Перейти до змісту

ПОКРОКОВИЙ ПОСІБНИК З НАЛАШТУВАННЯ BASTION. ЧАСТИНА 1

1.1 Вступ

Це покроковий посібник, який показує, як саме налаштувати базове середовище з WALLIX Bastion та WALLIX Access Manager.

Він призначений насамперед для інтеграторів, які хочуть швидко отримати базові знання для налаштування продуктів WALLIX.

Щоб детальніше ознайомитися з рішеннями WALLIX, компанія пропонує навчання дуже високої якості. Не соромтеся звертатися до представника продажів WALLIX, якщо хочете дізнатися більше про ці курси.

1.2 Користувачі/Цільові системи, сегрегація облікових записів

WALLIX Bastion — це програмний комплекс, який підвищує безпеку віддаленого доступу до критичних активів. Критичні активи, пристрої або цільові системи — це сервери, застосунки, мережеве обладнання або бази даних, які зазвичай розміщуються у виділеній віддаленій зоні, фізично ізольованій, що робить необхідним забезпечення захищеного віддаленого доступу.

  • Обліковий запис пристрою (або вторинний обліковий запис) використовується для підключення від Bastion до пристрою.
  • Первинні користувачі — це системні адміністратори, адміни або будь-які користувачі, відповідальні за керування чи обслуговування критичних активів. Вони підключаються до Bastion, використовуючи власний первинний обліковий запис користувача.

Отже, первинний обліковий запис користувача та обліковий запис пристрою є різними, тому користувач не має можливості підключитися безпосередньо до цільової системи.

WALLIX Bastion позиціонується як проксі в інфраструктурі між користувачами та активами, до яких потрібно отримати доступ. Він забезпечує кілька критичних механізмів безпеки для підзвітності особи, яка отримує доступ до цифрових ресурсів: чи це потрібна особа, яка отримує доступ до правильної системи/даних, у правильний час, для правильного завдання.

1.3 Керування доступом на основі ролей

Рішення WALLIX дозволяє налаштувати відповідні авторизації для користувача, щоб він міг отримати доступ до відповідного ресурсу з відповідними привілеями. Цей механізм ґрунтується на керуванні доступом на основі ролей:

  1. Первинні користувачі включаються до відповідних груп.
  2. Облікові записи пристроїв створюються для відповідних цільових систем.
  3. Цільові системи включаються до відповідних груп.
  4. Авторизації застосовуються для групи користувачів, зіставленої з групою цільових систем.

Понад просте зіставлення первинних користувачів із вторинними обліковими записами, WALLIX Bastion дозволяє точно визначити, хто, до якої системи та з яким рівнем привілеїв може отримати доступ.

Вони дозволяють визначити:

  • Який користувач має доступ до якого облікового запису.
  • Який протокол дозволено для доступу до цільового облікового запису.
  • У який час дозволено сеанс до цільової системи.
  • Дозволену тривалість сеансу.
  • Чи має сеанс бути затвердженим або чи потрібен кворум.
  • Процедуру автентифікації.
  • Запис сеансу.

2. БАЗОВЕ ПІД'ЄДНАННЯ ВІД КОРИСТУВАЧА BASTION ДО ЦІЛЬОВОЇ СИСТЕМИ LINUX (SSH)

2.1 Мета

Ця перша частина описує, як швидко налаштувати першу конфігурацію Bastion і перевірити початкове підключення. Ви побачите, як дозволити первинному користувачеві підключитися до цільової системи Linux, використовуючи локальний обліковий запис.

2.2 Вимоги

Для виконання цієї частини необхідно переконатися в наявності таких елементів:

  • Bastion встановлено з відомим FQDN.
  • Доступна система Linux з активованим SSH-сервером та ідентифікованим обліковим записом (Debian для наших сценаріїв). IP-адреса пристрою має бути відома.
  • Доступна система Windows з активованими віддаленими підключеннями та ідентифікованим обліковим записом (Administrator для наших сценаріїв). IP-адреса пристрою має бути відома.

2.3 Налаштування користувача Bastion

Перший крок для тестування Bastion — створити первинного користувача всередині Bastion. Цей користувач буде використовуватися лише для тестування, але дозволяє перевірити, чи базові елементи на місці.

Для цього підключіться до інтерфейсу Bastion з обліковим записом адміністратора.

Створіть тестову групу:

  1. Перейдіть до "Користувачі" (Users).
  2. "Групи" (Groups).
  3. Натисніть "Додати групу" (Add a group).
  4. Вкажіть назву групи: "test_group".
  5. "Застосувати" (Apply).

Створіть первинного користувача:

  1. Перейдіть до "Користувачі" (Users).
  2. Вкладка "Облікові записи" (Accounts).
  3. Натисніть "Додати користувача" (Add a user).
  4. У верхній частині сторінки заповніть:
  5. Вкажіть ім'я користувача: "test_user"
  6. Вкажіть електронну пошту
  7. Виберіть бажану мову
  8. Виберіть профіль: "user"
  9. Виберіть "test_group", натиснувши кнопку ">"
  10. Переконайтеся, що вибрана автентифікація — "local_password"
  11. Вкажіть пароль
  12. "Застосувати" (Apply)

Створення вторинних облікових записів:

  1. Виберіть "Цільові системи" (Targets) у правому меню
  2. Виберіть вкладку "Пристрій" (Device)
  3. Натисніть "Додати" (Add)
  4. Оголосіть пристрій:
  5. Вкажіть назву пристрою: "DEBIAN"
  6. Вкажіть його IP або FQDN
  7. "Застосувати" (Apply)
  8. Перейдіть до вкладки "Служби" (Services) вгорі
  9. Натисніть "Додати" (Add), потім виберіть "SSH"
  10. "Застосувати та закрити" (Apply and close)
  11. Виберіть "Локальні облікові записи" (Local accounts) у верхньому меню
  12. Натисніть "Додати" (Add)

До відома

"Локальний обліковий запис" — це обліковий запис, створений для одного пристрою та існуючий лише на цьому пристрої. Це протилежність "глобальним обліковим записам", які будуть представлені в наступній частині.

  1. Заповніть "Назва облікового запису" (Account name) та "Логін облікового запису" (Account login)
  2. Вимкніть "Автоматичну зміну пароля" та "Автоматичну зміну SSH-ключів"
  3. "Застосувати та продовжити" (Apply and continue)

Важливо

Обліковий запис, який заповнюється, має відповідати обліковому запису, який існує на наявній системі Linux!

  1. Виберіть вкладку "Пароль" (Password)
  2. Заповніть пароль
  3. "Застосувати та закрити" (Apply and close)

Цей пароль має бути паролем, який наразі використовується для цього облікового запису на пристрої Linux.

Додавання пристрою до групи:

  1. Виберіть вкладку "Групи" (Groups)
  2. "Додати" (Add)
  3. Вкажіть назву групи
  4. "Застосувати" (Apply)
  5. Поверніться до "Цільові системи" (Targets) з лівого меню
  6. Виберіть вкладку "Групи" (Groups)
  7. Натисніть на групу, яку щойно створено
  8. Виберіть:
  9. "Цільові системи керування сеансами" (Session management targets)
  10. "Облікові записи" (Accounts)
  11. Натисніть "Додати" (Add)
  12. Виберіть "Пристрій та пов'язані локальні облікові записи"
  13. Виберіть пристрій DEBIAN
  14. Виберіть обліковий запис "debian"
  15. "Додати та закрити" (Add and close)

Налаштування авторизації:

  1. Виберіть "Авторизації" (Authorizations) у правому меню
  2. Вкладка "Керувати авторизаціями" (Manage authorizations) вгорі
  3. "Додати авторизацію" (Add an authorization)
  4. Виберіть створену "Групу користувачів" (User group)
  5. Виберіть створену "Групу цільових систем" (Target group)
  6. Вкажіть "Назву" (Name) для цієї авторизації
  7. Виберіть дозволений протокол: "SSH_SHELL_SESSION", натисніть ">"
  8. "Застосувати" (Apply)

2.4 Перевірка підключення

Запустіть клієнт PuTTY і відкрийте SSH-сеанс до Bastion на порту 22. Логін/пароль — створені для первинного користувача "test_user".

debian@debian:

Несанкціоноване використання цієї системи переслідуватиметься згідно із законом. Будь-який авторизований користувач цим повідомляється та визнає, що його/її дії можуть записуватися, зберігатися та перевірятися.

test_user's password:

Обліковий запис успішно перевірено

Підключення до debian@local@DEBIAN:SSH...

Вам повідомляється, що ваші дії можуть записуватися, зберігатися та перевірятися відповідно до політики безпеки вашої організації. Зверніться до адміністратора WALLIX Bastion для отримання додаткової інформації.

Linux debian 4.19.0-10-amd64 #1 SMP Debian 4.19.132-1 (2020-07-24) x86_64

debian@debian:~$