您的位置: 网界网 > 周报全文 > 正文

[周报全文]关联数据流与用户

2007年05月08日 15:40:18 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:将用户与IP地址、MAC地址和端口等信息建立关联,使管理员可以迅速地跟踪某个设备及与某IP地址关联的特定用户的物理位置。这种设备无疑填补了系统监管领域的空白。

标签
关联
用户
数据流
 

【CNW.com.cn 专稿】用户IP地址、MAC地址和端口等信息建立关联,使管理员可以迅速地跟踪某个设备及与某IP地址关联的特定用户的物理位置。这种设备无疑填补了系统监管领域的空白。

面对日益增长的费用和监管要求的压力,一款将用户映射到IP地址的工具可以为许多这样的公司提供帮助。

ETelemetry公司的专用设备——Locate填补了这个重要的系统监管领域的空白。而且它还添加了将网络地址与物理网络端口进行映射以及支持集成工具和实时查询等功能。不过,它也仍存在着一些需要精心打磨的地方。

部署并产生关联

部署1U高度的Locate设备迅速可以实现。它被连接在一个交换机的镜像端口上,被动监听网络数据流量,尤其监视登录信息。然后它通过读取导入的职员列表文本文件或查询企业目录(如Windows Active DirectoryNovell eDirectory),实现将数据流与特定用户的关联。

测试者在把Locate安装在测试网络中时,将它先连接在交换机的一个监听所有网络端口的镜像端口上,然后把它配置为查询Active Directory以获取用户信息,查询Cisco Catalyst交换机获取网络数据(参见“如何测试”)

测试者在初始设置过程中遇到了问题:该设备没有看到映射的网络数据流。在eTelemetry支持人员的协助下,测试者发现安装指令错误地标记了镜像端口。据支持人员说,硬件和系统配置的变化常常改变镜像端口的位置,并且文档资料并不是总能保持同步。

在映射用户时,即将用户与IPMAC或电子邮件地址等具体信息建立关联—Locate通过监测数据流来寻找某项服务(如IM、电子邮件和Active Directory)的登录信息。另外,Locate还通过轮询网络设备的方式将IP地址与某物理交换机端口联系在一起。

配置LocateActive DirectoryCisco交换机通信,需要用Locate文档资料规定的特定格式创建一个以“逗号隔开的值”的文件(CSV文件)。然后这个CSV文件通过管理员界面被上载到Locate设备上并让配置生效。尽管这样做也完成了任务,但可以通过将这种设置直接集成到管理员界面中以改进Locate的易管理性。

一旦上载了CSV文件,你就可以导出它,这为未来的配置改变提供了方便。不过,测试者遇到的问题是这种CSV导出功能不能通过HTTPS来完成,而只能使用HTTP。这是该产品中的一个bugeTelemetry正在研究修补办法。

测试者还遇到了Locate没能从试验室网络中的Cisco Catalyst 3500交换机中正确读取数据的情况。eTelemetry支持人员在Locate上安装了一个补丁,使它能够正确地读取交换机提供的数据。安装补丁之后,就可以成功地将用户与计算机和物理网络位置绑定在一起。

系统管理和数据查询通过基于Web的界面进行。在Locate将用户与IP地址建立关联后,它会勾勒出一个活动的地图,为管理员查询提供了方便。

Locate还提供了一个非常方便的特性。管理员可以使用Locate管理界面与系统建立远程桌面连接来排查故障,或关闭某个被攻击所利用的交换机端口。

Locate完成配置并在网络上运行了足够长的时间以至于可以开始采集数据之后,管理员就可以“责令”Locate迅速找到他们需要的信息。管理员未来可能将大部分时间花在Locate的搜索部分。

目前,映射可以按IP地址、MAC地址、交换机端口、用户账户、职员姓名、楼宇、部门以及其他许多属性来搜索。如果你需要确定谁在某个历史阶段使用某个IP地址,历史映射也可以被搜索出来。你可以映射的用户数量或可以映射的端口、IPMAC地址的数量不存在物理限制。

然后,管理员可以轻松地深入查看具体的账户信息,查看用户访问网络时曾使用的所有IP地址。你还可以根据查询结果,直接从Locate发送电子邮件,在遇到问题时,可以通过这项功能用电子邮件通知交换机上的所有用户。使用者还可以设置当MAC地址或IP地址发生变化时报警,如果你希望更密切地监测某个用户或地址,这种报警功能会很有帮助。

管理及报告

Locate还提供方便的集成工具。从用户记录中可以建立与产生最新映射系统的远程桌面连接。管理员可以利用Locate管理界面关闭网络端口(+本站微信networkworldweixin),阻止任何数据流在网络上传送。这可以在某些场合提高管理员的效率和响应时间。

Locate的当前配置限制在5个管理账户上。尽管你可以修改账户的口令,但不能修改账户名或添加新账户—一种与大多数标准安全实践相悖的限制。这种功能应该加强,以提供标准的访问控制服务,包括定制账户名、访问粒度以及与企业用户目录集成的提供认证与授权的能力。

Locate还以明文形式显示账户口令。测试者认为,在管理控制台显示口令时,口令应当被隐蔽。在测试过程中,厂商证实账户口令没有被加密。

Locate中的报告功能需要加强,如输出图表的能力,Locate目前还只限于将原始数据输出到CSV文件中。定制用于映射的数据的能力也需要改进,这将帮助那些处于标准Active Directory之外,但又与用户的日常功能和身份相关的属性(如企业工号)实现映射。

Locate提供了企业最急需的管理功能并完成了这项任务。如果能消灭存在的bug、增加一些企业级增强功能—如账户管理、访问控制和增强型报告功能,那将会使该产品更受人们的欢迎。

如何测试

测试者把Locate设备部署在测试网络上。它由20个系统组成,包括Windows XPWindows 2003服务器和Red Hat Linux服务器。之后,测试者将它与Windows Active Directory 2003相集成,Cisco Catalyst 3500交换机上的一个端口被配置为镜像端口。这些设备都使用标准配置,没有增加任何定制配置。

测试者跨多台主机执行了不同的登录活动,以了解哪些活动被Locate捕获到,并确认到Active Directory的所有登录和其他指定的监视项目都被捕获。积累了一定的数据后,测试者执行了多种查询,以了解数据是如何被表示和处理的。测试者还配置了当系统修改IP地址时发出的报警,还向被映射到某交换机端口子集的所有用户发送一封电子邮件。此外,还建立了与一个处于活动状态的映射的远程桌面连接。(美国《Network World》供本报专稿)

p20.jpg

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]