Foro en Español

Reply
Highlighted
Contributor II

Airwave - Histórico sitios accedidos por un usuario?

Hola,

 

Nos ha surgido la necesidad de averiguar que IP interna ha accedido a una determinada IP pública. La IP interna en cuestión sabemos que es de un endpoint conectado por WIFI, el cual navega de forma directa (sin Proxy) saliendo a Internet con una IP pública de un NAT del cortafuegos externo.

 

Este tráfico pasa por nuestros controladores WIFI, que en teoría podrían llegar a enviar datos de la conexión a Airwave. ¿Hay alguna forma de consultar en Airwave que IP origen fue la que se conectó a determinada IP pública en un momento concreto? De ser posible, ¿durante cuanto tiempo se guardaría esta información? No consigo encontrar nada parecido.... sólo veo estadísticas agregadas.

 

Si Airwave no es capaz de guardar esta información en histórico... ¿que aplicaciones o soluciones conocéis que puedan ayudarnos en esto? ¿quizá enviar Netflow desde el default gateway?

 

Gracias!

Moderator

Re: Airwave - Histórico sitios accedidos por un usuario?

Hola

 

Es complicado que lo puedas sacar de los informes de Airwave, porque almacena la información de forma agregada para optimizar el espacio que se ocupa en la BBDD (realmente no es una herramienta de análisis forense).

 

Pero si no ha pasado mucho tiempo quizá puedas sacarlo del dashboard. Ve a Home > AppRF > Destinations y haz click en "Detail". Te debería aparecer una tabla como la que muestro a continuación:

Screen Shot 2017-07-14 at 14.33.50.png

Para no volverte loco, dale dale al triangulito de arriba a la derecha y pon el intervalo que estás buscando. Una vez tengas la cosa más o menos afinada, busca la IP (truco, haz click en destination para que te ordene alfabeticamente). Por último, haz click sobre el numerito que aparece en la columna "User Name" y te saldrá la lista de usuarios que han navegado por esa IP (en mi captura están anonimizados):

Screen Shot 2017-07-14 at 14.37.16.png

Con un poco de suerte (quizá no tanta para el usuario en cuestión) sólo tendrás un usuario o IP, que habrá sido "pillado" por Airwave. 

 

Un saludo!

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor II

Re: Airwave - Histórico sitios accedidos por un usuario?

Gracias!! La verdad que había un detalle del filtrado que no había visto, da para mucho a pesar de ser una herramienta pensada para agregar información!

 

Realmente no es un tema de pillar a un usuario, hemos detectado tráfico malicioso y queremos localizar el terminal para ver si tiene "bicho" :-)....

Moderator

Re: Airwave - Histórico sitios accedidos por un usuario?

Y yo que me pensaba que estábamos en plan Sherlock Holmes... :)
Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: