Palo Alto Networks PA-5060 - Exclusive Networks

More documents

Recommendations

Info

PA – 5060 – Documentación para la preventaPágina 32 de 100Por el contrario, un único firewall de PAN puede gestionar la información de múltiplesdominios (que recibirá por tanto de diferentes agentes).La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde queel usuario se identifica en el Directorio Activo, hasta que la información se integra dentrodel cortafuegos de PAN:Figura 14.- Flujo general en la identificación de usuariosUna vez instalado el agente, que se comporta como un servicio de Windows, esnecesario asignar un usuario a dicho servicio que tenga permisos para hacer logon enel dominio –es decir que pertenezca al grupo Builtin/Users- y que pueda leer los logs deauditoría de seguridad de Windows - Manage auditing and security log-. Normalmentelos administradores de dominio tienen asignado este permiso por defecto, por lo queresulta sencillo crear un usuario para éste propósito que pertenezca al grupo deadministradores. No obstante, y si esto no es posible, es factible configurar un usuarioque no pertenezca al grupo de administradores y al que se le puede otorgarmanualmente el permiso requerido.Una vez que el agente está instalado y configurado, se encarga de obtenerautomáticamente la información sobre los usuarios y sus IPs actuales, así como su
PA – 5060 – Documentación para la preventaPágina 33 de 100pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda estainformación al firewall que es el encargado de actualizarla en su base de datos interna.En caso de que haya varios agentes dispersos por la red (por motivos de redundancia),el cortafuegos se encarga también de correlar la posible información duplicada querecibe de cada agente.La siguiente figura, Figura 15, muestra el detalle de la comunicación entre firewall,agente y controlador de dominio:Figura 15.- Detalle de la comunicación entre los diversos elementos queintervienen en la identificación de usuariosTodas las actualizaciones de usuarios son enviadas al firewall a través de su interfaz degestión vía SSL (es posible definir qué puerto TCP se quiere emplear); también esposible configurar otro interfaz, si así se desea, para éste propósito. El agente PAN-Agent, además de monitorizar los logs y tablas de sesiones del Directorio Activo deMicrosoft, también puede opcionalmente realizar consultas directamente a lasestaciones de los clientes por NetBIOS ó WMI (para equipos de clientes que utilizanWindows Vista o Windows 7).
Page 1: Palo Alto Networks PA-5060Documenta
Page 4: PA - 5060 - Documentación para la
Page 7 and 8: PA - 5060 - Documentación para la
Page 82 and 83:
PA - 5060 - Documentación para la
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100:
show all

Palo Alto Networks PA-5060 - Exclusive Networks

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?