De acuerdo

Ejemplo de configuración para el LogCenter V1R1C10 Seguimiento de usuarios en línea basado en Sesiones NAT

192 0 0 0

En las redes IPv4, las empresas, los operadores y los proveedores de servicios a menudo utilizan la tecnología NAT para el acceso a Internet a través de un número limitado de direcciones IP públicas. Después de detectar discursos ilegales o información confidencial, el departamento relacionado puede identificar la dirección IP de la puerta de enlace de la red privada especificada pero no puede identificar al usuario especificado. En este caso, la empresa, el proveedor o el proveedor de servicios deben ayudar al departamento relacionado a identificar al usuario. Este ejemplo utiliza los firewalls de la serie USG6000 de Huawei V500R001 y un servidor RADUIS como ejemplo para describir cómo configurar NAT y cómo usar el LogCenter para recopilar registros de NAT y registros de autenticación del servidor RADUIS,ayudando a los administradores de red y al departamento relacionado a identificar usuarios en redes privadas.


Requisitos de red

Una empresa arrienda unas pocas direcciones IP de un operador para que sus empleados accedan a Internet. Como el número de direcciones IP es menor que el número de empleados, el administrador de la red utiliza la función NAT del firewall, para que todos los empleados tengan la oportunidad de acceder a Internet. Como la información comercial de esta empresa es confidencial, la empresa requiere un mecanismo de rastreo del usuario además de medidas de confidencialidad. Una vez que se filtra información confidencial, el departamento relacionado puede identificar la dirección IP (dirección IP de origen posterior al NAT) utilizada para liberar la información según el tiempo de publicación de la información y la dirección IP mostrada (dirección IP de destino). Luego, el administrador de la red puede encontrar a la persona especificada utilizando el mecanismo de rastreo de usuarios.

Un V500R001 USG6680 se implementa en el egreso de la red de la empresa.

Figura 1 Seguimiento de usuarios en línea basado en sesiones NAT


1

Análisis de requerimientos

Cuando se conocen la dirección IP de destino, el tiempo de la sesión y la dirección IP de origen posterior al NAT, la dirección IP de origen anterior al NAT puede identificarse en función del registro de sesión registrado en el firewall. Para identificar personal específico, el administrador puede implementar un servidor RADIUS para autenticar a los usuarios. De esta manera, los usuarios acceden a Internet utilizando pares de nombre de usuario y contraseña. Luego, el administrador puede encontrar a la persona que dio a conocer información confidencial basándose en la información de autenticación registrada en el servidor RADIUS y en el registro de sesión en el firewall. Sin embargo, después de que la red se ejecute durante algún tiempo, el servidor de seguridad y el servidor RADIUS registraron una gran cantidad de registros. El administrador apenas puede identificar un registro de sesión específico e información de autenticación asociada. Para resolver este problema, el administrador puede implementar un conjunto de LogCenter para recopilar registros del servidor de seguridad y del servidor RADIUS y usar la función de consulta de registro de sesión para identificar la dirección IP de origen y el usuario según la dirección IP de destino, la dirección IP de NAT de origen y el tiempo de sesión.


Mapa de configuración

1. Conecte el LogCenter y el servidor RADIUS a la red.

Configure las interfaces, las zonas de seguridad y las políticas de seguridad en el firewall para la conectividad de la red.

Este ejemplo se centra en las configuraciones de autenticación y NAT. Para obtener configuraciones detalladas de conectividad de red, consulte la documentación del producto de firewall.

2. Configure la función NAT en el firewall y habilite la función de registro de sesión (el formato SESSION se usa en la mayoría de los casos).

3. Configure las políticas de autenticación en el firewall.

El firewall proporciona una IU de inicio de sesión y autentica a los usuarios según la información del usuario en el servidor RADIUS.

4. Configure el firewall para enviar registros de sesión al LogCenter.

5.Configure el servidor RADIUS para proporcionar el servicio de autenticación y envíe los registros al LogCenter.

Este ejemplo se centra en las configuraciones de firewall y LogCenter. Para la configuración del servidor RADIUS, consulte la documentación del producto.

6. Agregue un colector al LogCenter.

7. Agregue el servidor de seguridad y el servidor RADIUS al LogCenter como fuentes de registro.

8. Asociar el colector con las fuentes de registro.


Planificación de datos

Objeto

Datos

Parámetros      del LogCenter

Modo de despliegue: despliegue centralizado

Dirección      IP: 10.1.0.10

Información      básica del firewall

Nombre de la fuente de registro: ne_firewall

·              Dirección IP: 10.1.0.1

Modo de recopilación de registros: SESSION

Grupo de direcciones IP de la interfaz de salida de la red      empresarial:1.1.1.1-1.1.1.5

Información básica del servidor RADIUS

·              Nombre de la fuente de registro: ne_radius

·              Dirección IP: 10.2.0.50

Modo de recopilación de registros: sujeto al formato de registro      soportado por el servidor RADIUS

 

Procedimiento

1. Implemente el servidor LogCenter y RADIUS en la red y configure el firewall como salida de la red.

Las zonas de seguridad y las políticas entre zonas están configuradas en el firewall para la comunicación entre las zonas. El LogCenter puede recibir registros del servidor de seguridad y del servidor RADIUS.

2. Configure la función NAT en el firewall.

a. Configure un grupo de direcciones NAT y habilite la traducción de direcciones de puertos para la reutilización de direcciones públicas.

i. ElijaPolicy > NAT Policy > Source NAT > NAT Address Pool.

ii. Haga clic en Add en NAT Address Pool List.

iii. Rellene la información del conjunto de direcciones en New NAT Address Pool.


2


iv. Haga clic en OK.

b. Configure una política NAT de origen para el acceso a Internet desde la subred privada especificada.

i. Elija la pestaña Source NAT y haga clic en Add en Source NAT Policy List.

ii. Complete la información de la política NAT de origen en New Source NAT Policy.

3


iii. Haga clic en OK.

3. Establecer los parámetros de autenticación en el firewall.

a. Configure los parámetros para la interconexión con el servidor RADIUS.

i. ElijaObject > Authentication Server > RADIUS.

ii. Haga clic en Add.

iii. Complete los parámetros del servidor RADIUS en New RADIUS Server.

4


iv. Haga clic en OK.

b. Configurar un esquema de autenticación.

i. Elija Object > User > default.

ii. Seleccione Online behavior management en Scenario de User Management y seleccione Portal Authentication como Internet access authentication mode.

5


iii. Configurar una política de autenticación.

1. Clic en Configure Authentication Policy

2. Clic en Add en Authentication Policy List para agregar una nueva política

6


3. Después de hacer clic en OK, seleccione el elemento Enable de esta política en la lista y luego haga clic en Close.

iv. Seleccione el servidor RADIUS para el dominio de autenticación.

1. Elija Object > User > default.

2. Seleccione Authentication Server en User location.

3. Seleccione el nuevo servidor creado de la lista desplegable de Authentication Server.

7

v. Establecer nuevas opciones de usuario.

1. Elija Object > User > default.

2. Expandir New User Authentication Item en Advance.

Seleccione Use It as a Temporary One and Do Not Add It to the Local User List, y use el grupo de usuarios predeterminado.

8

vi. Haga clic en Apply para habilitar toda la configuración de este dominio de autenticación.


4. Configure el firewall para enviar registros de sesión al LogCenter.

a. Habilitar la función de registro de sesión en la política de seguridad.

i. Seleccione Policy > Security Policy > Security Policy.

ii. Encuentre la política que restringe el tráfico de la intranet a Internet. Hacer clic 100  en la columna Edit. Habilitar Record Session Log.

9

iii. Haga clic en OK.


b. Configure el firewall para enviar registros al LogCenter.

i. Elija System > Log Configuration.

ii. Llene los parámetros de envío de registros en la región Configure Session Logs.

101


c3


iii. Haga clic en Apply

5. Configurar el servidor RADIUS (omitido). Mantenga la configuración de parámetros coherente en el servidor de seguridad y el servidor RADIUS.

6. Agregue un colector al LogCenter.

a. Abra un navegador en la PC que pueda conectarse al analizador LogCenter e ingrese http://10.1.0.10:8080 en el cuadro de dirección, y presione Enter.

b. Inicie sesión como admin.

La contraseña inicial del usuario admin es Changeme123. Se mostrará un cuadro de diálogo para el primer inicio de sesión para pedirle que cambie la contraseña.

c. Seleccione Resources > Resources Management > Collector Manager.

d .Haga clic en la pestaña Collectors.

Clic en  c4  y establecer los parámetros del colector de registro.

c5

f. Haga clic en OK. Se muestra un cuadro de diálogo. Haga clic en OK. Se añade el colector.

7. Añadir fuentes de registro al LogCenter.

a. Seleccione Resources > Resources Management > Log Sources

b. Click en  c6 , complete la información básica del firewall y haga clic en OK.

c7


c: Haga clic en c6 , complete la información básica del servidor RADIUS y haga clic en OK.

c8


8. Asociar el rcollector con las fuentes de registro.

i. Seleccione Resources > Resources Management > Collector Manager.

b. Haga clic en c9  la derecha del log collector

c. Click en  c10 Se muestra el cuadro de diálogo Associate Log Source. Seleccione ne_firewall y haga clic en Next.

d1


d. Establezca el collection mode a SESSION, clic en Add y despues clic en Finish.

d3


e. Clic en  c1 . Se muestra el cuadro de dialogo  Associate Log Source. Seleccione ne_radius y despues de click en Next.

d4


f. Establezca el modo de recopilación en FTP Static File y haga clic en Add.

Establecer los parámetros de FTP y haga clic en Finish.

d5


Verificación

Utilice cualquier PC de la red privada para acceder a Internet y registre el tiempo de acceso, la dirección IP del sitio web al que se accede (dirección IP de destino) y la dirección IP pública de origen (dirección IP de origen posterior al NAT). Sobre la base de los tres parámetros, realice una consulta de análisis de sesión en LogCenter para buscar la dirección IP privada del usuario especificado. Compare la dirección IP encontrada con la actual. Si son iguales, la configuración se realiza correctamente. El procedimiento es el siguiente:

1. Consulta la dirección IP del host local.

Elija Start > Run, ingrese cmd y presione Enter.

Ingrese ipconfig en la CLI y presione Enter.

Registre la dirección IP mostrada 10.1.0.108.

2. Acceda a Internet, consulte la dirección IP pública utilizada por el host local y registre el tiempo de acceso.

Utilice el navegador para acceder a http://www.whatismyip.com.

El firewall redirige la solicitud de acceso a la página de autenticación. Introduzca el nombre de usuario user02 y la contraseña. Una vez que la autenticación se realiza correctamente, se muestra la página web a la que se accede.

Consulte la dirección IP pública en el sitio web What is my IP y registre la dirección IP pública 1.1.1.3utilizada por el host local.

Registrar el tiempo de acceso. Se recomienda la precisión en segundos, por ejemplo, 2015.06.05, 14:00:00.

3. Consulta la dirección IP del sitio web accedido.

Elija Start > Run, ingrese cmd y presione Enter.

Ingrese ping www.whatismyip.com y presione Enter.

En la primera línea de la información devuelta, la dirección IP 141.101.120.14 que sigue al nombre de dominio es la dirección IP del sitio web al que se accede. Registre la dirección IP.

t2


4. Utilice el LogCenter para la consulta de análisis de sesión.

a. Abra el navegador, ingrese http://10.1.0.1:8080en el cuadro de dirección y presione Enter.

b. Ingrese el nombre de usuario y la contraseña para iniciar sesión en LogCenter.

c. Seleccione Log Analysis > Session Analysis > IPv4 Session Query. Haga clic en la pestaña IPv4 PAT.

d. Introduzca las condiciones conocidas.

Parámetro

Valor

NE

ne_firewall

Rango de Tiempo

2015-06-04 23:00 to 15:00:00

IP/Puerto destino

141.101.120.14

IP/Puerto de origen NAT

1.1.1.2-1.1.1.5

 

e. Se muestra la información de inicio de sesión del usuario.

d6


Saludos. 

 

 

  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.