Checkpoint Ip-Mac Authenticated

[k04life]

Selam,

Checkpoint üzerinden internete çıkan kullanıcıları ip adresine göre değilde, mac adresine göre çıkartmamız mümkünmü?
Veya xx ip adresinin sahibi yy mac adresi değilse çıkartma(ip-mac authenticated) gibi bir uygulama yapmamız mümkünmüdür?

[shadow]

Checkpoint üzerinden internete çıkan kullanıcıları ip adresine göre değilde, mac adresine göre çıkartmamız mümkünmü?
Veya xx ip adresinin sahibi yy mac adresi değilse çıkartma(ip-mac authenticated) gibi bir uygulama yapmamız mümkünmüdür?

Cevaplar bir çok kişi için açık ve bariz gibi görünebilir belki ama, ben yine de neden bu ozelliğe ihtiyaç duyduğunuz sormak isterim aslında... Merak işte başa bela

Diğer yandan yazmışken cevap vermeye çalışayım...

İstediklerinizi check point Edge kutularında yapabilirsiniz...

[k04life]

Cevaplar bir çok kişi için açık ve bariz gibi görünebilir belki ama, ben yine de neden bu ozelliğe ihtiyaç duyduğunuz sormak isterim aslında... Merak işte başa bela

Diğer yandan yazmışken cevap vermeye çalışayım...

İstediklerinizi check point Edge kutularında yapabilirsiniz...

Bu işi 802.1x kullanmadan direk checkpoint üzerinde yapabilir miyim diye düşünmüştüm. Aynı zamanda checkpoint'in böyle bir özelliğinin olup olmadığı da aklımın bir tarafında merak konusuydu doğrusu

Sorum bundandı ...

[k04life]

Şunu da belirteyim, kaynağına göre böyle bir özellik checkpoint'de bulunmuyormuş.
kaynak: (R65 MANUAL)

[Murat]

İstediklerinizi check point Edge kutularında yapabilirsiniz...

Şunu da belirteyim, kaynağına göre böyle bir özellik checkpoint'de bulunmuyormuş.
kaynakR65 MANUAL)

Shadow'unda bahsettiği gibi checkpoint edge kutularında bunu yapabilirsin. Eğer ki r6x veya r7x kullanıyorsan bunu yapamazsın.

[shadow]

Check Point güvenlik duvarı L3 ve üzerindeki katmalarda çalışır... Bu nedenle L2 denetimi yapamaz...

Gelelim nedenlerine. Genel olarak ihtiyaca baktığımızda aslında istenen Makinanın internete çıkması, denetlenmesinden ziyade, kullanıcı denetimi oluyor. (istisnaları olabilir. genel yaklaşımdan bahsediyorum)

Bir örnek vereyim, siz A kullanıcısının makinasındaki MAC adresini bir şekilde denetliyorsunuz. Bu güzide kullanıcı daha yetkili bir kullanıcının makinasındaki kartı izne çıkmasını fırsat bilip veya bilmeyip, kendi makinasındaki ile yer değiştiriyor. Bu sefer, A kullanıcısı yetkili ve istediği yere gider hale gelmekle beraber, diğer kullanıcı sorunlar yaşıyor. (eski olmakla beraber yaşanmış bir olaydan alınmıştır, gerçektir)

Yani makinayı degil üzerinde calışan kullanıcıyı doğrulamak, o kullanıcıya özgü kurallar ile denetim yapmak daha elzem olmakta çoğu zaman... Bu sayede isteyen istediği makinaya geçsin MAC i o olsun, şu olsun beni ilgilendirmiyor. Yani esnekliğe sahip olabiliyorum.

Bu gibi nedenlerle kurumlar, genellikle artık, kimlik denetimi noktasına kaymakta, 802.1x te bunun yollarından biri, 802.1x te de aslında makina bazlı doğrulama yerine daha çok kullanıcı doğrulaması yapma yönünde eğim var. (802.1x te ayrı bir konu ve içerisinde birçok sorun içerebiliyor)

Burada bahsettiğim neden ve sonuçlar tabii ki kurumdan kuruma veya ihtiyaca göre değişebilir. Ve o kapsamda konuşmak gerekebilir.

Sadece genel yaklaşımı takip edebildiğim kadarı ile paylaşayım dedim.

Check Point teknoloji olarak ne yapıyor noktasında ise bildiğim kadarı ile birden fazla yöntem le kimlik denetimi yapmak mümkün, hatta mazisi 8-9 seneye dayanan teknolojiler var. 802.1x ile çalışan, çalışmayan bir çok yöntemden bahsettiklerini duymuş idim.

Bilginize efem...

[Murat]

Kısaca; Checpoint ng/ngx sürümleri kullanan şirketlert belli bir kullanıcı sayısına ulaşmış büyük şirketlerdir. Büyük şirketlerdeki diğer güvenlik mekanizmaları (switch, desktop ve benzeri) mac-based authentication için gerekli önlemleri veya yapılandırmaları yapmıştır diye kabul edilir. Bu bakımdan checkpoint bu özelliği sahip değil denir (aslında yaparda kurallara bağlayamıyorsunuz).
Bu sebepten checkpoint'in küçük ve orta ölçekli şirketlere yönelik çözümlerini sunan cihazlarında bu özellik (edge kutuları) mevcuttur.

[k04life]

Açıklama için teşekkürler...

Check Point güvenlik duvarı L3 ve üzerindeki katmalarda çalışır... Bu nedenle L2 denetimi yapamaz...

Gelelim nedenlerine. Genel olarak ihtiyaca baktığımızda aslında istenen Makinanın internete çıkması, denetlenmesinden ziyade, kullanıcı denetimi oluyor. (istisnaları olabilir. genel yaklaşımdan bahsediyorum)

Bir örnek vereyim, siz A kullanıcısının makinasındaki MAC adresini bir şekilde denetliyorsunuz. Bu güzide kullanıcı daha yetkili bir kullanıcının makinasındaki kartı izne çıkmasını fırsat bilip veya bilmeyip, kendi makinasındaki ile yer değiştiriyor. Bu sefer, A kullanıcısı yetkili ve istediği yere gider hale gelmekle beraber, diğer kullanıcı sorunlar yaşıyor. (eski olmakla beraber yaşanmış bir olaydan alınmıştır, gerçektir)

Yani makinayı degil üzerinde calışan kullanıcıyı doğrulamak, o kullanıcıya özgü kurallar ile denetim yapmak daha elzem olmakta çoğu zaman... Bu sayede isteyen istediği makinaya geçsin MAC i o olsun, şu olsun beni ilgilendirmiyor. Yani esnekliğe sahip olabiliyorum.

Bu gibi nedenlerle kurumlar, genellikle artık, kimlik denetimi noktasına kaymakta, 802.1x te bunun yollarından biri, 802.1x te de aslında makina bazlı doğrulama yerine daha çok kullanıcı doğrulaması yapma yönünde eğim var. (802.1x te ayrı bir konu ve içerisinde birçok sorun içerebiliyor)

Burada bahsettiğim neden ve sonuçlar tabii ki kurumdan kuruma veya ihtiyaca göre değişebilir. Ve o kapsamda konuşmak gerekebilir.

Sadece genel yaklaşımı takip edebildiğim kadarı ile paylaşayım dedim.

Check Point teknoloji olarak ne yapıyor noktasında ise bildiğim kadarı ile birden fazla yöntem le kimlik denetimi yapmak mümkün, hatta mazisi 8-9 seneye dayanan teknolojiler var. 802.1x ile çalışan, çalışmayan bir çok yöntemden bahsettiklerini duymuş idim.

Bilginize efem...