Как стать автором
Обновить

Комментарии 11

НЛО прилетело и опубликовало эту надпись здесь
Прозрачная — либо клиент на сервер, либо зеркалировать LDAP-трафик на выделенный порт Huawei. Как я понял. На практике пока не проверял.
Спасибо за идею с alias!
Спасибо за интересный обзор.

Хотел уточнить следующие моменты:
1. Как хранится (где и сколько времени) статистика по доступу пользователей в Инет? Какая есть аналитика?
2. Packet Capture с какой скоростью может писать? Какой максимальный размер захвата и в каком формате хранятся данные?
3. Можно ли повесить сертификат (настроить TLS) на страницу аутентификации пользователей? Золотое правило безопасности гласит, что любая аутентификационная информация должна передаваться по защищенному каналу (а не по голому HTTP).
4. Поддерживается ли аутентификация пользователей по сертификатам (smart cards)?
Мы пока знакомимся с решением, на более глубокие вопросы не готовы ответить. Попробуем пригласить сюда
Huawei_Russia
Пока посмотрел Administration Guide на тему вашего последнего вопроса, касательно аутентификации. Доступны следующие варианты:
  • Local authentication — по локальной базе;
  • Server authentication — RADIUS, HWTACACS, AD, LDAP или SecurID;
  • Single Sign-On (SSO);
  • SMS.

SecurID поддерживается, можно аутентифицировать по токенам.
По поводу статистики по доступу в Инет. На более старших моделях (6330 и далее) данные могут храниться локально на устройстве. Для этого нужно установить дополнительный HDD. Сколько хранятся по времени — не могу сказать.
Для младших устройств (6310, 6320) предлагается использовать систему мониторинга и управления LogCenter, модуль eSight. Само собой, никто не мешает использовать этот мониторинг и для старших моделей. С LogCenter не знакомились, по времени хранения пока ответить не готов.
По поводу Packet Capture. Скорость записи вряд ли можно обозначить — зависит от многих факторов: какая функциональность включена на устройстве, какой тип трафика, размер пакетов и т. д. Утилиту нужно использовать с осторожностью — при большом трафике устройство может «просесть» по производительности. Максимальный размер захвата — 2000 пакетов. Формат — .cap.
Утилита Packet Capture не предназначается для хранения информации о доступе в Интернет. Она полезна для траблшутинга локальной проблемы: доходит ли трафик вообще до устройства? проходит ли трафик устройство (т. е. появляется ли и на внутреннем, и на внешнем интерфейсе)? и т. д.
Даже это вас не останавливает? (Да, я знаю, вся мобильная связь в РФ работает на Huawei)
End-User-Notification на фейсбуке том же, по идее, и не должен работать, ибо https
Согласен, но блокироваться по URL-категории всё-таки должен. На циске, например, если добавить дешифрацию, то и EUN отобразится.
Это если браузер сразу шлет SNI. Если не шлет, то URL без дешифрации SSL останется недоступен для файрволла.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий