Foro en Español

Reply
Occasional Contributor II

Trazabilidad Nombre de usuario e IP

Buenas a todos, tengo una duda sobre logs, necesitamos guardar el histórico de direccionamiento/nombre de usuarios por motivos de trazabilidad ante requerimientos judiciales o bien ante alertas de seguridad en dispositivos que nos disparan desde nuestro CERT

Nuestro sistema dispone de:
Aruba Airwave
Aruba Clearpass
Clusters IAPs
Entornos con controladora
Una pareja de Infoblox 2220


Actualmente, esta información la sacamos del reporting de Infoblox para conseguir la MAC del usuario y luego trazamos mediante Clearpass o Airwave el nombre de usuario (a veces es tan sencillo como buscar en Airwave la IP). Hemos seguido también la guía de integración Infoblox/Clearpass pero no estamos muy convencidos con el resultado del filtro obtenido en el reporting de INFOBLOX (o bien no sabemos usarlo correctamente).

Alguna experiencia similar?, como soléis guardar y explotar estos logs?, los tiráis a un syslog y buscáis a mano? o usáis directamente Airwave?

Hemos intentado tunear Airwave/Clearpass para prolongar el log pero no tenemos claro que parámetros del logs debemos prolongar en el tiempo para guardar esta información de trazabilidad de nombres de usuario/IP sin que se nos dispare la ocupación en disco por información que no es tan critica para nosotros. Los usuarios que necesitamos guardar son de ClearPass Policy Manager y de Guest

 

Muchas Gracias de antemano.

Carlos Villanueva Humanes
ACMP

Re: Trazabilidad Nombre de usuario e IP

Buenos Carlos;

 

 Con la integracion de Clearpass e Infoblox se hace de manera sencilla. En el infoblox se guarda el nombre de usuario, la MAC. Lo conveniente para tener todo seria utilizar el IPAM de infoblox, es decir, que facilite el el DHCP de los usuarios, de esta manera puedes sacar toda esa informacion de la misma BBDD.

 

Espero que sea de ayuda,

 

Un saludo.

Angel De la Encarnacion

ACMP, ACCP, ACDX #544
Contributor II

Re: Trazabilidad Nombre de usuario e IP

Hola,

la integración que comenta Angel es muy útil puedes buscar:

https://www.google.com/search?q=technote+infoblox+clearpass&ie=utf-8&oe=utf-8&client=firefox-b

 

o dirigirte directamente a este hilo:

http://community.arubanetworks.com/t5/Foro-en-Espa%C3%B1ol/Integracion-Clearpass-Infoblox/td-p/252710

 

Además, como recomendación yo pondría una ACL a final de todas en el role para hacer logging de todos los accesos del usuario,

any-any-log.jpg

habiendo configurado previamente el reenvió a un syslog

 

Suerte


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP
Occasional Contributor II

Re: Trazabilidad Nombre de usuario e IP


Buenas Ángel, como os comentaba en el post esta integración la tenemos actualmente implementada, pero la verdad es que nos gustaría sacar los datos de Clearpass y Airwave, por dos motivos:

1 .- En algunas sedes no se entrega direccionamiento desde los Infoblox por las peculiaridades de clientes
2 .- Perdemos información de usuario valiosa de Guest en Clearpass, ya que solo disponemos por ejemplo del nombre de usuario y no del resto de campos que pueden ser muy útiles para localizar a algunos clientes (por ejemplo el numero de teléfono al que mandamos los SMS, o la persona que sponsoriza en otros clientes, ...)

Os adjunto un par de capturas de como tenemos configurado Airwave y Clearpass

En Clearpass, tenemos configurado Expired "guest accounts cleanup interval" a 365

Captura Clearpass.JPG

Por cierto no he encontrado donde se retiene el log de autenticación tanto de Guest como de CPPM en Clearpass


Por otro lado, os adjunto la política de Retención de Airwave, entiendo que el valor que tenemos que modificar para mantener los datos de los usuarios es "Client Data Retention Interval", pero no entiendo la diferencia con el valor

"Guest Users"..

Captura_Airwave.JPG

Saludos y Gracias de nuevo

Carlos Villanueva Humanes
ACMP
Contributor II

Re: Trazabilidad Nombre de usuario e IP

Hola,

¿Conoces ClearPass Insight?

https://server_ip_address/insight/

Estoy seguro, que puedes generar informes en *.csv con la información que necesitas.

Suerte


Ricardo Luis Cañavate García - ACMP / ACCA / ACCP
Occasional Contributor II

Re: Trazabilidad Nombre de usuario e IP

Buenas Ricardo, efectivamente la conocemos, vamos a explorar tambien esa vía, ademas si no me equivoco creo que Insight usa otra BBDD diferente, actualmente tenemos configurado esta retención de logs, vamos a ver como afecta al rendimiento y al espacio en disco aumentarlo a al menos un año.

 

captura Insight.JPG

 

Pero creo que no ofrece mucha flexibilidad al manejar los datos de busquedas online sin tener que estar bajando ficheros excel.

 

Muchas Gracias

Carlos Villanueva Humanes
ACMP
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: