最近因為公司要做資安, 其中關於網路的部分遇到一個問題就是
用 IP 並不能夠真正證明員工對外或是對內的連線,因為公司的電腦
是用 DHCP 配發 IP 的,有沒有辦法是 能夠結合 AD網域 或是 LDAP 做網路連線
稽核的作法? 也就是說我希望在 產生的 外部連線到公司內部 和 公司內部連線外界外 報表裡能夠看見 :
帳號 姓名 日期 時間 通訊協定(例如:TCPIP)或應用功能(例如:VPN) 埠號 Inbound/Outbound
現在有一些 L7 的防火牆可以做到,但是真的太貴了,我的想法有辦法架 Linux 做到嗎?
感謝你的建議與回覆,謝謝!
有無考慮架設一台 Linux base 的 proxy , 限制 user 上網通通都要經過 proxy
底下這篇網友的教學, 您可以參考看看~
squid Proxy 實戰應用剖析
http://babyface2.com/NetAdmin/27200804squid/
最常見的作法是把直接把電腦名稱用員工編號來命名吧.
或是用員工姓名(英文)來命名.
例如Jack Lee的員工編號是 1234, 他所使用的電腦命名為 PC-1234 或 NB-1234
也有人用 Jack_Lee_NB 來命名...
最後再把報表用Excel加工一下!
可參考一下:
CentOS + Chilli(captive portal) 裡面所提到的 CoovaChilli。
一般是用此來做無線的身份驗證機制,
就拿來做 LAN 連線的驗證機制。
CoovaChilli 可利用 Radius 做認證,
而 Radius 背後可以用 LDAP、AD 來做認證依據,
這算是能夠結合 AD 網域 或是 LDAP 做網路連線
稽核的作法。
目前 CoovaChilli 的相關實作資料是比以前稍微多一些,
WifiDocs
CoovaChilli 這篇是較完整的實作說明。
至於連線報表,是防火牆的議題。
vino1所提的 Untangle 的免費 UTM 方案,
會比上述的作法更切實可行而有效率。
個人推 Cyberoam 的 UTM 產品,
以身份驗證,支援AD,也可與AD作SSO,報表功能完整,
其本身也是以Linux為基礎的OS,不妨借來測試。
該產品用的報表是 Cyberoam iView,
也可抓來做自己防火牆相關的報表。