User-ID: Verknüpfung von Benutzern und Gruppen mit der Sicherheitsrichtlinie

User-ID integriert  die Firewalls von Palo Alto Networks nahtlos mit einem breiten Spektrum an User Repositories und Terminaldienstumgebungen. Je nach Netzwerkumgebung gibt es hierbei verschiedene Möglichkeiten, die Identität des Benutzers einer IP-Adresse zuzuordnen. Hierzu gehören::

  • Authentifizierungsereignisse
  • Benutzerauthentifizierung
  • Überwachung der Terminaldienste
  • Client-Sondierung
  • Integration von Verzeichnisdiensten
  • Syslog Listener und eine leistungsstarke XML-API

Durch die Verknüpfung der Benutzeridentität mit der Applikationsaktivität erhält man mehr Transparenz über  Nutzungsmuster, bessere Kontrolle über die Richtlinien, präzisere Protokollierung und genaueres Reporting sowie  umfassendere Möglichkeiten für forensische Analysen.

 

file

Authentifizierungsereignisse helfen bei der Identifikation von Benutzern.

User-ID lässt sich so konfigurieren, dass es die Authentifizierungsereignisse für Microsoft Active Directory-, Microsoft Exchange- und Novell eDirectory-Umgebungen überwacht. Dies ist wichtig, weil User-ID durch die Überwachung von Authentifizierungsereignissen im Netzwerk in der Lage ist, den Benutzer der IP-Adresse des Geräts zuzuordnen, auf dem er sich angemeldet hat. So können Richtlinien auf der Firewall umgesetzt werden.

  • Microsoft Exchange Server: User-ID kann so konfiguriert werden, dass die Microsoft Exchange-Anmeldeereignisse, die von Clients beim Zugriff auf ihre E-Mails erzeugt werden, permanent überwacht werden. Mit dieser Methode werden sogar MAC OS X-, Apple iOS- und Linux/UNIX-Clientsysteme erkannt und identifiziert, die nicht direkt bei Microsoft Active Directory authentifiziert werden.

  • Novell eDirectory: User-ID kann Anmeldeinformationen abfragen und überwachen, um Benutzer- und Gruppenmitgliedschaften über standardmäßige LDAP-Abfragen auf den Novell eDirectory-Servern zu identifizieren.

  • Microsoft Active Directory: User-ID überwacht fortlaufend Domain Controller-Ereignisprotokolle, um Benutzer zu identifizieren, sobald sich diese bei der Domain anmelden. Meldet sich ein Benutzer bei der Windows-Domain an, wird auf dem entsprechenden Windows Domain Controller ein neues Authentifizierungsereignis aufgezeichnet. Durch die Remote-Überwachung der Authentifizierungsereignisse auf den Windows Domain Controllern kann User-ID anhand dieser Authentifizierungsereignisse die Benutzer im Netzwerk identifizieren. Anhand dieser Informationen können die Richtlinien festgelegt und umgesetzt werden

Die Verzeichnisintegration erfasst Informationen zur Gruppenmitgliedschaft

Um Sicherheitsregeln basierend auf Benutzergruppen festlegen und Gruppenmitglieder automatisch auflösen zu können, lässt sich User-ID über ein standardbasiertes LDAP-Protokoll und eine flexible Konfiguration in nahezu jeden Verzeichnisserver integrieren, einschließlich Microsoft Active Directory. Nach der Konfiguration von User-ID ruft Ihre Palo Alto Networks Firewall automatisch Informationen zu Benutzern und Benutzergruppen ab, aktualisiert diese fortlaufend und passt sich automatisch an Änderungen im Benutzerstamm und in der Organisation an.

Authentifizierungsereignisse von Benutzern erfassen auch Benutzer, die nicht zur Domäne gehören

Durch die Erfassung von Benutzern, die nicht zur Windows-Domain gehören, anhand von Authentifizierungsereignissen kann eine Authentifizierungssequenz nach dem  Challenge-Response-Prinzip konfiguriert werden, um Informationen zum Benutzer und zur IP-Adresse zu sammeln.

  • Captive Portal: Wenn der Administrator Regeln aufstellen muss, damit sich Benutzer bei der Firewall authentifizieren müssen, bevor sie auf das Internet zugreifen, oder Benutzer nicht durch andere Verfahren identifiziert werden können, bietet sich die Implementierung eines Captive Portal an. Zum einen wird der Benutzer zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert, zum anderen kann das Captive Portal so konfiguriert werden, dass es eine NTLM-Authentifizierungsanfrage an den Webbrowser sendet. So wird der Authentifizierungsprozess für den Benutzer völlig transparent..

  • GlobalProtect: Remote-Benutzer, die sich mit GlobalProtect an Ihrem Netzwerk anmelden, müssen Benutzer- und Hostinformationen zu Ihrer Firewall bereitstellen. Diese Informationen können zur Richtlinienkontrolle verwendet werden..

Integration von Terminaldiensten

In Umgebungen, in denen die Identität eines Benutzers durch Citrix XenApp oder Microsoft Terminal Services verborgen ist, kann unser User-ID Terminal Services Agent feststellen, auf welche Applikationen die Benutzer zugreifen. So können auch Benutzer identifiziert werden, die IP-Adressen auf Microsoft Windows Terminal Services oder Citrix gemeinsam verwenden. Jeder Benutzersitzung wird dabei ein bestimmter Portbereich auf dem Server zugewiesen. Dies erfolgt völlig transparent für den Benutzer. Dadurch kann die Firewall Netzwerkverbindungen Benutzern und Gruppen zuordnen, die einen Host im Netzwerk gemeinsam verwenden. Für benutzerspezifische oder nicht standardmäßige Terminaldienste kann zur Erfassung der Benutzeridentität die XML-API eingesetzt werden.

Client- und Host-Sondierung zur Erfassung von Informationen zu Windows-Benutzern

Die folgenden beiden Verfahren ermöglichen es, User-ID so zu konfigurieren, dass Windows-Clients oder -Hosts überwacht werden, um die Identität des Benutzers zu erfassen und der IP-Adresse zuzuordnen.

  • Client-Sondierung: Kann ein Benutzer durch die Überwachung von Authentifizierungsereignissen nicht identifiziert werden, überprüft User-ID die Microsoft Windows-Clients in Ihrem Netzwerk aktiv auf Informationen zum derzeit angemeldeten Benutzer. Auf diese Weise können zuverlässig Laptop-Benutzer identifiziert werden, die zwischen drahtgebundenen und drahtlosen Netzwerken wechseln.

  • Host-Sondierung: User-ID kann auch so konfiguriert werden, dass die Microsoft Windows-Server auf die aktiven Netzwerksitzungen eines Benutzers überprüft werden. Sobald ein Benutzer auf ein Netzwerk zugreift, das auf dem Server freigegeben ist, identifiziert User-ID die ursprüngliche IP-Adresse und ordnet sie dem Benutzernamen zu, der zu Beginn der Sitzung angegeben wurde.

Syslog Listener und die XML-API können in nicht standardisierte Repositories integriert werden.

In manchen Fällen besteht eventuell bereits ein Benutzer-Repository oder eine Applikation zum Speichern von Benutzern und ihrer aktuellen IP-Adresse. In diesem Fall kann die Firewall jetzt auf Syslog-Meldungen von diesen Geräten prüfen, damit der User-ID-Agent (entweder der Windows-Agent oder eine Zuordnungsfunktion ohne Agent auf der Firewall) die Authentifizierungsereignisse aus den Protokollen extrahieren kann. Die von Ihnen definierten Syslog-Filter ermöglichen User-ID, die Meldungen zu analysieren sowie die IP-Adressen und Benutzernamen der Benutzer zu extrahieren, die sich erfolgreich bei dem externen Dienst authentifiziert haben, und diese Informationen zu den Zuordnungen von IP-Adresse und Benutzernamen hinzuzufügen. Gegenwärtig bietet der Syslog Listener native Unterstützung für BlueCoat Proxy, Citrix Access Gateway, Aerohive AP, Cisco ASA, Juniper SA Net Connect und den Juniper Infranet Controller. 

  • XML-API:  In Fällen, in denen der Syslog Listener nicht verwendet werden kann, können über die User-ID XML-API Benutzerinformationen aus anderen Benutzerverzeichnissen, Terminaldiensten und Authentifizierungsmechanismen in die Sicherheitsrichtlinien integriert werden.

 

Ressourcen

Weitere Informationen über User-ID
Lesen Sie Informationen darüber, wie User-ID nahtlos in Ihre Unternehmensverzeichnis- und Terminaldienste integriert werden kann, während gleichzeitig Ihr Netzwerk wirksamer geschützt wird als lediglich über Port und IP-Adresse.

Weitere Informationen über Benutzertransparenz
Gewinnen Sie Einblicke in die Vorteile von Benutzertransparenz und darüber, wie Sie die Rolle und das Risiko von Anwendungen analysieren, herausfinden, wer sie verwendet, und diese Informationen dann in sichere Anwendungsaktivierungsrichtlinien übersetzen können.

CHAT
Benötigen Sie Hilfe?
Gerne beantworten wir Ihre Fragen.
Chat jetzt öffnen