在我的网络中,我为客户端使用 eap-tls 身份验证(机器证书)。这些客户端使用 squid 代理访问互联网。代理将请求记录到 access.log。现在我想要做的是从 access.log 中的 IP 地址回溯到请求页面的机器的证书名称 (CN),方法是首先通过 arpwatch 日志从 IP 地址转到 MAC 地址,然后使用 RadAcct 日志文件搜索 MAC 地址和日期,从而找到证书名称 (CN)。
这是否可取且安全,或者是否有更好的选择来追踪谁在哪里浏览过?
这是否容易受到 arp 中毒攻击或 mac/ip 欺骗或其他巧妙的伎俩?
如果我还使用用户名/密码组合进行身份验证(例如 eap-tls 和 peap),是否可以在两次登录(网络和代理)时都使用密码?
编辑:理想情况下,我希望用户只需输入一次凭证。
答案1
好吧,如果您希望报告按机器身份列出访问,那么我认为这个想法没有什么问题 - 只要您有两边的日志(并且时间戳正确无误),那为什么不呢。当您说您正在使用 EAP-TLS 时,我假设您的意思是使用 EAP-TLS 进行有线\无线客户端访问的 802.1x。
至于整个概念是否容易受到 ARP 中毒攻击 - ARPwatch 肯定是为此而生的,如果这还不够,那么还有其他解决方案。MAC 欺骗应该触发 802.1x 重新验证接口 - 我不能说这是否能阻止所有 MAC 欺骗攻击,但它会强制系统重新验证,因此您将拥有 EAP-TLS 日志,其中显示同一台机器身份使用不同的 MAC 地址进行验证,并且您对机器身份的查找仍然准确。在这一点上,我猜您的证书分发\注册机制的风险会更大。
只要您可以将代理和网络访问指向同一个目录服务,就可以使用相同的密码。根据您的平台,肯定有很多方法可以做到这一点 - 几年前,我建立了一个实验室环境,其中网络访问由 802.1x 使用 EAP-TLS + PEAP 控制,我们使用 AD 凭据,并且有一个外部代理也需要 AD 身份验证,但添加额外的身份验证层是否有任何特殊好处,我一直不确定,就我个人而言,如果有一个更安全的证书存储并仅依赖证书,我会更高兴。我敢肯定,今天这种分层身份验证有更多选择。