Správa uživatelů (User Management) s uživatelskými pravidly (User-Based)

Správu uživatelů umožňují routery s AAA (Authentication, Authorization a Accounting) funkcí. Funkce authentication (autentizace) zabraňuje přístupu k internetu neautentizovaným klientům. Funkce authorization (autorizace) poskytuje různá pravidla pro různé uživatele. Funkce accounting (účet) poskytuje různé časové úseky přístupu pro různé uživatele.

1

Správa uživatelů se rozděluje na dva moduly: Rule-Based a User-Based.
Níže popisujeme správu uživatelů pomocí pravidel (User-Based).
2
 

3

Pozn.: V módu User-Based volbu User Management naleznete v části Firewall >> General >> Default Rule a na stránce Firewall >> Edit Filter Rule.

Příklad 1

4

Topologie a účel

Předpokládejme, že všichni uživatelé spadají do skupiny:
?    Employees(zaměstnanci): v této skupině jsou tři uživatelé: Mike, Tom a Jacky. Každý z nich má svůj účet pro autentizaci přístupu k internetu. Pokud jsou zadané autentizační údaje validní, mohou tito uživatelé přistupovat do internetu. V opačném případě jsou uživatelé blokováni routerem, dokud autentizační údaje nejsou správně zadány.

Nastavení

Nyní jako příklad nastavíme router VigorPro 5510:
1.    Ponechte pravidla Firewallu ve výchozím továrním nastavení.
2.    Přejděte na stránku User Management >> General Setup a zvolte možnost User-Based.
5
3.    Nyní přejděte na stránku User Management >> User Profile a nastavte účty viz. příklad na obrázku níže.
6
Pozn.: účty s názvy ?admin? a ?Dial-in User? jsou nastaveny již z výroby. Pro konfiguraci nového účtu jednoduše klikněte na číslo 1 ? 32 ve sloupci Profile.

4.    Nyní si jako přiklad vezměme účet s názvem Mike. Zadejte jméno (name) (mike) a heslo (password). Ujistěte se, že hodnota parametru Max User Login je 1. Pouze takto zabezpečíte, že tento účet v danou chvíli může použít jen jeden uživatel.
7
Nejdůležitějším nastavením v uživatelském účtu v módu User-Based je v části Policy. V tomto příkladu je všechen datový provoz povolen pouze autentizovaným uživatelům. Volbou Default aplikujete pravidlo, které je nastaveno ve firewallu na stránce Firewall >> General Setup>> Default Rule.

Účty pro uživatele Tom a Jacky jsou podobné. V těchto rovněž ponechte v části Policy volbu Default.

5.    Přejděte na stránku Firewall >> General Setup a zvolte Pass jakožto výchozí akci. Všimněte si, že zde není volba User Management.
8
6.    Klikněte na tlač. OK. Nastavení uživatelského účtu je nyní kompletní.
Nastavením v tomto příkladu jste dosáhli, že pokud bude někdo chtít přistupovat k internetu musí se přihlásit jedním z účtů ?Tom?, ?Mike? a ?Jacky?.

Příklad 2

9

Topologie a účel

Předpokládejme tři skupiny:
?    Servers(servery): těmto potřebujeme přidělit trvalý přístup do internetu a nebudeme pro ně vyžadovat autentizaci.
?    Employees(zaměstnanci): každý zaměstnanec má svůj samostatný účet a je potřeba jej autentizovat pro přístup k internetu. V tomto příkladu uvádíme opět tři uživatele (mike, tom a jacky), jež spadají do stejné skupiny.
?    Guests(hosté): všichni hosté sdílí jen stejný účet. Tento musí použít pro přístup k internetu.

Ostatním uživatelům není dovoleno k internetu přistupovat.

IP adresy níže používáme v našem příkladu:
Server: 172.17.1.10
Employee: 172.17.1.11, 172.17.1.12, 172.17.1.13
Guest: 172.17.1.14 ~ 172.17.1.20.

Nastavení

Jako příklad nastavíme opět router  VigorPro 5510:
1.    Přejděte na stránku Firewall >> Filter Setup.
10
2.    Nyní nastavíme pravidla pro přenos dat. Prosím klikněte na Set #2 s popiskou Default Data Filter. Poté nastavíme dvě pravidla filteru Pass (povolit) a Block (blokovat), viz. níže.
11
?    Pravidlo Pass
12
?    Pravidlo Block
13
Tok dat směrem ze serveru (172.17.1.10) zpracovává pravidlo pass a povoluje bezprostřední průchod do internetu. Datový provoz z jiných zdrojů než jsou v rozsahu adres 172.17.1.10~172.17.1.20 zpracovává pravidlo block a tyto jsou bezprostředně blokovány. Všimněte si, že v pravidle block je použita volba Invert Selection, jež definuje IP adresy mimo adresní rozsah od 172.17.1.10 do 172.17.1.20.
3. Vraťte se na stránku Firewall >> Filter Setup.
14
4. Klikněte na Set #1 s popiskou Default Call Filter. Zde nastavíme dvě pravidla filteru (Filter Rule 2 and Filter Rule 3), viz. obr. níže. Pravidla zde nastavená budou aplikovány jako pravidlo policy v uživatelském účtu (User Profile). Pro tyto dvě pravidla filteru nezaškrtávejte volby Active.
15
?    Pravidlo Mike&Tom&Jacky
16
?    Pravidlo Guest
17
Obě dvě uživatelská pravidla výše uvedená mají nezaškrtnuté volby Check to enable the Filter Rule. Tzn., že mohou být aplikovány v účtech uživatelů (User Profile).

5. Přejděte na stránku User Management >> General Setup a vyberte User-Based.
18
6.    Přejděte na stránku User Management >> User Profile a vytvořte následující účty.
19
7.    Jako příklad si vezměme účet mike jako vždy. Zadejte username a password. Ujistěte se, že hodnota parametru Max User Login je 1. Pouze tak zabezpečíte, že tento účet může používat v danou chvíli jen jeden uživatel.
20
Pro účet guest, nastavte hodnotu parametru Max User Login na 0, což znamená více uživatelů v danou chvíli současně na jednom účtu.
21
Nejdůležitější nastavení pro uživatelský účet v módu User-Based je opět parametr Policy(pravidlo, politika). V tomto příkladu použijeme pro účet mike pravidlo Mike&Tom&Jacky nastavené v kroku č. 2. Nastavení účtů pro uživatele tom a jacky jsou podobné. V těchto účtech použijte rovněž pravidlo Mike&Tom&Jacky.
V účtu Guest, nastavte pravidlo Guest nastavené rovněž v kroku č.2.

8.    Nyní je nastavení kompletní.

Příklad 3

22

 

Topologie a účel

Předpokládejme tři skupiny:

?    Servers(servery): těmto potřebujeme přidělit trvalý přístup do internetu a nebudeme pro ně vyžadovat autentizaci.
?    Employees(zaměstnanci): každý zaměstnanec má svůj samostatný účet a je potřeba jej autentizovat pouze pro přístup k VPN. V tomto příkladu uvádíme opět tři uživatele (mike, tom a jacky), jež spadají do stejné skupiny.
?    Guests(hosté): všichni hosté sdílí jen stejný účet. Tento musí použít pro přístup k internetu. Přístup do VPN je zakázán.

Ostatním uživatelům není dovoleno k internetu přistupovat.

IP adresy níže používáme v našem příkladu:
Server: 172.17.1.10
Employee: 172.17.1.11, 172.17.1.12, 172.17.1.13
Guest: 172.17.1.14 ~ 172.17.1.20.

Nastavení

Opět nastavujeme v routeru VigorPro 5510:
1.    Jděte na stránku Firewall >> Filter Setup.
23
2.    Klikněte na Set #2 s popiskou Default Data Filter.
3.    Nastavte pravidla filteru, Pass Server, Block a Pass Employee, viz. níže.
24
?    Pravidlo Pass Server
25
?    Pravidlo Block

26
Datový tok ze serveru (172.17.1.10) splňuje pravidlo Pass Server, tj. bezprostřední přístup k internetu. Datový provoz z jiných zdrojů mimo rozsah IP adres 172.17.10~172.17.1.20 splňuje pravidlo Block a bude bezprostředně blokovat přístup k internetu. Všimněte si, že v pravidle Block používáme opět volbu Invert Selection.
?    Pravidlo Pass Employee
27
Datový provoz z rozsahu IP adres (172.17.1.11~172.17.1.13) je propouštěn do internetu pouze pokud cílovou destinací VPN (172.16.2.0/24). Všimněte si, že volba Invert Selection je použita pro definici cílových Destination IP adres jež nejsou v subnetu 172.16.2.0/24.
4.    Nyní vytvoříme pravidlo pro uživatele. Přejděte na stránku Firewall >> Filter Setup.
28
5.    Klikněte na Set #3. Na následující stránce zadejte popisku User rules do pole Comments a přidejte nové pravidlo filteru (filter rule).
29
?    Pravidlo ?Block VPN?
30
Pravidlo má nezaškrtnutou volbu Check to enable the Filter Rule. Datový provoz z rozsahu adres pro hosty - guest (172.17.1.14~172.17.1.20) do cíle (destinace) (172.16.2.0/24) bude okamžitě blokován.
6.    Přejděte na stránku User Management >> General Setup a zvolte User-Based.
31
7.    Přejděte na stránku User Management >> User Profile a vytvořte následující účty.
32
8. Jako příklad si tradičně vezmeme účet Mike. Nastavte username a password. Ujistěte se, že hodnota parametru Max User Login je 1,tj., že pouze jeden uživatel může v danou chvíli používat tento účet.
33
V účtu Guests nastavte hodnotu parametru Max User Login na 0, což znamená možnost přihlášení více uživatelů pomocí jednoho stejného účtu ve stejný moment.
33
Nejdůležitější nastavení uživatelského účtu v módu User-Based je parametr Policy. V tomto příkladu je datový provoz povolen pro účet mike. Je zde aplikováno pravidlo Default, jež je nastaveno na stránce Firewall >> General >> Default Rule.

Nastavení účtů Tom a Jacky je podobné. Pro tyto profily zvolte rovněž pravidlo Default v části Policy.

V účtu Guests, zvolte pravidlo Block VPN nastavené v kroku č. 2. Hosté tak nemají přístup přes VPN.

9. Nyní je nastavení kompletní.