Identity-Based Firewall (IBF)

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche

Einrichtung Identity-Based Firewall (IBF) für SSL-VPN

Bemerkung
Neue Funktion in 11.8 
  • Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.
  • Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.


Einführung

Bisher mussten unter → Firewall →Portfilter Netzwerkobjekte einzelne Hosts oder Netzwerke mit IP-Adresse als  Netzwerkobjekte  angelegt werden und konnten dann zu  Netzwerkgruppen  zusammengefügt werden. Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.


Gruppen konfigurieren

Gruppen hinzufügen

Dies erfolgt unter → Authentifizierung →Benutzer Gruppen

Entweder wird eine neu Gruppe erstellt + Gruppe hinzufügen oder eine bestehende Gruppe wird bearbeitet.

Berechtigungen

Berechtigungen

Gruppenname: Road-Warrior Eingabe eines aussagekräftigen Namens

Ein
Userinterface
Ein
SSL-VPN


Konfiguration SSL-VPN
SSL-VPN

SSL-VPN

Client im Userinterface herunterladbar: Ja


Wenn der Client nicht anderweitig verteilt wird.
SSL-VPN Verbindung:
Auswahl der gewünschten Verbindung

Angelegt unter → VPN →SSL-VPN
Client-Zertifikat:
Auswahl des Zertifikats für diese Gruppe

Angelegt unter → Authentifizierung →Zertifikate Zertifikate
Remote Gateway:
IP-Adresse des Gateways, auf dem sich die SSL-VPN-Clients einwählen.
Eine mögliche Auswahl ist per Dropdown erreichbar
Redirect Gateway:
Aus Anfragen zu Zielen außerhalb des lokalen Netzwerks (und damit auch des VPNs) werden vom Gateway des VPN-Users in der Regel direkt ins Internet geleitet. Bei Aktivierung des Buttons Ein wird das lokale Gateway umgeleitet auf die UTM. Dadurch profitieren auch diese Pakete vom Schutz der UTM. Diese Einstellung verändert die Konfigurationsdatei für den VPN-Client.
Im Portfilter verfügbar:
Neue Funktion in 11.8 
Ja Durch Aktivierung dieser Option können im Portfilter Regeln für diese Gruppe erstellt werden.
Damit lässt sich der Zugriff für Benutzer, die Mitglied dieser, über SSL-VPN verbundenen Gruppe sind, steuern.


Portfilter mit SSL-VPN-Gruppe

Portfilter konfigurieren

Portfilter konfigurieren

→ Firewall →Portfilter + Regel hinzufügen

╭╴ Aktiv ╶╮
Ein
╭╴ Aktion╶╮
Accept (Default)
╭╴ Logging╶╮
gewünschte Loggingstufe
╭╴ Gruppe╶╮
gewünschte Regel-Gruppe auswählen
Quelle
Link= Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
Ziel
Zielnetzwerkobjekt
Dienst
Auswahl des benötigten Dienstes oder einer Dienstegruppe

Hinzufügen und schließen

‣ Regeln aktualisieren


Ergebnis

Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrior befinden.