Управление доступом на уровне пользователей
В новых условиях требуются изменения и в отношении субъектов доступа - наряду с подсетями ими все чаще становятся группы пользователей и даже отдельные пользователи. Это связано, во-первых, с тем, что через Internet и другие глобальные сети с корпоративной сетью сегодня связываются различные категории пользователей, и им необходимо предоставить различный доступ к внутренним ресурсам. Во-вторых, ориентация на пользователей является следствием применения межсетевых экранов для контроля трафика между внутренними подсетями, что добавляет к субъектам межсетевого доступа большую армию сотрудников данного предприятия. В результате от межсетевого экрана требуется распознавание большого числа групп пользователей, в которые входят:
Каждая из этих категорий пользователей отличается правами доступа, причем категории могут включать и подкатегории, а некоторым пользователям (например, руководителям или администраторам) нужен индивидуальный доступ.
Классифицировать эти группы пользователей только на основании их IP-адреса, как это традиционно делали межсетевые экраны, практически невозможно, учитывая применение таких методов управления IP-адресами как DHCP, NAT и туннелирование. Поэтому контроль доступа на уровне пользователей требует поддержки в межсетевых экранах собственных средств работы с учетной информацией пользователей и средств аутентификации. Кроме того, очень желательна тесная интеграция этих средств с применяемыми в сетях системами администрирования и аутентификации пользователей.
Пользователь, прошедший аутентификацию на межсетевом экране, становится объектом правил доступа, разработанных либо для него лично, либо для группы пользователей, куда он входит. Кроме детализации прав доступа, работа на уровне пользователей позволяет повысить эффективность аудита событий, связанных с безопасностью. Такой аудит дает информацию о том, кто, когда и с помощью каких средств (протоколов и приложений) получал доступ к ресурсам предприятия.
Управление безопасностью на уровне пользователей не исключает использования IP-адресов при принятии решений о доступе и отслеживании активности пользователей. Более того, выполнение детального аудита невозможно без информации о том, какому пользователю принадлежит IP-адрес, указанный в пакетах, с помощью которых выполнялся тот или иной доступ к ресурсам. В условиях динамического назначения и изменения адресов эта задача требует от системы безопасности дополнительной работы по установлению соответствия между пользователями и используемыми ими IP-адресами.
Наряду с субъектами-сетями межсетевыми экранами FireWall-1 поддерживаются такие субъекты доступа как пользователи и группы пользователей . Для таких субъектов в правилах доступа в качестве действия экрана определяется метод аутентификации, в результате чего трафик данного пользователя проходит через экран только том случае, когда пользователь докажет свою аутентичность.
Наиболее полно возможности управления безопасностью на уровне пользователей проявляются в продуктах FireWall-1/VPN-1 при установке в корпоративной сети такого продукта компании CheckPoint, как MetaIP. Сервис UAM, работающий в системе MetaIP, постоянно следит за процессами аутентификации пользователей и процессами получения компьютерами IP-адресов от DHCP серверов. В результате сервис UAM имеет данные о том, какие пользователи в настоящее время авторизовано работают в сети и какие IP-адреса они используют. При обработке очередного IP-пакета экран FireWall-1 может запросить у сервиса UAM информацию о пользователе, работающем с данным IP-адресом, и применить затем к пакету правило доступа, относящееся к этому пользователю. Таким образом, администратор безопасности может работать с правилами, написанными для пользователей, а не для IP-адресов, и в такой же форме получать отчеты о событиях, происходящих в сети. Это значительно повышает безопасность сети, так как администратор получает достоверные данные о том, какой пользователь выполнял действия с защищаемыми ресурсами сети.
Интеграция средств защиты FireWall-1 с сервисом UAM системы MetaIP позволяет также реализовать такую полезную для пользователя возможность, как единый логический вход в сеть. Пользователь избавляется от необходимости при каждом новом обращении к ресурсу через межсетевой экран повторять процедуру аутентификации - за него это делает экран, обращаясь прозрачным образом к сервису UAM.