Správa uživatelů (User Management) pomocí pravidel (Rule-Based)

Správu uživatelů umožňují routery s AAA (Authentication, Authorization a Accounting) funkcí. Funkce authentication (autentizace) zabraňuje přístupu k internetu neautentizovaným klientům. Funkce authorization (autorizace) poskytuje různá pravidla pro různé uživatele. Funkce accounting (účet) poskytuje různé časové úseky přístupu pro různé uživatele.


1
Správa uživatelů se rozděluje na dva moduly: Rule-Based a User-Based.
Níže popisujeme správu uživatelů pomocí pravidel (Rule-Based).
2
Pro tento mód naleznete menu User Management v části: Firewall >>General >> Default Rule a Firewall >> Edit Filter Rule setup pages.
3
4
Pozn.: User Management menu není aktivní v módu User-Based, protože tento mód používá zcela jiný profil pro nastavení.

Příklad 1

?    Employees (Zaměstnanci): V této skupině máme tři uživatele: Mike, Tom a Jacky. Každý z nich má jiných účet a musí se autentizovat pro přístup do internetu. Pokud uživatel zadal správné údaje a autentizace je úspěšná, může přistupovat k internetu. Pokud je neúspěšná, uživatel bude blokován, dokud nezadá správné údaje pro přístup.

Nastavení

Jako příklad si vezměme VigorPro 5510:
1.    Otevřete stránku User Management >> General Setup a vyberte mód Rule-Based.
7
2.    Přejděte na stránku User Management >> User Profile a nastavte následující účty.
8
3.    Nyní si jako příklad ukážeme nastavení účtu uživatele Mike. Nastavte username a password. Ujistěte se, že jste nastavili parametr Max User Login na hodnotu 1. Jedině tak zabezpečíte, že daný uživatel může být přihlášen ve stejný čas pouze 1.
9
4.    Přejděte na stránku Firewall >> General Setup>>Default Rule a vyberte Pass jako výchozí akci. Pro User Management zvolte hodnotu All.
10
5.    Nastavení profilu uživatele je nyní kompletní. Pokud chce kdokoliv přistupovat k internetu, musí se autentizovat účty ?Tom?, ?Mike? a ?Jacky?.

Příklad 2

11
Předpokládejme, že využijeme následující tři skupiny:
?    Servers (servery): Serverům potřebujeme přidělit permanentní přístup k internetu. Tyto není potřeba autentizovat.
?    Employees (zaměstnanci): Každý zaměstnanec má svůj vlastní účet a je potřeba jej autentizovat pro přístup k internetu. V našem příkladu se jedná o uživatele (Mike, Tom and Jacky) jenž jsou ve stejné skupině.
?    Guests (hosté): Všichni hosté sdílejí stejný účet a musí se autentizovat pro přístup k internetu. Ostatním uživatelům není přístup k internetu povolen.
IP adresy pro náš příklad jsou následující:
Server: 172.17.1.10
Zaměstnanci: 172.17.1.11, 172.17.1.12, 172.17.1.13
Hosté: 172.17.1.14 ~ 172.17.1.20.

Nastavení

Jako příklad si vezměme router VigorPro 5510:
1.    Přejděte na stránku User Management >> General Setup a vyberte Rule-Based.
12
2.    Přejděte na stránku User Management >> User Profile a nastavte následující účty.
13
3.    Nyní si jako příklad opět ukážeme nastavení účtu uživatele Mike. Nastavte username a password. Ujistěte se, že jste nastavili parametr Max User Login na hodnotu 1. Jedině tak zabezpečíte, že daný uživatel může být přihlášen ve stejný čas pouze 1. Pro účet Guests (hosté) nastavte Max User Login na hodnotu 0, což znamená, že se může přihlásit více uživatelů ve stejnou dobu pomocí tohoto jednoho účtu.
14
4.    Přejděte na stránku User Management >> User Group. Přidejte účty Tom, Mike a Jacky do skupiny Employees (zaměstnanci).
15
5.    Přejděte na stránku Firewall >> General Setup >> Default Rule a jako výchozí akci zvolte Block. Nevybírejte zde žádný uživatelský účet, jinak user management nebude při volbě Block funkční.
16
6.    Přejděte na stránku Firewall >> Filter Setup >> Edit Filter Set a nastavte následující pravidla.
17
7.    Nastavte pravidlo pro server (zde For server). Pro User Management není zvolen žádný účet, tudíž všechen datový provoz související s tímto pravidlem nepotřebuje autentizaci pro přístup k internetu. 172.17.1.10 je IP adresa serveru.
18
8.    Nastavte pravidlo pro zaměstnance (For employees). V User Managementu je zvolena G1 (Group 1) skupina definující zaměstnance. Všechen datový provoz související s tímto pravidlem tak potřebuje autentizaci pro přístup k internetu. Zde se nastavení týká IP adres 172.17.1.11, 172.17.1.12 a 172.17.1.13. Uživatelé používající tyto adresy musí použít jeden z účtů: Tom, Mike nebo Jacky. Bez autentizace bude přístup zamítnut.
19
9.    Nastavení pravidla pro hosty (For guest). V User Managementu je zvolen Object 6 definující hosty. Všechen datový provoz související s tímto pravidlem tak potřebuje autentizaci pro přístup k internetu. Zde se nastavení týká IP adres v rozsahu od 172.17.1.14 do 172.17.1.20. Uživatelé používající tyto adresy musí použít účet pro hosty (Guests).
20
10.    Nyní je nastavení profilu kompletní. Veškerý datový provoz, pokud nesplňuje pravidlo 2 (server), 3 (zaměstnanci) nebo 4 (hosté) bude zpracován výchozím pravidlem (Default rule) nastaveném v kroku 4. Jelikož je výchozí pravidlo nastaveno jako ?Block?, datový provoz bude ukončen.

Příklad 3

21
Předpokládejme, že využijeme následující tři skupiny:
?    Servers (servery): Serverům potřebujeme přidělit permanentní přístup k internetu. Tyto není potřeba autentizovat.
?    Employees (zaměstnanci): Každý zaměstnanec má svůj vlastní účet a je potřeba jej autentizovat pouze pro přístup k VPN. Přístup k internetu není potřeba kontrolovat. V našem příkladu se jedná o uživatele (Mike, Tom and Jacky) jenž jsou ve stejné skupině.
?    Guests (hosté): Všichni hosté sdílejí stejný účet a musí se autentizovat pro přístup k internetu. Přístup k VPN je pro ně zakázán.
Ostatním uživatelům není přístup k internetu a VPN povolen.
IP adresy pro náš příklad jsou následující:
Server: 172.17.1.10
Zaměstnanci: 172.17.1.11, 172.17.1.12, 172.17.1.13
Hosté: 172.17.1.40 ~ 172.17.1.50.

Nastavení

Opět ukazujeme na routeru VigorPro 5510:
1.    Přejděte na stránku User Management >> General Setup a zvolte Rule-Based.
22
2.    Nyní přejděte na stránku User Management >> User Profile a nastavte následující účty.
23
Nyní si jako příklad opět ukážeme nastavení účtu uživatele Mike. Nastavte username a password. Ujistěte se, že jste nastavili parametr Max User Login na hodnotu 1. Jedině tak zabezpečíte, že daný uživatel může být přihlášen ve stejný čas pouze 1. Pro účet Guests (hosté) nastavte Max User Login na hodnotu 0, což znamená, že se může přihlásit více uživatelů ve stejnou dobu pomocí tohoto jednoho účtu.
24
3.    Přejděte na stránku User Management >> User Group. Přidejte účty Tom, Mike a Jacky do skupiny s názvem Employees.
25
1.    Přejděte na stránku Firewall >> General Setup >> Default Rule a jako výchozí akci zvolte Block. Nevybírejte zde žádný uživatelský účet, jinak user management nebude při volbě Block funkční.
26
4.    Přejděte na stránku Firewall >> Filter Setup >> Edit Filter Set a nastavte následující pravidla.
27
5.    Nyní nastavte pravidlo pro server (For server). V User Managementu nevybírejte žádný účet. Díky tomu nebude vyžadována autentizace pro přístup k internetu. IP adresa serveru je 172.17.1.10. Všimněte si, že volba Any v sekci Destination IP znamená, že nastavení zahrnuje i vzdálené VPN sítě. Proto i server na adrese 172.17.1.10 může rovněž přistupovat k VPN bez nutnosti autentizace.
28
6.    Nastavte pravidlo pro zaměstnance (For employees). V User Managementu je zvolena skupina G1 ? Employees. Veškerý datový provoz spadající do tohoto pravidla vyžaduje autentizaci pro přístup k VPN. Všimněte si, že volba Any v sekci Source IP znamená:
?    Všechen datový provoz v podsíti 172.16.2.0/24 je zahrnut do tohoto pravidla.
?    Pro autentizaci k přístupu k VPN musíte použít pouze účty definované v ?G1 - employee?.
29
7.    Nastavte pravidlo Staff, Internet. V sekci User Management nastavte None. Všechen datový provoz podléhající tomuto pravidlu nebude vyžadovat autentizaci pro přístup k internetu. Toto se bude týkat všech zdrojových IP adrese v rozsahu od 172.17.1.11 do 172.17.1.13.
30
8.    Nastavte pravidlo For guests. V sekci User Management zvolte Object 6 definující hosty. Pro všechen datový provoz spadající pod toto pravidlo bude vyžadována autentizace pro přístup k internetu. Toto se bude týkat všech zdrojových IP adres v rozsahu od 172.17.1.40 do 172.17.1.50. Hosté používající tyto adresy musí pro autentizaci použít pouze účet Guests.
31
9.    Nyní je nastavení kompletní.