicherheitsvorfälle verursachen.
-
Optimiert die Benutzererfahrung, indem Benutzern ein optimierter und reibungsloser Zugriff auf die entsprechenden Ressourcen ermöglicht wird, ohne die Netzwerk- und Anwendungssicherheit zu beeinträchtigen.
Bereitstellung der Identitätsquelle auf Firewall-Ebene
- Wie wird die Identitätsquelle auf Firewall-Ebene bereitgestellt?
- Wählen Sie identitätsbewusste Firewall-Komponenten
Wie wird die Identitätsquelle auf Firewall-Ebene bereitgestellt?
Eine Firewall Bezieht Benutzerinformationen aus verschiedenen Identitätsquellen wie Active Directory, Juniper® Identity Management Service (JIMS), Aruba ClearPass und Unified Access Control (UAC). Nach dem Abrufen der Benutzerinformationen kann der Netzwerkadministrator das Gerät so einsetzen, dass es Daten aus den Identitätsquellen empfängt.
In diesem Handbuch beziehen wir uns mit dem Begriff "Firewall " auf eine Firewall der SRX-Serie von Juniper Networks® oder eine® virtuelle Firewall vSRX (vSRX3.0) von Juniper Networks oder eine Container-Firewall cSRX von Juniper Networks® oder eine Netzwerkserviceplattform der NFX-Serie von Juniper Networks® (NFX-Serie).
Firewalls können Firewall-Regeln erstellen, verwalten und neu definieren, die auf der Benutzeridentität und nicht auf einer IP-Adresse basieren. Die Firewalls können JIMS abfragen, die richtigen Informationen zur Benutzeridentität abrufen und dann die entsprechenden Sicherheitsrichtlinienentscheidungen durchsetzen, um den Zugriff auf geschützte Unternehmensressourcen und das Internet zuzulassen oder zu verweigern.
Jede Komponente, die am Identitätsquellenprozess beteiligt ist, verfügt über eine eigene Sicherheitsinfrastruktur, in der die Autorisierungsrichtlinien für den Zugriff auf geschützte Ressourcen administrativ definiert sind. In den folgenden Tabellen werden die Rollen dieser Komponenten und die Kommunikation der Komponenten untereinander beschrieben.
| Bereitstellungsmodus |
Identitätsquelle |
Details zum Bereitstellungsmodus |
|---|---|---|
| Active Directory als Identitätsquelle |
Active Directory |
Eine einfache Konfiguration und ein Identitätsmanager außerhalb von Firewalls sind nicht erforderlich. |
| Juniper® Identity Management Service (JIMS) als Identity Manager |
Active Directory |
Höhere Skalierbarkeit und flexible Bereitstellung. |
| Microsoft Azure | Firewalls können Benutzeridentitäten unterstützen, die in Azure konfiguriert sind. | |
| Okta | Firewalls können Benutzeridentitäten unterstützen, die in Okta mit JIMS konfiguriert wurden. | |
| Syslog-Generator von Drittanbietern | JIMS kann Syslog-Informationen sammeln, die über verschiedene Quellen von Drittanbietern generiert werden, um Benutzerinformationen zu erhalten. | |
| Aruba ClearPass als Identitätsquelle |
Aruba ClearPass |
Die Firewall kann Benutzerinformationen von Aruba ClearPass abrufen. |
| Unified Access Control als Identitätsquelle |
UAC |
Firewalls können Benutzerinformationen abrufen, die in der Benutzerkontensteuerung konfiguriert sind. |
| Benutzer der SRX-Firewall |
Firewall-Benutzer |
Die Benutzerinformationen können auf einer Firewall-Authentifizierung konfiguriert und auf einem lokalen Server oder auf einem externen Server wie LDAP- oder RADIUS-Server verwaltet werden. |
Rolle der Identitätsquelle und des Identitätsmanagers
| Identity Source | Eine Identitätsquelle kann Benutzer- oder Geräteinformationen und Rollen verwalten und Benutzerereignisse verwalten. |
| Identity Manager | JIMS ist ein fortschrittliches System zur Verwaltung von Benutzeridentitäten. JIMS verbindet und kommuniziert im Namen der Firewall mit verschiedenen Identitätsquellen, die in Abbildung 1 dargestellt sind. |
| Bereitstellungsmodus |
Beschreibung |
Vorteile der Bereitstellung |
|---|---|---|
| Active Directory als Identitätsquelle | Active Directory als Identitätsquelle sammelt Benutzer- und Gruppeninformationen für die Authentifizierung, indem Domänencontroller-Ereignisprotokolle gelesen, Domänen-PCs untersucht und LDAP-Dienste (Lightweight Directory Access Protocol) innerhalb der konfigurierten Windows-Domäne abgefragt werden. |
Zentralisierte Verwaltung: Zentralisiert die Benutzer- und Gruppenverwaltung innerhalb einer Organisation, wodurch die Administration vereinfacht wird. Effektive Authentifizierung: Verifiziert Benutzer- und Computeridentitäten und verbessert so die Netzwerksicherheit. Durchsetzung von Richtlinien: Ermöglicht Administratoren das Erzwingen von Sicherheitsrichtlinien mithilfe von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs). Abhängigkeiten: Angewiesen auf die Active Directory-Infrastruktur. Einige Organisationen bevorzugen diese Infrastruktur möglicherweise nicht. |
| Juniper® Identity Management Service (JIMS) |
Juniper® Identity Management Service (JIMS) ist eine eigenständige Windows-Dienstanwendung, die eine große Datenbank mit Benutzer-, Geräte- und Gruppeninformationen aus Identitätsquellen-Domains oder Syslog-Quellen sammelt und verwaltet. Weitere Informationen finden Sie unter JIMS mit Firewall der SRX-Serie. |
Effizientes Management: Vereinfacht die Endbenutzererfahrung durch Automatisierung der Korrelation zwischen Benutzernamen, Geräten und IP-Adressen. Lastreduzierung: Reduziert die Belastung des Identity-Management-Systems, indem es als Middleware zwischen Identity Management und Firewalls fungiert. Zugriffskontrolle: Ermöglicht eine Richtlinienkontrolle auf der Grundlage von Gruppenmitgliedschaften, verbessert die Sicherheit und greift auf Zugriffsbeschränkungen zu. Abhängigkeiten: Verlässt sich auf einen eigenständigen Windows-Dienst, der möglicherweise einen Fehlerpunkt oder eine Abhängigkeit von der Windows-Umgebung hinzufügt. |
| Aruba ClearPass als Identitätsquelle |
Eine Firewall und Aruba ClearPass arbeiten zusammen, um Ihre Netzwerkressourcen zu schützen. Diese Geräte steuern den Benutzerzugriff auf das Internet und erzwingen die Sicherheit auf der Ebene der Benutzeridentität, die auf den Benutzernamen oder den Gruppen basiert, zu denen die Netzwerkressourcen gehören. |
Richtlinienverwaltung: Erleichtert die Richtlinienverwaltung für das Onboarding neuer Geräte und die Zugriffssteuerung basierend auf Rollen und Gerätetypen. Granulare Zugriffskontrolle: Gewährt Zugriffsebenen basierend auf Benutzerrollen und verbessert Sicherheit und Compliance. Abhängigkeiten: Die Identitätsquelle muss in Aruba ClearPass integriert sein, was möglicherweise eine zusätzliche Konfiguration und Einrichtung erfordert. |
| UAC (Unified Access Control) als Identitätsquelle |
Eine UAC (Unified Access Control) verwendet UAC-Geräte der IC-Serie, Intranet-Enforcer und Infranet-Agenten, um Ihr Netzwerk zu schützen, indem sichergestellt wird, dass nur gültige Benutzer auf die Ressourcen zugreifen können. Eine Appliance der IC-Serie ist ein Richtlinienentscheidungspunkt im Netzwerk, der anhand von Authentifizierungsinformationen und Richtlinienregeln bestimmt, ob der Zugriff auf einzelne Ressourcen im Netzwerk gewährt werden soll oder nicht. |
Vereinfachte Konfiguration: Simplifiziert die Konfiguration durch die Erstellung von Benutzerinformationen, Gruppen und Richtlinienregeln an einem zentralen Ort. Erzwungene Sicherheit: Stellt sicher, dass nur gültige Benutzer über IP-basierte Richtlinien auf Netzwerkressourcen zugreifen können. Abhängigkeiten: Erfordert die Bereitstellung von UAC-Appliances der IC-Serie, Intranet-Enforcern und Infranet-Agenten. Dadurch kann das Netzwerk komplexer werden. |
Wählen Sie identitätsbewusste Firewall-Komponenten
Kunden entscheiden sich in der Regel für identitätsbewusste Firewall-Komponenten, die auf ihren spezifischen organisatorischen Anforderungen, ihrer bestehenden Infrastruktur und ihren Sicherheitsanforderungen basieren:
Quelle der Identität
Sie müssen die Firewall mit einer der in Tabelle 1 beschriebenen Identitätsquellen oder Identitätsmanager verbinden.
Skalierung
Für Bereitstellungen mit höheren Skalierungsanforderungen wird Juniper Identity Management Service empfohlen.
Bevor Sie sich für die Komponenten einer identitätsbewussten Firewall entscheiden, sollten Sie die Komplexität der Integrations- und Wartungsanforderungen bewerten, um sicherzustellen, dass sie mit Ihren Unternehmenszielen und Sicherheitsanforderungen übereinstimmen.
Authentifizierungstabelle
- Was ist eine Authentifizierungstabelle?
- Wie wird die Authentifizierungstabelle implementiert?
- Wie werden Authentifizierungstabellen verwaltet?
- Statusinformationen für Tabelleneinträge in der Identitätsquelle
- Einstellung für Zeitüberschreitung
Was ist eine Authentifizierungstabelle?
Die Authentifizierungstabelle enthält die IP-Adresse, den Benutzernamen und die Gruppenzuordnungsinformationen, die als Authentifizierungsquelle dienen.
Wie wird die Authentifizierungstabelle implementiert?
Die Benutzer- und Gruppenzuordnungsinformationen in der Authentifizierungstabelle werden von den Benutzeridentitätsinformationen abgerufen. Wenn JIMS bereitgestellt wird, wird die Authentifizierungstabelle mithilfe einer IP-Abfrage oder einer Batchabfrage abgerufen.
Die in der Tabelle erhaltenen Informationen werden von der Routing-Engine des Geräts generiert, die die Authentifizierungstabelle an die Packet Forwarding Engine weiterleitet. Sicherheitsrichtlinien verwenden die Informationen in der Tabelle, um Benutzer zu authentifizieren und eine Zugriffssteuerung für den Datenverkehr durch die Firewall bereitzustellen.
Sie müssen die Active-Directory-Authentifizierungstabelle so konfigurieren, dass Active Directory als Identitätsquelle in der Windows Active Directory-Umgebung abgerufen werden kann. Weitere Informationen finden Sie unter Konfigurieren von Active Directory als Identitätsquelle auf der Firewall der SRX-Serie.
Die priority Option gibt die Reihenfolge an, in der Benutzerinformationstabellen überprüft werden. Wenn Sie die niedrigste Einstellung für die Identitätsquelle verwenden, wird die höchste Priorität angegeben, d. h., die Active Directory-Authentifizierungsquelle wird zuerst durchsucht. Weitere Informationen finden Sie unter Active Directory als Authentifizierungstabelle für Identitätsquellen und ClearPass-Authentifizierungstabelle.
Wie werden Authentifizierungstabellen verwaltet?
Windows-Domänenumgebungen ändern sich ständig, wenn sich Benutzer am Netzwerk an- und abmelden und wenn Netzwerkadministratoren Benutzergruppeninformationen ändern. Die Identitätsquelle verwaltet Änderungen in der Windows-Domäne und aktualisiert sie regelmäßig. Die Authentifizierungstabelle wird ebenfalls aktualisiert, um die aktuellen relevanten Gruppeninformationen für alle aufgelisteten Benutzer widerzuspiegeln.
Darüber hinaus wird eine Probefunktion bereitgestellt, um Änderungen zu berücksichtigen, die zwischen dem Lesen von Ereignisprotokollen auftreten, oder um den Fall zu beheben, dass Ereignisprotokollinformationen verloren gehen. Ein On-Demand-Test wird ausgelöst, wenn Clientdatenverkehr an der Firewall eintrifft, aber keine Quell-IP-Adresse für diesen Client in der Tabelle gefunden werden kann. Und jederzeit ist eine manuelle Sondierung verfügbar, um eine bestimmte IP-Adresse zu sondieren.
Weitere Informationen finden Sie unter Domain PC Probing.
Statusinformationen für Tabelleneinträge in der Identitätsquelle
Die Einträge in der Authentifizierungstabelle der Identitätsquelle können sich in einem von vier Zuständen befinden:
| Initial | Gibt an, dass IP-Adress-zu-Benutzer-Zuordnungsinformationen durch Lesen von Domänencontroller-Ereignisprotokollen abgerufen und der Authentifizierungstabelle ein Eintrag hinzugefügt wurde. Einträge in diesem Status werden in gültig geändert, wenn die Tabelle von der Routing-Engine an die Packet Forwarding Engine übertragen wird. |
| Valid | Gibt an, dass ein gültiger Eintrag durch das Lesen von Domänencontroller-Ereignisprotokollen abgerufen wurde oder dass eine gültige Antwort von einem Domänen-PC-Test empfangen wurde und der Benutzer ein gültiger Domänenbenutzer ist. |
| Invalid | Gibt an, dass eine ungültige Antwort von einem Domänen-PC-Test empfangen wurde und der Benutzer ein ungültiger Domänenbenutzer ist. |
| Pending | Gibt an, dass ein Testereignis einen Eintrag in der Authentifizierungstabelle generiert hat, aber keine Testantwort vom Domänen-PC empfangen wurde. Wenn innerhalb von 90 Sekunden keine Testantwort empfangen wird, wird der Eintrag aus der Tabelle gelöscht. |
Einstellung für Zeitüberschreitung
Wenn ein Benutzer nicht mehr aktiv ist, wird ein Timer für den Eintrag dieses Benutzers in der Authentifizierungstabelle gestartet. Wenn die Zeit abgelaufen ist, wird der Eintrag des Benutzers aus der Tabelle entfernt. Einträge in der Tabelle bleiben so lange aktiv, wie dem Eintrag Sitzungen zugeordnet sind.
Es wird empfohlen, Timeouts zu deaktivieren, wenn Sie die On-Demand-Tests deaktivieren, um zu verhindern, dass jemand auf das Internet zugreift, ohne sich erneut anzumelden.
Weitere Informationen finden Sie unter Active Directory als Zeitüberschreitungseinstellung für Identitätsquelle und Einstellung für ClearPass-Zeitüberschreitung.