iT邦幫忙

0

有關於用"人"來做識別連線的網路稽核做法

最近因為公司要做資安, 其中關於網路的部分遇到一個問題就是
用 IP 並不能夠真正證明員工對外或是對內的連線,因為公司的電腦
是用 DHCP 配發 IP 的,有沒有辦法是 能夠結合 AD網域 或是 LDAP 做網路連線
稽核的作法? 也就是說我希望在 產生的 外部連線到公司內部 和 公司內部連線外界外 報表裡能夠看見 :

帳號 姓名 日期 時間 通訊協定(例如:TCPIP)或應用功能(例如:VPN) 埠號 Inbound/Outbound

現在有一些 L7 的防火牆可以做到,但是真的太貴了,我的想法有辦法架 Linux 做到嗎?

感謝你的建議與回覆,謝謝!

6
vino1
iT邦大師 1 級 ‧ 2012-04-19 02:15:29
最佳解答

有無考慮架設一台 Linux base 的 proxy , 限制 user 上網通通都要經過 proxy
底下這篇網友的教學, 您可以參考看看~
squid Proxy 實戰應用剖析
http://babyface2.com/NetAdmin/27200804squid/

看了一下感覺似乎可行,布過要在看一下產生的報表如何。

還是很謝謝您。

10
strong9234
iT邦新手 5 級 ‧ 2012-04-18 14:51:56

最常見的作法是把直接把電腦名稱用員工編號來命名吧.
或是用員工姓名(英文)來命名.

例如Jack Lee的員工編號是 1234, 他所使用的電腦命名為 PC-1234 或 NB-1234
也有人用 Jack_Lee_NB 來命名...

最後再把報表用Excel加工一下!

問題是有些部門用的是公用電腦,如果只用電腦名稱的話可能會有問題。

8
逮丸逮丸
iT邦大師 1 級 ‧ 2012-04-19 08:29:54

可參考一下:
CentOS + Chilli(captive portal) 裡面所提到的 CoovaChilli
一般是用此來做無線的身份驗證機制,
就拿來做 LAN 連線的驗證機制。
CoovaChilli 可利用 Radius 做認證,
而 Radius 背後可以用 LDAP、AD 來做認證依據,
這算是能夠結合 AD 網域 或是 LDAP 做網路連線
稽核的作法。
目前 CoovaChilli 的相關實作資料是比以前稍微多一些,
WifiDocs
CoovaChilli
這篇是較完整的實作說明。
至於連線報表,是防火牆的議題。

vino1所提的 Untangle 的免費 UTM 方案,
會比上述的作法更切實可行而有效率。

個人推 Cyberoam 的 UTM 產品,
以身份驗證,支援AD,也可與AD作SSO,報表功能完整,
其本身也是以Linux為基礎的OS,不妨借來測試。
該產品用的報表是 Cyberoam iView
也可抓來做自己防火牆相關的報表。

我要發表回答

立即登入回答