Palo Alto Networks PA-5060 - Exclusive Networks

More documents

Recommendations

Info

PA – 5060 – Documentación para la preventaPágina 30 de 100La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad,para un usuario que está empleando Facebook base y cuyo uso nos llama la atención.Obsérvese que el administrador en primer lugar hace click sobre Facebook base parafiltrar la información asociada a esta aplicación; posteriormente hace click sobre elusuario “Ginger Poppe” que está empleando Facebook base y finalmente obtiene todaslas aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho debanda consumido, posibles amenazas, … (el dominio en este ejemplo es “pancademo”):Ejemplo de visibilidad de laactividad de los usuariosFigura 12.- Ejemplo de la visibilidad de aplicaciones obtenida para un usuarioconcretoDe modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo esposible utilizar User-ID no únicamente con fines de obtención de visibilidad, sinotambién para establecer políticas de control en base a usuarios concretos o grupos deusuarios del directorio corporativo. Obsérvese que en la columna Source User sedefinen distintos usuarios para cada una de las políticas configuradas en este ejemplo:
PA – 5060 – Documentación para la preventaPágina 31 de 100Ejemplo de control por usuario o grupo de usuariosFigura 13.- Ejemplo de control por usuarios y grupos con User-IDObtener visibilidad en la actividad de las aplicaciones a nivel del usuario, y no sólo de laIP, es un paso necesario para retomar el control sobre las aplicaciones que circulan porla red. Los administradores pueden entonces alinear el uso de las aplicaciones con losrequisitos de la unidad de negocio, y si fuera necesario, advertir al usuario sobre unaposible violación de la política corporativa de uso, o tomar medidas más directas comobloquear el uso de determinadas aplicaciones a determinados usuarios.En los capítulos siguientes se analizará más en detalle las capacidades deconfiguración de User-ID.Integración con el directorio activo de Microsoft a través de PAN-AgentLa integración de los firewalls de PAN con el directorio activo de Microsoft –ActiveDirectory- se realiza a través de la utilización de un agente específico, denominado PanAgent.Este agente ha de instalarse sobre cualquier PC que pertenezca al dominio, siendoposible instalarlo sobre diferentes PCs si se desea dotar al servicio de redundancia. Esimportante señalar que aunque es posible instalar el agente sobre los controladores dedominio –Domain Controllers-, no es una práctica recomendable puesto que estosservidores son críticos y el único beneficio obtenido es un pequeño ahorro en el tráficode red, que normalmente es conmutado además a través de redes LAN.Asimismo es importante señalar, que un único agente puede interpelar a múltiplescontroladores para un mismo dominio. Sin embargo, si es necesario gestionar variosdominios diferentes, es necesario instalar al menos un agente para cada uno de ellos.
Page 1: Palo Alto Networks PA-5060Documenta
Page 4: PA - 5060 - Documentación para la
Page 7 and 8: PA - 5060 - Documentación para la
Page 80 and 81:
PA - 5060 - Documentación para la
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100:
show all

Palo Alto Networks PA-5060 - Exclusive Networks

Create successful ePaper yourself

Delete template?

Save as template?