<strong>PA</strong> – <strong>5060</strong> – Documentación para la preventaPágina 28 de 100Detalle del funcionamiento de User-IDUser-ID permite integrar de modo transparente los firewalls de<strong>PA</strong>N con los servicios de directorio corporativo tales comoActive Directory, eDirectory ó LDAP (en éste último casonormalmente a través del uso de una API XML). Esto permite alos administradores enlazar la actividad de red con lainformación de usuarios y grupos, en vez de únicamente conlas direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID yContent-ID, las organizaciones pueden utilizar la información de usuario y grupo paraobtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar lasamenazas, la navegación web y la actividad asociada a las transferencias de datos.Esta capacidad es especialmente interesante en las redes actuales, donde los usuariosestán dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicacionesgeográficas posibles, y donde además se suele utilizar direccionamiento dinámico(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IPque tiene en un momento determinado. El resultado es que intentar utilizar la direcciónIP como método de identificación de un usuario, es a día de hoy inadecuado, o cuandomenos muy complejo.A continuación se enumeran algunos de los beneficios fundamentales que se obtienen através del uso de User-ID: Analizar las aplicaciones, amenazas y navegación web en base a usuariosindividuales o grupos, en contraposición a utilizar únicamente direcciones IP. Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicarpolíticas sobre sus respectivos usos de las aplicaciones. Construir políticas para habilitar la utilización positiva de aplicaciones paragrupos específicos de usuarios, como marketing, TI o ventas. Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen delos recursos, así como identificar rápidamente qué usuarios pueden suponer unaamenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, …)MódulosUser-ID cuenta con diversos mecanismos para proceder a la identificación de losusuarios, tal y como muestra la siguiente figura, Figura 11:
<strong>PA</strong> – <strong>5060</strong> – Documentación para la preventaPágina 29 de 100Figura 11.- Módulos de identificación de usuarios en User-IDEl módulo de Login Monitoring se encarga, a través de un agente que se instala en unPC de la red, de monitorizar la actividad de logging de los usuarios.El módulo de Role Discovery se encarga, también a través del agente, de correlar lainformación sobre la pertenencia de usuarios a grupos.El módulo de End Station Polling es el encargado de monitorizar la actividad de cadaPC que está vivo en la red, para comprobar la dirección IP y usuario, y garantizar lacoherencia de la información cuando los usuarios se mueven en la red, sinreautenticarse en el dominio.Finalmente Captive Portal ofrece una solución para autenticar a usuarios que nopertenecen al dominio, a través de una página web que incluye servicios deautenticación, o a través del uso de autenticación basada en NTLM.La potencia de User-ID se vuelve evidente cuando un administrador encuentra unaaplicación en la red cuyo uso le resulta extraño (revelada a través de la tecnología App-ID). Entonces, y a través simplemente de unos cuantos clicks de ratón, puededeterminar qué usuario o grupo de usuarios están utilizando esa aplicación.El administrador no ve solamente los usuarios de un determinado aplicativo, sinotambién el consumo de ancho de banda, el número de sesiones, los orígenes y destinosdel tráfico así como cualquier posible amenaza asociada con dicha aplicación. Tambiénes factible, de nuevo de forma muy simple, investigar otras aplicaciones que ese usuarioestá empleando en un momento determinado.