Den jag själv snickrat ihop fungerade men led av en del allvarliga brister.
För den nya lösningen behöver man en Windowsserver med Kiwi Syslog Server (som numera ägs av Solarwinds). Man ställer helt sonika in Kiwi Syslog Server som SNMP trap-receiver i inställningarna (ingår inte i presentationen ovan men är bara en kryssruta att bocka i) och vidarebefodrar innehållet i syslog-format till Palo Alto-brandväggen. I brandväggen filtrerar man ut autentiserings-händelser och petar in användare och IP-adress på det sättet. Träffsäkerheten är mycket högre än min gamla lösning och nu kan man dessutom köra den mot de svagare Cisco 4400-kontrollerna som inte mäktade med att bli pollade på det gamla sättet.
En licens för Kiwi Syslog Server kostade oss i runda slängar 2700 kronor och arbetsinsatsen med presentationen ovan tillgänglig var minimal. Det tog mig mindre än en eftermiddag att få igång och verifiera det, från deployment av Windows 2012R2-server till fungerande lösning.
Jag kör fortfarande 6.0.x av PAN-OS och inte 6.1.x som i presentationen, men funktionaliteten är densamma.
Kort sagt, det här är en bättre lösning som fungerar även på äldre kontrollers. Rekommenderas.
Inga kommentarer:
Skicka en kommentar