[GTER] Inteligenciar Cruzamento de NAT vs DHCP vs Usuário (com cronologia)
Roberto Alcântara
roberto at eletronica.org
Thu Jan 5 21:58:55 -02 2017
Douglas,
Não estou fazendo exatamente isso (o pessoal que cuida disso não passou os
logs de DHCP...), mas já estamos fazendo correlação com netflow/mcafee
webgateway utilizando o ELK.
Está na lista expandir para o NAT também (que recebemos via syslog), assim
como o DHCP. Dá um trabalhinho de configurar (talvez por falta de
experiência do lado de cá), mas a ferramenta permite bastante flexibilidade.
sds,
- Roberto
Em ter, 3 de jan de 2017 às 17:52, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:
Algum dos colegas tem alguma sugestão para algum mecanismo que torne mais
simples o cruzamento de dados entre:
Vou tentar descrever o cenário que temos adotado como padrão:
P.S.:
É importante salientar que trata-se de
ambientes corporativos, não de provedor.
Mas imagino que essa questão afete também
ISPs que estejam em utilizando NAT, e DHCP.
NAT de Saída X IP
- Com base em exportação de NetFlow
- IP Destino + Ip Origem(válido) + Porta Origem + TimeStamp = IP inválido
IP x MAC
- Com base em log dos Leases do DHCP
- IP Inválido + Time Stamp = Mac Address
Usuário X MAC
- Com base em logs do Radius para autenticação do 802.1x
- Mac Address + Time Stamp = Usuário
P.S.2:
Sei que existem diversos aspectos além dos citados aqui,
mas estas já foram analisadas de descartadas em função
das características dos ambientes. Ex:
CG-NAT -> Descartado em função do baixo número de IPs válidos disponível.
Tabela-ARP-CORE-Cíclica -> Descartada em função da adoção massiva de DHCP.
Presumimos que oque for estático estará cadastrado no IPAM.
Firewall-Layer7-SSO -> Seria lindo, mas "No hay la plata, xirá,".
--
Douglas Fernando Fischer
Engº de Controle e Automação
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list