Checkpoint Active Directory Entegrasyonu ile Identity Awareless ve Application Control'un Birlikte Yapılandırılması

Gönderen Unknown on 31 Ağustos 2012 Cuma / Etiketler: , , ,
Amaç: Aşağıdaki AD kullanıcılarının ait olduğu gruba farklı internet erişim politikalarının uygulanması

AD Users :                                       CP Acess Role                    Blocked Applications
Ramazan Kocaoglu                         Yonetim                             Facebook
Omer Onler                                     Muhasebe                         Facebook, Twitter
Ahmet Kocaoglu                             Muhasebe                          Facebook, Twitter
Huseyin Karakullukcu                    Otomotiv                             Facebook, Twitter, Linkedin

Amaçlanan şekilde bir yapı oluşturabilmek için öncelikle Checkpoint'in mevcut olan Active Directory ile entegrasyonu yapılmalıdır. Daha sonra Identity Awareless yapılandırması ve Application Control ile internet erişim politikasının uygulanması gerekmektedir. Bunun için;

1-) Checkpoint Active Directory Entegrasyonu
1-) Smart Dashboard’un menüsünden Policy -> Global Properties’den SmartDirectory(LDAP) seçilir.
2-) Use SmartDirectory (LDAP) for Securirty Gateways seçeneği işaretlenir.
3-) Network Obje  ağacından Nodes->Node->Host Seçilir.
4-) Aşağıdaki gibi name, IP Adress girilip OK denilir.

5-) Smart Dashboard’un menüsünden Manage-> Server and OPSEC Applications... seçilir.
6-) Gelen pencereden New -> LDAP Account Unit  tıklanır.
7-) General tab’ı aşağıdaki gibi doldurulur. (Benim domain’im adı atlantiscorp.cp)

































8-) Server tab’ına geçilir ve Add tıklanır. aşağıdaki gibi doldurulur ve OK denilir.




























9-) Object Management tabına geçilir. Fetch branches tıklanır. Eğer Server tabında girdiğiniz bilgilerde bir eksiklik ve ya yanlışlık yok ise aşağıdaki gibi ekran görüntüsü alınmalıdır.




























10-) Authentication tabı aşağıdaki gibi düzenlenmelidir. OK denilir ve daha sonra Close denilir.

11-) SmartDashboard’daki network obje kısmı yeine User tabına geçilir. Oluşturduğumuz Domain_Controller objesi çıft tıklanır. Atlantiscorp ve Users kısımlarına gelinerek çift tıklanır. Dashboard’un alt kısındaki Object List kısmında Domainimizeki userlar ayrıntıları ile gözükmektedir. 
 
12-) User tabındaki LDAP Groups kısmında sağ tıklanır ve New LDAP Group seçilir. Account Unit daha önce oluşturduğumuz Domain_Controller nesnesi seçilir ve isim verildikten sonra OK denilir.

2-) Identity Awareless Konfigürasyonu ve Agent ile Haberleştirilmesi

1-) Network Obje ağacından security gateway’imiz çift tıklanır. (Benim topolojimde SG5 ile isimlendirilmiştir). En alttaki Identity Awareless işaretlenince aşağıdaki gini Identity Awarless Configuration menüsü açılır.
2-) AD Query tiki kaldırılır ve Captive Portal tiki işaretlenir.

3-) Domain seçilir ve Admin yetkilerine sahip bir user’ın username ve password bilgileri girilerek Connect butonuna basılır. DC’ye erişme ve User ile ilgili bir problem yok ise bağlantı sağlanır.

4-) Internal interface seçilerek next denir ve daha sonra gelen ekranda Finish denilir.





















5-)SG5’in içerisinde iken Identity Awareless tıklanır ve Identity Agents işaretlenerek OK denir.




















6-) Users obje ağacından Access Roles sağ tıkanarak New Access Role... seçilir.


















7-) Ramazan Kocaoglu user’ımız Yönetim Access Role objesinin içine atılacak. Böylece Application Control ile İnternet Erişimlerini farklı Erişim grupları sayesinde daha etkin kullanılabilecektir. Network tabında ikn Specific networks seçilir. + tıklanrak Lacal_Net(İnternal network için benim daha önce oluşturduğum bir objedir) seçilir.



















8-) Users tabında iken Specific users/groups seçilir. + tıklanarak istenilen Domain User’ı seçilebilir. OK denir.


















9-) Aynı İşlemler Muhasebe ve Otomotiv Access Rule’ları oluşturmak işin tekrarlanır. Muhasebe Access Rule içerisinde Ahmet Kocaoğlu ve Ömer Önler, Otomotiv Access Rule içerisinde Hüseyin Karakullukcu domain userları olacaktır.

10-) R75 CD’si içerisnde gelen Check_Point_NAC_Client kurulmalıdır.













11-) Client kurulumu için aşağıdaki adımlar takip edilmelidir.













































Next denilerek kurulum başlatılır.



















Finish denilir.


































3-) Application Control ile Domain Userlarını Farklı Yetkiler ile İnternet Erişiminin Sağlanması

Security gateway (SG5) in özelliklerinden Application Control blade’i şaretlenir ve OK denir.































Application Control Tabı yukarıdaki bladelerin blunduğu tab’dan seçilir ve Policy kısmına gelinir.














Dokümanda kullanıdğımız senaryoyu uygulayan policyler aşağıdadır. Source kısmında daha önce oluşturulan access rules’ları seçilir. Applicaion kısmında yasaklamak istedğimiz applicationlar seçilir. Policy Install edilir.










Identity Client Agent’ı ile Yönetim kısmından Ramazan Kocaoglu’nun hesabı ile login olalım.
















Aşağıdanda görüldüğü gibi facebook’a erişim yoktur. Twitter’a ve Linkedin’e erişim vadır.





 




 
Şimdi  de Ahmet Kocaoglu veya Ömer Önler user’ı ile login olalım.








 





Şimdide Hüseyin Karakullukcu User’ı ile login olalım.






















Ramazan Kocaoğlu

0 yorum:

Yorum Gönder