2010-08-16 59 views
1

我已經看到有人擁有他們不應該擁有的密碼的事件太多。因此,我希望從命令來自何處登錄電臺,以及當時登錄的用戶。登錄機器身份的最佳方式是什麼?我在想MAC地址,除了一臺機器上可能有多個這樣的地址。由於DHCP,IP無法工作。記錄執行任務的站點的最佳實踐

我應該記錄什麼以確保將來可以識別機器?

回答

0

您的問題是MAC地址可能被欺騙。

如果您使用802.1X認證,這不再是一個問題。條件是您使用點1X或者你不關心MAC欺騙,那麼你需要記錄四件事情:

  • 的訪問
  • 的接入時的IP地址
  • 你的DHCP日誌哪個IP地址被分配到MAC地址時,
  • 在哪臺計算機時已登錄

有了這四件的信息,並列出映射的MAC電腦,你可以計算出上市WH用戶已登錄到執行機器。

注意:爲避免IP欺騙,您還必須使用DHCP偵聽和IP Source Guard來防止用戶給自己靜態IP地址。

第二種注意事項:這是假設所有連接到網絡的設備都是公司設備。如果不是這樣,我建議從交換機讀取並記錄IP到端口的映射,並記錄它們。這樣你就可以知道計算機的物理位置。

+0

請注意,MAC地址只有在用戶的機器與服務器位於同一網段時纔有用。 – Jeff 2010-08-16 03:22:13

+0

@Jeff:假。 MAC地址是全局標識符,並且(最初)由製造NIC的工廠分配。用戶*將*暴露(一些)MAC地址到DHCP服務器,這是它被記錄的地方。正如我所說的,沒有dot-1X,MAC地址欺騙是一個問題,但使用它MAC地址**將**在給定的時間範圍內唯一標識一臺機器或用戶(取決於使用哪個憑證)。 – Borealid 2010-08-16 03:23:53

+0

問題是,這需要從DHCP系統讀取信息,這是我不想做的事情,也不是可用的 - 可以在未連接的系統上運行部分數據集,然後稍後會同步更改。我並不特別擔心黑客,主要擔心的是員工試圖對系統進行遊戲。 – 2010-08-16 13:46:10