Identity-Based Firewall (IBF)

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche

Einrichtung Identity-Based Firewall (IBF) für SSL-VPN

Neue Funktion in 11.8 

Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.
Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.

Einführung

Bisher mussten unter →Firewall→Portfilter Netzwerkobjekte einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt werden und konnten dann zu  Netzwerkgruppen  zusammengefügt werden. Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.


Gruppen konfigurieren

Gruppen hinzufügen
Dies erfolgt unter →Authentifizierung→Benutzer Gruppen

Entweder wird eine neu Gruppe erstellt + Gruppe hinzufügen oder eine bestehende Gruppe wird Werkzeug.png bearbeitet.

Berechtigungen
Berechtigungen

 Gruppenname:  Road-Warrior Eingabe eines aussagekräftigen Namens

Ein
Userinterface
Ein
SSL-VPN


Konfiguration SSL-VPN
SSL-VPN
SSL-VPN

 Client im Userinterface herunterladbar:  Ja

Wenn der Client nicht anderweitig verteilt wird.
 SSL-VPN Verbindung: 
 Auswahl der gewünschten Verbindung 

Angelegt unter →VPN→SSL-VPN
 Client-Zertifikat: 
 Auswahl des Zertifikats für diese Gruppe 

Angelegt unter →Authentifizierung→Zertifikate Zertifikate
 Remote Gateway: 
IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen.
Eine mögliche Auswahl ist per  Dropdown  erreichbar
 Redirect Gateway: 
Aus Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
 Im Portfilter verfügbar: 
Neue Funktion in 11.8 
Ja Durch Aktivierung dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden.
Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser, über SSL-VPN verbundenen Gruppe sind, steuern.


Portfilter mit SSL-VPN-Gruppe

Portfilter konfigurieren

Portfilter konfigurieren

→Firewall→Portfilter + Regel hinzufügen

╭╴ Aktiv ╶╮
Ein
╭╴ Aktion╶╮
 Accept  (Default)
╭╴ Logging╶╮
 gewünschte Loggingstufe 
╭╴ Gruppe╶╮
 gewünschte Gruppe auswählen 
 Quelle 
Link= Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
 Ziel 
Zielnetzwerkobjekt
 Dienst 
Auswahl des benötigten Dienstes oder einer Dienstegruppe

Hinzufügen und schließen

‣ Regeln aktualisieren


Ergebnis

Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrior befinden.