Autorisasi melalui Alamat-MAC
Jenis otorisasi ini cocok untuk perangkat yang lokasinya berubah dari waktu ke waktu antara jaringan lokal dalam organisasi (misalnya, laptop kerja karyawan) atau perangkat jaringan yang pengikatan IP+MACnya tidak dikonfigurasi dan alamat IP dikeluarkan melalui DHCP.
Agar perangkat dapat mengautentikasi ke NGFW berdasarkan alamat MAC, keduanya harus berada dalam domain siaran yang sama dan NGFW harus bertindak sebagai gerbang untuk perangkat tersebut.
Pengguna yang berada di belakang router di jaringan lokal NGFW tidak dapat mengautentikasi ke alamat MAC, karena router memisahkan domain siaran dan tidak memproses lalu lintas L2. Pengguna tersebut hanya dapat login menggunakan alamat IP mereka. Agar otorisasi MAC berfungsi, NGFW dan pengguna harus berada dalam segmen jaringan L2 yang sama.
Menyiapkan otorisasi MAC
Untuk mengotorisasi pengguna berdasarkan alamat MAC, Anda harus melakukan langkah-langkah berikut:
1. Cari tahu alamat MAC perangkat. Untuk melakukan ini, masukkan perintah di baris perintah Windows: ipconfig /all | menemukan Alamat / Untuk versi Rusia ipconfig /all | menemukan alamat
2. Pastikan komputer dan NGFW berada dalam domain siaran yang sama.
Untuk melakukannya, di NGFW, di bagian Manajemen Server -> Terminal, masukkan perintah: ip neigh
Perintah ini menampilkan tabel ARP NGFW. Kehadiran entri dengan alamat MAC perangkat dan status REACHEBLE menunjukkan aksesibilitas L2 yang ada antara NGFW dan perangkat.
3. Buat aturan yang mengikat Pengguna <--> alamat MAC di bagian: Pengguna -> Otorisasi -> Otorisasi IP dan MAC.
Tidak mungkin mengkonfigurasi otorisasi permanen untuk otorisasi MAC. Hal ini secara teknis tidak mungkin, karena untuk membuat sesi resmi Anda perlu Alamat IP. Oleh karena itu, disarankan untuk menggunakan otorisasi MAC yang dikombinasikan dengan server DHCP.
Hasilnya dapat dilihat di bagian: Monitoring -> Authorized Users, di mana sesi dengan jenis otorisasi MAC akan ditampilkan.
Perilaku otorisasi MAC saat memindahkan perangkat antar jaringan lokal
Dalam organisasi, situasi yang sering muncul ketika perlu berpindah antar jaringan lokal dengan laptop di tangan dan pada saat yang sama selalu online. Dalam kasus seperti itu, otorisasi berdasarkan alamat MAC berfungsi dengan sempurna.
Anda harus memiliki server DHCP Anda sendiri yang dikonfigurasi atau di TKMTRM NGFW. Dalam detail terdistribusi, gateway harus berupa antarmuka lokal TKMTRM NGFW.
Mari kita ambil contoh situasi di mana pengguna 'Nikolai Kholosyev' perlu memindahkan laptopnya antar jaringan lokal:
NGFW memiliki antarmuka lokal yang dikonfigurasi sebagai berikut:
Pengguna memiliki aturan otorisasi yang dikonfigurasi berdasarkan alamat MAC:
Dia juga memiliki satu sesi aktif di bagian Pengguna yang Sah.
Selanjutnya, pengguna berpindah dari satu jaringan lokal ke jaringan lokal lainnya. Dia diberikan detail jaringan lain dari server DHCP, di mana NGFW ditentukan oleh gateway, dan jika ada aktivitas dari pengguna yang terdeteksi, dia akan menjalani sesi kedua dengan otorisasi berdasarkan alamat MAC.
Jika pengguna tidak memiliki akses dan sesi kedua dengan otorisasi oleh alamat MAC, maka detail jaringan pengguna belum diperbarui.
Reset detail jaringan lama dari server DHCP dan dapatkan yang baru menggunakan perintah: ipconfig /release && ipconfig /renew.
Menyiapkan otentikasi alamat MAC untuk printer jaringan dan perangkat jaringan lainnya
Perangkat jaringan yang memerlukan akses Internet harus diotorisasi di NGFW. Perangkat semacam itu bisa disebut statis; otorisasi berdasarkan alamat MAC cocok untuknya.
Untuk mengotorisasi printer jaringan, Anda harus membuat pengguna untuk printer ini secara manual atau melalui Device Discovery.
Untuk printer jaringan, di bagian Pengguna -> Otorisasi -> Otorisasi IP dan MAC, Anda perlu membuat aturan Pengguna <--> alamat MAC
Ketika aktivitas terdeteksi dari printer jaringan atau perangkat lain penggunanya akan segera muncul di Monitoring -> Authorized Users
Ponsel modern memiliki opsi Pengacakan Alamat MAC. Opsi ini akan mengganggu otorisasi telepon menggunakan alamat MAC. Disarankan untuk menonaktifkan opsi ini, atau menggunakan jenis otorisasi lain (misalnya: Otentikasi web)
Last updated