【Ejemplo de configuración】 LogCenter V1R1C10 Seguimiento de usuarios en línea basado en Sesiones NAT

55 0 0 0

Ejemplo de configuración LogCenter V1R1C10 Seguimiento de usuarios en línea basado en Sesiones NAT

Seguimiento de usuarios en línea basado en sesiones NAT (en la interfaz de usuario web)

En las redes IPv4, las empresas, los operadores y los proveedores de servicios a menudo utilizan la tecnología NAT para el acceso a Internet a través de un número limitado de direcciones IP públicas. Después de detectar discursos ilegales o información confidencial, el departamento relacionado puede identificar la dirección IP de la puerta de enlace de la red privada especificada pero no puede identificar al usuario especificado. En este caso, la empresa, el proveedor o el proveedor de servicios deben ayudar al departamento relacionado a identificar al usuario. Este ejemplo utiliza los firewalls de la serie USG6000 de Huawei V500R001 y un servidor RADUIS como ejemplo para describir cómo configurar NAT y cómo usar el LogCenter para recopilar registros de NAT y registros de autenticación del servidor RADUIS, ayudando a los administradores de red y al departamento relacionado a identificar usuarios en redes privadas.

Requisitos de red

Una empresa arrienda unas pocas direcciones IP de un operador para que sus empleados accedan a Internet. Como el número de direcciones IP es menor que el número de empleados, el administrador de la red utiliza la función NAT del firewall, para que todos los empleados tengan la oportunidad de acceder a Internet. Como la información comercial de esta empresa es confidencial, la empresa requiere un mecanismo de rastreo del usuario además de medidas de confidencialidad. Una vez que se filtra información confidencial, el departamento relacionado puede identificar la dirección IP (dirección IP de origen posterior al NAT) utilizada para liberar la información según el tiempo de publicación de la información y la dirección IP mostrada (dirección IP de destino). Luego, el administrador de la red puede encontrar a la persona especificada utilizando el mecanismo de rastreo de usuarios.

Un V500R001 USG6680 se implementa en el egreso de la red de la empresa.

Figura 1 Seguimiento de usuarios en línea basado en sesiones NAT

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Análisis de requerimientos

Cuando se conocen la dirección IP de destino, el tiempo de la sesión y la dirección IP de origen posterior al NAT, la dirección IP de origen anterior al NAT puede identificarse en función del registro de sesión registrado en el firewall. Para identificar personal específico, el administrador puede implementar un servidor RADIUS para autenticar a los usuarios. De esta manera, los usuarios acceden a Internet utilizando pares de nombre de usuario y contraseña. Luego, el administrador puede encontrar a la persona que dio a conocer información confidencial basándose en la información de autenticación registrada en el servidor RADIUS y en el registro de sesión en el firewall. Sin embargo, después de que la red se ejecute durante algún tiempo, el servidor de seguridad y el servidor RADIUS registraron una gran cantidad de registros. El administrador apenas puede identificar un registro de sesión específico e información de autenticación asociada. Para resolver este problema, el administrador puede implementar un conjunto de LogCenter para recopilar registros del servidor de seguridad y del servidor RADIUS y usar la función de consulta de registro de sesión para identificar la dirección IP de origen y el usuario según la dirección IP de destino, la dirección IP de NAT de origen y el tiempo de sesión.

Mapa de configuración

Conecte el LogCenter y el servidor RADIUS a la red.

Configure las interfaces, las zonas de seguridad y las políticas de seguridad en el firewall para la conectividad de la red.

Este ejemplo se centra en las configuraciones de autenticación y NAT. Para obtener configuraciones detalladas de conectividad de red, consulte la documentación del producto de firewall.

Configure la función NAT en el firewall y habilite la función de registro de sesión (el formato SESSION se usa en la mayoría de los casos).

Configure las políticas de autenticación en el firewall.

El firewall proporciona una IU de inicio de sesión y autentica a los usuarios según la información del usuario en el servidor RADIUS.

Configure el firewall para enviar registros de sesión al LogCenter.

Configure el servidor RADIUS para proporcionar el servicio de autenticación y envíe los registros al LogCenter.

Este ejemplo se centra en las configuraciones de firewall y LogCenter. Para la configuración del servidor RADIUS, consulte la documentación del producto.

Agregue un colector al LogCenter.

Agregue el servidor de seguridad y el servidor RADIUS al LogCenter como fuentes de registro.

Asociar el colector con las fuentes de registro.

Planificación de datos

Objeto

Datos

Parámetros del LogCenter

Modo de despliegue: despliegue centralizado

Dirección IP: 10.1.0.10

Información básica del firewall

Nombre de la fuente de registro: ne_firewall

·         Dirección IP: 10.1.0.1

Modo de recopilación de registros: SESSION

Grupo de direcciones IP de la interfaz de salida de la red empresarial:1.1.1.1-1.1.1.5

Información básica del servidor RADIUS

·         Nombre de la fuente de registro: ne_radius

·         Dirección IP: 10.2.0.50

Modo de recopilación de registros: sujeto al formato de registro soportado por el servidor RADIUS

 

Procedimiento

Implemente el servidor LogCenter y RADIUS en la red y configure el firewall como salida de la red.

Las zonas de seguridad y las políticas entre zonas están configuradas en el firewall para la comunicación entre las zonas. El LogCenter puede recibir registros del servidor de seguridad y del servidor RADIUS.

Configure la función NAT en el firewall.

Configure un grupo de direcciones NAT y habilite la traducción de direcciones de puertos para la reutilización de direcciones públicas.

Elija Policy > NAT Policy > Source NAT > NAT Address Pool.

Haga clic en Add en NAT Address Pool List.

Rellene la información del conjunto de direcciones en New NAT Address Pool.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en OK.

Configure una política NAT de origen para el acceso a Internet desde la subred privada especificada.

Elija la pestaña Source NAT y haga clic en Add en Source NAT Policy List.

Complete la información de la política NAT de origen en New Source NAT Policy.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en OK.

Establecer los parámetros de autenticación en el firewall.

Configure los parámetros para la interconexión con el servidor RADIUS.

Elija Object > Authentication Server > RADIUS.

Haga clic en Add.

Complete los parámetros del servidor RADIUS en New RADIUS Server.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en OK.

Configurar un esquema de autenticación.

Elija Object > User > default.

Seleccione Online behavior management en Scenario de User Management.

Configurar una política de autenticación.

Elija Object > User > default..

Seleccione Username and Password Authentication como Internet access authentication mode.

Haga clic en Configure Authentication Policy.

Haga clic en Add en Authentication Policy List para agregar una nueva política.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Después de hacer clic en OK, seleccione el elemento Enable de esta política en la lista y luego haga clic en Close.

Seleccione el servidor RADIUS para el dominio de autenticación.

Elija Object > User > default.

Seleccione Authentication Server en User location.

Seleccione el nuevo servidor creado de la lista desplegable de Authentication Server.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Establecer nuevas opciones de usuario.

Elija Object > User > default.

Expandir New User Authentication Item en Advance.

Seleccione Use It as a Temporary One and Do Not Add It to the Local User List, y use el grupo de usuarios predeterminado.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en Apply para habilitar toda la configuración de este dominio de autenticación.

Configure el firewall para enviar registros de sesión al LogCenter.

Habilitar la función de registro de sesión en la política de seguridad.

Seleccione Policy > Security Policy > Security Policy.

Encuentre la política que restringe el tráfico de la intranet a Internet. Hacer clic.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

en la columna Edit. Habilitar Record Session Log.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en OK.

Configure el firewall para enviar registros al LogCenter.

Elija System > Log Configuration.

Llene los parámetros de envío de registros en la región Configure Session Logs.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en OK.

Configurar el servidor RADIUS (omitido). Mantenga la configuración de parámetros coherente en el servidor de seguridad y el servidor RADIUS.

Agregue un colector al LogCenter.

Abra un navegador en la PC que pueda conectarse al analizador LogCenter e ingrese http://10.1.0.10:8080 en el cuadro de dirección, y presione Enter.

Inicie sesión como admin.

La contraseña inicial del usuario admin es Changeme123. Se mostrará un cuadro de diálogo para el primer inicio de sesión para pedirle que cambie la contraseña.

Seleccione Resources > Resources Management > Collector Manager.

Haga clic en la pestaña Collectors.

Clic en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/create.png y establecer los parámetros del colector de registro.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en OK. Se muestra un cuadro de diálogo. Haga clic en OK. Se añade el colector.

Añadir fuentes de registro al LogCenter.

Seleccione Resources > Resources Management > NEs.

Clic en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/manu_discover.png, complete la información básica del firewall y haga clic en OK.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/manu_discover.png, complete la información básica del servidor RADIUS y haga clic en OK.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Asociar el colector con las fuentes de registro.

Seleccione Resources > Resources Management > Collector Manager.

Haga clic en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/associate_NE.png a la derecha del recolector de troncos.

Click http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/add.png.

Se muestra el cuadro de diálogo Associate NE. Seleccione ne_firewall y haga clic en Next.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Establezca el modo de recopilación en SESSION y haga clic en OK.

Seleccione Enable the UTM feature y haga clic en Finish.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Haga clic en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/add.png. se muestra el cuadro de diálogo Associate NE. Seleccione ne_radius y haga clic en Next.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Establezca el modo de recopilación en FTP Static File y haga clic en Add.

Establecer los parámetros de FTP y haga clic en Finish.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

Verificación

Utilice cualquier PC de la red privada para acceder a Internet y registre el tiempo de acceso, la dirección IP del sitio web al que se accede (dirección IP de destino) y la dirección IP pública de origen (dirección IP de origen posterior al NAT). Sobre la base de los tres parámetros, realice una consulta de análisis de sesión en LogCenter para buscar la dirección IP privada del usuario especificado. Compare la dirección IP encontrada con la actual. Si son iguales, la configuración se realiza correctamente. El procedimiento es el siguiente:

Consulta la dirección IP del host local.

Elija Start > Run, ingrese cmd y presione Enter.

Ingrese ipconfig en la CLI y presione Enter.

Registre la dirección IP mostrada 10.1.0.108.

Acceda a Internet, consulte la dirección IP pública utilizada por el host local y registre el tiempo de acceso.

Utilice el navegador para acceder a http://www.whatismyip.com.

El firewall redirige la solicitud de acceso a la página de autenticación. Introduzca el nombre de usuario user02 y la contraseña. Una vez que la autenticación se realiza correctamente, se muestra la página web a la que se accede.

Consulte la dirección IP pública en el sitio web What is my IP y registre la dirección IP pública 1.1.1.3 utilizada por el host local.

Registrar el tiempo de acceso. Se recomienda la precisión en segundos, por ejemplo, 2015.06.05, 14:00:00.

Consulta la dirección IP del sitio web accedido.

Elija Start > Run, ingrese cmd y presione Enter.

Ingrese ping www.whatismyip.com y presione Enter.

En la primera línea de la información devuelta, la dirección IP 141.101.120.14 que sigue al nombre de dominio es la dirección IP del sitio web al que se accede. Registre la dirección IP.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

Nota: Este sitio web utiliza dos direcciones IP, 141.101.120.14 y 141.101.120.15, para proporcionar servicios. La verificación debe estar sujeta a la situación actual. En este ejemplo, se usa 141.101.120.14.

Utilice el LogCenter para la consulta de análisis de sesión.

Abra el navegador, ingrese http://10.1.0.1:8080 en el cuadro de dirección y presione Enter.

Ingrese el nombre de usuario y la contraseña para iniciar sesión en LogCenter.

Seleccione Log Analysis > Session Analysis > IPv4 Session Query. Haga clic en la pestaña IPv4 PAT.

Introduzca las condiciones conocidas.

Parámetro

Valor

NE

ne_firewall

Rango de Tiempo

2015-06-04 23:00 to 15:00:00

IP/Puerto destino

141.101.120.14

IP/Puerto de origen NAT

1.1.1.2-1.1.1.5

 

Se muestra la información de inicio de sesión del usuario.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001

 

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba