在我的networking中,我正在为客户端使用eap-tls身份validation(机器证书)。 这些客户端正在使用鱿鱼代理访问互联网。 代理将请求logging到access.log。 现在我想要做的是从access.log中的IP地址回溯到请求页面的机器的证书名称(CN),方法是首先从IP地址通过arpwatch日志到MAC地址,然后使用RadAcct通过searchMAC地址和datelogging证书名称(CN)的文件。
这是可取的和安全的,或者这有一个更好的select来跟踪谁在哪里冲浪?
这是容易受到ARP中毒攻击或MAC / IP欺骗,或其他聪明的技巧?
如果我另外使用用户名/密码组合进行身份validation(例如eap-tls&peap),是否可以使用密码login(networking和代理)?
编辑:理想情况下,我希望用户只需input一次凭据。
那么,如果你想要你的报告列出的机器身份访问,那么我没有看到任何错误的想法 – 只要你有双方日志(和时间戳是好的,所有),那么为什么不。 当你说你正在使用EAP-TLS时,我认为你的意思是802.1x和EAP-TLS的有线\无线客户端访问。
至于整个概念是否容易受到ARP中毒的影响 – 这就是ARPwatch肯定是如此,如果这还不够的话还有其他解决scheme。 MAC欺骗应该触发802.1x重新authentication接口 – 无论是否阻止所有MAC欺骗攻击我不能说,但它会迫使系统重新authentication,所以你将有EAP-TLS日志显示相同的机器身份使用不同的MAC地址进行身份validation,您对机器身份的查找仍然是准确的。 在这一点上,我的猜测是,你的证书分配\注册机制将是一个更大的风险。
您可以使用相同的密码进行代理和networking访问,只要您可以将它们指向同一目录服务即可。 根据您的平台,确实有很多方法可以做到这一点 – 我build立了一个多年前的实验室环境,其中networking访问由802.1x用EAP-TLS + PEAP控制,其中我们使用了AD证书,并且有一个还需要ADauthentication的外部代理,但是在添加额外的authentication层方面是否有任何特别的好处是我从来没有信服的,个人而言,我更喜欢更安全的证书存储以及单独依赖证书。 我很确定,今天这种分层authentication还有更多的select。