Umas das maiores dificuldades das empresas é conseguir disponibilizar um ambiente de acesso à Internet para os seus visitantes sem prejudicar o ambiente corporativo e conseguir ao menos ter um mínimo de segurança e controle do que está sendo acessado. Tais acessos são conhecidos por rede de visitantes ou guests.
Pensando neste cenário idealizamos uma solução que utiliza os recursos de portal para acesso à rede guest do Forescout e o controle de acesso à internet do Firewall Palo Alto.
Basicamente um usuário cadastra seus dados para solicitar acesso à internet utilizando o portal da Forescout e ao ser liberado, o acesso esses dados são enviados automaticamente para o firewall Palo Alto. Assim ele consegue fazer identificação por usuário do que está sendo acessado. Dessa forma conseguimos emitir relatórios e até mesmo saber o que cada usuário está acessando no ambiente guest.
Forescout
Primeiro precisamos verificar se o plugin de syslog está instalado no Forescout. Este plugin é gratuito. Para isto basta clicar na engrenagem do canto superior direito e depois clicar em plugins. Caso não esteja instalado bastar fazer o download em uptades.forescout.com e depois clicar em install.
Após instalar o plugin é necessário configurar. Para configurar selecione o plugin syslog e depois clique em configure. Digite o endereço IP da interface de gerência do Palo Alto e mantenha a porta padrão (514).
Após configurar o IP na aba “events filtering” selecionar somente as opções:
Include only messages generated by the “send message to syslog action”.
Include timestamp.
Para finalizar precisamos configurar uma política que envie os campos para o Palo Alto através de Syslog. Para isso clicar em Policy, clicar na regra de usuários logados na rede guest e adicionar em action a opção Send Message to Syslog.
Na aba parameters selecionar os campos que deseja enviar para o Palo Alto por meio de Syslog. Neste caso criamos duas strings: uma wifi user para enviar o nome do usuário e uma segunda wifi_ip para enviar o ip. Para selecionar os campos basta clicar em add tags.
Palo Alto
No Palo Alto os passos são semelhantes ao Forescout. Incluir syslog sender e o parse syslog.
Primeiro vamos incluir o syslog sender. Para isso clicar em Device/User Identification e adicionar um user identification monitored server com o endereço ip do Forescout.
Após adicionar o syslog sender devemos especificar os campos que serão recebidos por meio do Forescout. Para isso clicar Device / User Identification e clicar na engrenagem no canto superior direito. Após isso clicar em syslog filters e adicionar os campos conforme imagem abaixo.
Para finalizar bastar clicar em commit. Para testar basta criar um novo usuário no Forescout fazer o login e verificar na Aba Monitor do Palo Alto se estão aparecendo os nomes dos usuários.
Finalmente, conseguimos integrar a base de usuários guest do portal Forescout com o firewall Palo Alto. Por meio desta integração conseguimos identificar o que cada usuário está acessando no ambiente guest, bem como emitir relatórios do que foi acessado para uma possível auditoria.
Entre em Contato