Metody uwierzytelniania w urządzeniach Fortigate
FortiGate Firewall Authentication
poznaj wielofunkcyjną zaporę sieciową cz III
Z poniższego artykułu dowiesz się, jakie są możliwe do zastosowania metody uwierzytelniania użytkowników w przypadku zastosowania urządzeń Fortigate.
W artykule omawiamy także pokrótce metodę uwierzytelniania dwuskładnikowego, szczególnie istotną w czasie gdy bardzo popularne stały się ataki na hasła użytkowników (czy to wykorzystujące narzędzia typu brute force, czy też metody bazujące na phishingu), a także przedstawiamy możliwość uwierzytelniania użytkowników za pomocą captive portal, czyli wbudowanej w urządzenie Fortigate usługi web pozwalającej użytkownikowi na podanie danych logowania.
FortiGate obejmuje uwierzytelnianie użytkowników lub grup użytkowników. Po zweryfikowaniu użytkownika FortiGate stosuje określone polityki bezpieczeństwa, aby zezwolić na dostęp lub odmówić dostępu do sieci.
Uwierzytelnianie jest niezbędne przykładowo w następujących sytuacjach:
- dostęp do konsoli zarządzającej urządzenia,
- dostęp typu remote vpn,
- wykorzystanie polityk filtrowania ruchu bazujących na nazwie lub grupie użytkownika.
Dla efektywnego zarządzania użytkownikami FortiGate umożliwia przypisywanie użytkowników do grup. Grupy można tworzyć dla każdego obszaru biznesowego.
FortiGate obsługuje wiele metod uwierzytelniania, m.in. te trzy poniższe, które znane są jako uwierzytelnianie aktywne.:
- lokalne (local) – nazwa użytkownika i hasło przechowywane w FortiGate,
- oparte na serwerze (server-based), gdzie hasła są przechowywane na RADIUS, LDAP, POP3, TACACS+,
- dwuskładnikowe (two-factor) – wymagany jest tu token lub certyfikat.
Inną metodą poświadczenia dostępu jest uwierzytelnianie pasywne, które to dopuszcza możliwość, że niektórzy użytkownicy mogą uzyskać dostęp bez wprowadzania danych do logowania wykorzystując FSSO (Fortinet single sign-on), RSSO (RADIUS single sign-on).
Lokalne uwierzytelnianie hasłem
Najprostsza metoda uwierzytelniania FortiGate (dobrze sprawdza się przy pojedynczej instalacji urządzenia). Informacje o koncie użytkownika są przechowywane lokalnie na urządzeniu FortiGate.
Uwierzytelnianie hasła oparte na serwerze
W sytuacji gdy wiele urządzeń FortiGate musi uwierzytelnić tych samych użytkowników lub grupy użytkowników, używane jest uwierzytelnianie oparte na Server-Based (hasła przechowywane na serwerze), a FortiGate nie przechowuje informacji o użytkowniku lokalnie.
FortiGate zapewnia obsługę wielu zdalnych serwerów uwierzytelniania, w tym POP3, RADIUS, LDAP i TACACS+.
Uwierzytelnianie dwuskładnikowe (Two-factor authentication)
Uwierzytelnianie dwuskładnikowe – system uwierzytelniania, który działa na podstawie istniejących metod (local-based lub server-based), wymaga hasła i tokena lub certyfikatu. To sprawia, że włamanie się na konto jest bardziej skomplikowane dla atakującego.
Do uwierzytelniania dwuskładnikowego używane są hasła jednorazowe (OTP – one-time passwords). Kod dostępu zmienia się regularnie i jest ważny tylko przez krótki czas. Dostępny jest token sprzętowy (hardware token) FortiToken 200 albo FortiToken Mobile jako oprogramowanie. Powszechne jest również dostarczanie tokena wiadomościami e-mail lub SMSem.
W politykach bezpieczeństwa zapory sieciowej (Firewall Security Policies) użytkownicy albo grupy użytkowników mogą być zdefiniowani jako źródła. Ten obiekt obejmuje:
- użytkowników lokalnych,
- użytkowników FSSO,
- zewnętrzne (zdalne) konta,
Do uwierzytelniania użytkowników można użyć captive portal. Użytkownicy będą uwierzytelniani za pomocą formularza HTML, który wymaga podania nazwy użytkownika i hasła. Portal Captive może być hostowany na FortiGate lub na zewnętrznym serwerze, na przykład FortiAuthenticator.
Przy próbie wejścia do sieci publicznej przede wszystkim ładowana będzie lokalna strona FortiGate w celu uwierzytelnienia. Po raz pierwszy użytkownicy muszą się uwierzytelnić, aby komunikować się z internetem.
Panel dashboard FortiGate jest przydatny do monitorowania i zarządzania użytkownikami. Wyświetla wszystkie niezbędne informacje o uwierzytelnionych użytkownikach, a także umożliwia ich odłączanie.
Inne treści z kategorii