【Exemple de configuration】 Traçage utilisateur en ligne LogCenter V1R1C10 basé sur une session NAT

23 0 0 0

Suivi d'utilisateurs en ligne basé sur des sessions NAT (sur l'interface utilisateur Web)

Sur les réseaux IPv4, les entreprises, les opérateurs et les fournisseurs de services utilisent souvent la technologie NAT pour accéder à Internet via un nombre limité d'adresses IP publiques. Après avoir détecté des discours illégaux ou des informations sensibles, le service concerné peut identifier l'adresse IP de passerelle du réseau privé spécifié, mais ne peut pas identifier l'utilisateur spécifié. Dans ce cas, l'entreprise, l'opérateur ou le fournisseur de services doit aider le service concerné à identifier l'utilisateur. Cet exemple utilise les pare-feu Huawei V500R001 série USG6000 et un serveur RADUIS pour expliquer comment configurer NAT et utiliser LogCenter pour collecter les journaux NAT et les journaux d'authentification du serveur RADUIS, en aidant les administrateurs réseau et le service associé à identifier les utilisateurs sur des réseaux privés.

Exigences de mise en réseau

Une entreprise loue quelques adresses IP à un opérateur pour que ses employés puissent accéder à Internet. Le nombre d'adresses IP étant inférieur au nombre d'employés, l'administrateur du réseau utilise la fonction NAT du pare-feu afin que tous les employés aient des chances d'accéder à Internet. Les informations commerciales de cette entreprise étant sensibles, l'entreprise a besoin d'un mécanisme de traçage des utilisateurs en plus des mesures de confidentialité. Une fois que des informations sensibles ont été divulguées, le service concerné peut identifier l'adresse IP (adresse IP source post-NAT) utilisée pour diffuser les informations en fonction de l'heure de diffusion des informations et de l'adresse IP affichée (adresse IP de destination). Ensuite, l'administrateur réseau peut rechercher la personne spécifiée à l'aide du mécanisme de traçage des utilisateurs.

Un V500R001 USG6680 est déployé à la sortie du réseau de l'entreprise.

Figure 1 Suivi des utilisateurs en ligne basé sur des sessions NAT 
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig01 

Analyse des exigences

Lorsque l'adresse IP de destination, l'heure de la session et l'adresse IP source post-NAT sont connues, l'adresse IP source pré-NAT peut être identifiée en fonction du journal de session enregistré sur le pare-feu. Pour identifier un personnel spécifique, l'administrateur peut déployer un serveur RADIUS pour authentifier les utilisateurs. De cette manière, les utilisateurs accèdent à Internet à l'aide de paires nom d'utilisateur et mot de passe. Ensuite, l'administrateur peut trouver la personne qui a publié des informations sensibles sur la base des informations d'authentification enregistrées sur le serveur RADIUS et du journal de session sur le pare-feu. Cependant, après un certain temps d’exploitation du réseau, le pare-feu et le serveur RADIUS ont enregistré un grand nombre de journaux. L'administrateur peut difficilement identifier un journal de session spécifique et les informations d'authentification associées. Pour résoudre ce problème, l'administrateur peut déployer une suite de LogCenter afin de collecter les journaux du pare-feu et du serveur RADIUS et utiliser la fonction de requête du journal de session pour identifier l'adresse IP source et l'utilisateur en fonction de l'adresse IP destination, de l'adresse IP NAT source et de la durée de session. .

Feuille de route de configuration

  1. Connectez le serveur LogCenter et RADIUS au réseau.

    Configurez les interfaces, les zones de sécurité et les stratégies de sécurité sur le pare-feu pour la connectivité réseau.

    Cet exemple porte sur les configurations NAT et d'authentification. Pour des configurations détaillées de la connectivité réseau, consultez la documentation du produit pare-feu.

  2. Configurez la fonction NAT sur le pare-feu et activez la fonction de journal de session (le format SESSION est utilisé dans la plupart des cas).
  3. Configurez les stratégies d'authentification sur le pare-feu.

    Le pare-feu fournit une interface utilisateur de connexion et authentifie les utilisateurs en fonction des informations sur le serveur RADIUS.

  4. Configurez le pare-feu pour envoyer les journaux de session au LogCenter .
  5. Configurez le serveur RADIUS pour fournir le service d'authentification et envoyer les journaux au LogCenter .

    Cet exemple porte sur les configurations de pare-feu et LogCenter . Pour la configuration du serveur RADIUS, voir la documentation du produit.

  6. Ajoutez un collecteur au LogCenter .
  7. Ajoutez le pare-feu et le serveur RADIUS au LogCenter en tant que sources de journal.
  8. Associez le collecteur aux sources de journal.

Planification des données

Article

Les données

Paramètres du LogCenter
  • Mode de déploiement: déploiement centralisé
  • Adresse IP: 10.1.0.10
Informations de base sur le pare-feu
  • Nom de la source de journal: ne_firewall
  • Adresse IP: 10.1.0.1
  • Mode de collecte des journaux: SESSION
  • Pool d'adresses IP de l'interface sortante du réseau d'entreprise: 1.1.1.1-1.1.1.5
Informations de base sur le serveur RADIUS
  • Nom de la source de journal: ne_radius
  • Adresse IP: 10.2.0.50
  • Mode de collecte de journaux: sujet au format de journal pris en charge par le serveur RADIUS

Procédure

  1. Déployez le serveur LogCenter et RADIUS sur le réseau et configurez le pare-feu comme sortie réseau.

    Les zones de sécurité et les stratégies interzone sont configurées sur le pare-feu pour la communication entre les zones. Le LogCenter peut recevoir des journaux du pare-feu et du serveur RADIUS.

  2. Configurez la fonction NAT sur le pare-feu.
    1. Configurez un pool d'adresses NAT et activez la traduction des adresses de port pour la réutilisation des adresses publiques.

      1. Choisissez Stratégie > Stratégie NAT > NAT source > Pool d'adresses NAT .
      2. Cliquez sur Ajouter dans la liste de pools d'adresses NAT .
      3. Remplissez les informations du groupe d'adresses dans le nouveau groupe d'adresses NAT .

        http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig14.png

      4. Cliquez sur OK

    2. Configurez une stratégie NAT source pour l'accès Internet à partir du sous-réseau privé spécifié.

      1. Choisissez l’onglet Source NAT , puis cliquez sur Ajouter dans la liste des stratégies NAT Source .
      2. Remplissez les informations de stratégie NAT source dans la stratégie Nouvelle source NAT .

        http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig15.png

      3. Cliquez sur OK

  3. Définissez les paramètres d'authentification sur le pare-feu.
    1. Définissez les paramètres pour l’interconnexion avec le serveur RADIUS.

      1. Choisissez Objet > Serveur d'authentification > RADIUS .
      2. Cliquez sur Ajouter .
      3. Renseignez les paramètres du serveur RADIUS dans le nouveau serveur RADIUS .

        http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig16.png

      4. Cliquez sur OK

    2. Configurez un schéma d'authentification.

      1. Choisissez Objet > Utilisateur > par défaut .
      2. Sélectionnez Gestion du comportement en ligne dans Scénario de gestion des utilisateurs .

    3. Configurez une politique d'authentification.

      1. Choisissez Objet > Utilisateur > par défaut .
      2. Sélectionnez Authentification du nom d' utilisateur et du mot de passe comme mode d'authentification de l'accès Internet .
      3. Cliquez sur Configurer la stratégie d'authentification .
      4. Cliquez sur Ajouter dans la liste des stratégies d'authentification pour ajouter une nouvelle stratégie.

        http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig17.png

      5. Après avoir cliqué sur OK , sélectionnez l'élément Activer de cette stratégie dans la liste, puis cliquez sur Fermer .

    4. Sélectionnez le serveur RADIUS pour le domaine d'authentification.

      1. Choisissez Objet > Utilisateur > par défaut .
      2. Sélectionnez Authentication Server dans l'emplacement de l'utilisateur .
      3. Sélectionnez le nouveau serveur créé dans la liste déroulante du serveur d'authentification .

        http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig18.png

    5. Définir de nouvelles options utilisateur.

      1. Choisissez Objet > Utilisateur > par défaut .
      2. Développez Nouvel élément d'authentification d'utilisateur sous Avance .
      3. Sélectionnez Utilisez-le comme temporaire et ne l'ajoutez pas à la liste des utilisateurs locaux, puis utilisez le groupe d'utilisateurs par défaut.

        http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig19.png

    6. Cliquez sur Appliquer pour activer toute la configuration de ce domaine d'authentification.
  4. Configurez le pare-feu pour envoyer les journaux de session au LogCenter .
    1. Activez la fonction de journalisation de session dans la stratégie de sécurité.

      1. Choisissez Stratégie > Stratégie de sécurité > Stratégie de sécurité .
      2. Recherchez la stratégie qui limite le trafic de l'intranet à Internet. Cliquez sur http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig20.png dans la colonne Éditer . Activer l' enregistrement du journal de session .
      3. http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig12.png

      4. Cliquez sur OK

    2. Configurez le pare-feu pour envoyer les journaux au LogCenter .

      1. Choisissez Système > Configuration du journal .
      2. Renseignez les paramètres d'envoi du journal dans la région Configurer les journaux de session.

        http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig13.png

      3. Cliquez sur Appliquer .

  5. Configurez le serveur RADIUS (omis). Conservez les paramètres de paramètres cohérents sur le pare-feu et le serveur RADIUS.
  6. Ajoutez un collecteur au LogCenter .
    1. Ouvrez un navigateur sur le PC pouvant se connecter à l'analyseur LogCenter , entrez http://10.1.0.10:8080 dans la zone d'adresse et appuyez sur Entrée .
    2. Connectez-vous en tant qu'utilisateur admin .

      Le mot de passe initial de l'utilisateur admin est Changeme123 . Une boîte de dialogue s'affiche pour la première connexion et vous invite à changer le mot de passe.

    3. Choisissez Ressources > Gestion des ressources > Gestionnaire des collecteurs .
    4. Cliquez sur l'onglet Collecteurs .
    5. Cliquez sur http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/create.png et définissez les paramètres du collecteur de journaux.

      http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig03.png

    6. Cliquez sur OK Une boîte de dialogue est affichée. Cliquez sur OK Le collecteur est ajouté.
  7. Ajoutez des sources de journal au LogCenter .
    1. Choisissez Ressources > Gestion des ressources > NE .
    2. Cliquez sur http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/manu_discover.png , remplissez les informations de base du pare-feu et cliquez sur OK . http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig05.png
    3. Cliquez sur http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/manu_discover.png, entrez les informations de base du serveur RADIUS, puis cliquez sur OK .

    4. http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig06.png

  8. Associez le collecteur aux sources de journal.
    1. Choisissez Ressources > Gestion des ressources > Gestionnaire des collecteurs .
    2. Cliquez sur http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/associate_NE.png à droite du collecteur de journaux.
    3. Cliquez sur http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/add.png. La boîte de dialogue Associate NE s'affiche. Sélectionnez ne_firewall et cliquez sur Suivant .

      http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig07.png

    4. Définissez le mode de collecte sur SESSION et cliquez sur Ajouter .

      Sélectionnez Activer la fonctionnalité UTM et cliquez sur Terminer .

      http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig08.png

    5. Cliquez sur http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/add.png . La boîte de dialogue Associate NE s'affiche. Sélectionnez ne_radius et cliquez sur Suivant .

      http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig09.png

    6. Définissez le mode de collecte sur Fichier statique FTP et cliquez sur Ajouter .

      Définissez les paramètres FTP et cliquez sur Terminer .

      http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/eLog_cfgexample_0001_fig10.png

Vérification

Utilisez n’importe quel PC du réseau privé pour accéder à Internet et enregistrez le temps d’accès, l’adresse IP du site Web auquel vous avez accédé (adresse IP de destination) et l’adresse IP publique d’origine (adresse IP source post-NAT). Sur la base des trois paramètres, effectuez une requête d'analyse de session sur le LogCenter pour rechercher l'adresse IP privée de l'utilisateur spécifié. Comparez l'adresse IP trouvée à l'adresse réelle. S'ils sont identiques, la configuration réussit. La procédure est la suivante:

  1. Interrogez l'adresse IP de l'hôte local.
    1. Choisissez Démarrer > Exécuter , entrez cmd et appuyez sur Entrée .
    2. Entrez ipconfig dans la CLI et appuyez sur Entrée .
    3. Enregistrez l'adresse IP affichée 10.1.0.108 .
  2. Accédez à Internet, interrogez l'adresse IP publique utilisée par l'hôte local et enregistrez l'heure d'accès.
    1. Utilisez le navigateur pour accéder à http://www.whatismyip.com .
    2. Le pare-feu redirige la demande d'accès vers la page d'authentification. Entrez le nom d'utilisateur user02 et le mot de passe. Une fois l'authentification réussie, la page Web consultée est affichée.
    3. Interrogez l'adresse IP publique sur le site Web What is my IP et notez l' adresse IP publique 1.1.1.3utilisée par l'hôte local.
    4. Enregistrez le temps d'accès. La précision en secondes est recommandée, par exemple 2015.06.05, 14:00:00 .
  3. Interrogez l'adresse IP du site Web auquel vous avez accédé.
    1. Choisissez Démarrer > Exécuter , entrez cmd et appuyez sur Entrée .
    2. Entrez ping www.whatismyip.com et appuyez sur Entrée .
    3. Sur la première ligne des informations renvoyées, l'adresse IP 141.101.120.14 après le nom de domaine est l'adresse IP du site Web consulté. Enregistrez l'adresse IP.
      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / public_sys-resources / icon-note.gif REMARQUE:

      Ce site web utilise deux adresses IP, 141.101.120.14 et 141.101.120.15, pour fournir des services. La vérification doit être soumise à la situation réelle. Dans cet exemple, 141.101.120.14 est utilisé.

  4. Utilisez la requête LogCenter pour l'analyse de session.
    1. Ouvrez le navigateur, entrez http://10.1.0.1:8080 dans la zone d'adresse et appuyez sur Entrée .
    2. Entrez le nom d'utilisateur et le mot de passe pour vous connecter au LogCenter .
    3. Choisissez Analyse de journal > Analyse de session > Requête de session IPv4 . Cliquez sur l'onglet PAT IPv4 .
    4. Entrez les conditions connues.

      Paramètre

      Valeur

      NE

      ne_firewall

      Intervalle de temps

      2015-06-05 06:00 à 15:00:00

      IP / port de destination

      141.101.120.14

      Source NAT IP / Port

      1.1.1.2-1.1.1.5

    5. Les informations d'utilisateur de connexion sont affichées.

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / eLog_cfgexample_0001_fig11.png


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier