Palo Alto Networks PA-4060 - Exclusive Networks

More documents

Recommendations

Info

PA – 4060 – Documentación para la preventaPágina 34 de 100El método preferible y más eficaz para identificar a los usuarios es a través del agentetrabajando contra el Directorio Activo. No obstante, aunque el agente verá los nuevosusuarios según se autentican y podrá confirmarlos cuando utilizan recursos de red, esposible que no vea cuando se desconectan (log off). El motivo es que el DA deMicrosoft no registra este tipo de actividad. La pruebas por NetBIOS ó WMI confirmanque un usuario previamente activo se sigue manteniendo activo en su puesto de trabajo.Hay tres factores que pueden desaconsejar el uso de NetBIOS: Ancho de banda que se requiere para la utilización de las pruebas, sobre todo sise trata de un entorno WAN (no tan importante sobre entornos LAN). Recursos de CPU necesarios para la realización de las pruebas desde el PCque incorpora el agente. Equipos que puedan no responder a las consultas NetBIOS a causa de lautilización de firewalls personales, que no permitan este tipo de tráfico.Así pues, es recomendable tener en cuenta estos factores durante la fase de diseño,para implementar la topología más adecuada en cada escenario.Para finalizar con este capítulo, la siguiente figura, Figura 16, muestra un ejemplo de laconfiguración del agente contra un Directorio Activo (en general la configuración essencilla y se completa en unos pocos minutos):Figura 16.- Ejemplo de configuración del agente de PAN contra Directorio Activode Microsoft
PA – 4060 – Documentación para la preventaPágina 35 de 100Identificación de usuarios de Citrix y Microsoft Terminal ServicesEn entornos donde la identidad del usuario es ocultada por una solución de Citrix oTerminal Server, es posible también instalar un agente User-ID específico, paradeterminar qué aplicaciones los usuarios están empleando. Si además hay un directoriocorporativo, la información sobre los usuarios y los grupos (no las direcciones IP)también serán mostradas. Una vez que aplicaciones y usuarios han sido identificados,se obtiene visibilidad y control completos de este tipo de usuarios, dentro de lasherramientas de logging, reporting y gestión de políticas integradas en los cortafuegosde PAN.El funcionamiento de este agente es similar al descrito en el apartado anterior, para elDirectorio Activo de Microsoft.Integración con el e-Directory de Novell a través de User-ID-AgentA partir de las versiones 3.1.x de PAN-OS, es posible también utilizar un agente,denominado User Agent, capaz de integrarse con directorios corporativos de Novell (e-Directory).La ventaja fundamental que ofrece el directorio de Novell, al igual que el de Microsoft,es que almacena la dirección IP con la que el usuario se autentica junto con la hora. Enconcreto en el directorio de Novell la IP se almacena, en un formato binario propietario,en el campo networkAddress de la estructura LDAP. Este comportamiento no es engeneral extrapolable a otros controladores de dominio basados en LDAP, en los que laintegración se hace por tanto más compleja al no almacenar la IP del usuarioautenticado (ver siguiente punto).Otro punto importante a señalar, es que el agente para el directorio de Novell es capazúnicamente de obtener la información sobre los usuarios y sus IPs, pero no la de losgrupos de usuarios a los que pertenecen. A partir de las versiones 3.1.x los firewalls dePAN son capaces de conectarse directamente contra el directorio a través de LDAP,obteniendo de este modo la información sobre los grupos y la pertenencia de losusuarios a los mismos. Así pues, parte de la configuración de autenticación contra e-Directory requiere configurar, además del agente, la comunicación LDAP entrecortafuegos y repositorio corporativo.La siguiente figura, Figura 17, muestra un ejemplo de configuración del agente contraun controlador e-Directory de Novell:
Page 1 and 2: Palo Alto Networks PA-4060Documenta
Page 3 and 4: PA - 4060 - Documentación para la
Page 33: PA - 4060 - Documentación para la
Page 85 and 86:
PA - 4060 - Documentación para la
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
show all

Palo Alto Networks PA-4060 - Exclusive Networks

Create successful ePaper yourself

Delete template?

Save as template?