使用 arpwatch 將代理訪問 ip 回溯到 eap-tls 證書
在我的網路中,我為客戶端使用 eap-tls 身份驗證(機器證書)。這些客戶端使用 squid 代理訪問網際網路。代理正在將請求記錄到 access.log。現在我要做的是從 access.log 中的 IP 地址回溯到請求頁面的機器的證書名稱 (CN),方法是首先通過 arpwatch 日誌從 IP 地址轉到 MAC 地址,然後使用 RadAcct通過搜尋 MAC 地址和日期來記錄證書名稱 (CN) 的日誌文件。
這是可取和安全的,還是有更好的選擇來跟踪誰在哪裡衝浪?
這是否容易受到 arp 中毒攻擊或 mac/ip 欺騙或其他巧妙技巧的攻擊?
如果我另外使用使用者名/密碼組合進行身份驗證(例如 eap-tls 和 peap),是否可以將密碼用於兩個登錄(網路和代理)?
編輯:理想情況下,我希望使用者只需輸入一次憑據。
好吧,如果您希望您的報告按機器身份列出訪問權限,那麼我認為該想法沒有任何問題-只要您在雙方都有日誌(並且時間戳都很好),那為什麼不呢。當您說您使用 EAP-TLS 時,我假設您的意思是 802.1x 和 EAP-TLS 用於有線/無線客戶端訪問。
至於整個概念是否容易受到 ARP 中毒的影響——這就是 ARPwatch 的目的,所以如果這還不夠,那麼還有其他解決方案。MAC 欺騙應該觸發 802.1x 以重新驗證介面 - 是否可以防止所有 MAC 欺騙攻擊我不能說,但它會強制系統重新驗證,因此您將擁有顯示相同機器身份的 EAP-TLS 日誌使用不同的 MAC 地址進行身份驗證,您對機器身份的查找仍然是準確的。在這一點上,我的猜測是您的證書分發\註冊機制將是一個更大的風險。
您可以對代理和網路訪問使用相同的密碼,前提是您可以將它們都指向同一個目錄服務。根據您的平台,肯定有很多方法可以做到這一點 - 幾年前我建立了一個實驗室環境,其中網路訪問由 802.1x 和 EAP-TLS + PEAP 控制,我們使用 AD 憑據,並且有一個外部代理也需要 AD 身份驗證,但添加額外的身份驗證層是否有任何特別的好處是我從未相信的,我個人會更喜歡更安全的證書儲存和僅依賴證書。我很確定今天這種分層身份驗證還有更多選擇。