[GTER] Inteligenciar Cruzamento de NAT vs DHCP vs Usuário (com cronologia)

Roberto Alcântara roberto at eletronica.org
Thu Jan 5 21:58:55 -02 2017


Douglas,

Não estou fazendo exatamente isso (o pessoal que cuida disso não passou os
logs de DHCP...), mas já estamos fazendo correlação com netflow/mcafee
webgateway  utilizando o ELK.

Está na lista expandir para o NAT também (que recebemos via syslog), assim
como o DHCP. Dá um trabalhinho de configurar (talvez por falta de
experiência do lado de cá), mas a ferramenta permite bastante flexibilidade.

sds,
 - Roberto

Em ter, 3 de jan de 2017 às 17:52, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

Algum dos colegas tem alguma sugestão para algum mecanismo que torne mais
simples o cruzamento de dados entre:

Vou tentar descrever o cenário que temos adotado como padrão:
   P.S.:
   É importante salientar que trata-se de
   ambientes corporativos, não de provedor.
   Mas imagino que essa questão afete também
   ISPs que estejam em utilizando NAT, e DHCP.


NAT de Saída X IP
 - Com base em exportação de NetFlow
 - IP Destino + Ip Origem(válido) + Porta Origem + TimeStamp = IP inválido
IP x MAC
 - Com base em log dos Leases do DHCP
 - IP Inválido + Time Stamp = Mac Address
Usuário X MAC
 - Com base em logs do Radius para autenticação do 802.1x
 - Mac Address + Time Stamp = Usuário




  P.S.2:
  Sei que existem diversos aspectos além dos citados aqui,
  mas estas já foram analisadas de descartadas em função
  das características dos ambientes. Ex:
  CG-NAT -> Descartado em função do baixo número de IPs válidos disponível.
  Tabela-ARP-CORE-Cíclica -> Descartada em função da adoção massiva de DHCP.
                 Presumimos que oque for estático estará cadastrado no IPAM.
  Firewall-Layer7-SSO -> Seria lindo, mas "No hay la plata, xirá,".


--
Douglas Fernando Fischer
Engº de Controle e Automação
--
gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list