Использование DPI в корпоративных сетях: интеграция с MicroSoft Active Directory

03.10.2019 | Артем Терещенко

При организации корпоративной сети необходимо анализировать и контролировать то, как сотрудники используют ресурсы интернета в рабочее время. С этой целью используется СКАТ DPI:

  1. ограничение доступа к социальным сетям или мессенджерам для определенных групп пользователей, когда внимание сотрудников должно быть сфокусировано на работе;
  2. мониторинг трафика и анализ соединений — для предотвращения утечки конфиденциальной информации, обнаружения DDoS атак и детектирования BotNet в корпоративной сети;
  3. выполнение требования законодательства при наличии лицензии — ограничение доступа по реестру запрещенных ресурсов.

Рассмотрим, как связать MS AD и СКАТ DPI, создать черные списки и ограничить доступ по приложениям для сотрудников.

Схема взаимодействия

Интеграция с Microsoft Active Directory
СКАТ DPI устанавливается «в разрыв» и обеспечивает пропуск всего входящего и исходящего трафика. Место установки определяется исходя из особенностей сети: рекомендуется ставить перед пограничным маршрутизатором или устройством, которое осуществляет NAT.
Важно видеть реальные IP-адреса клиентов и применять политики непосредственно на эти IP. Если вам необходимо реализовать NAT, это также возможно в версиях BRAS и Complete на базе СКАТ. Подробнее о лицензировании

Что необходимо для интеграции с MS AD?

В СКАТ заложены механизмы авторизации в режимах L2 (DHCP, ARP, PPPoE) и L3 (IPoE), которые успешно применяются на сетях ШПД операторов. Мы подробно разбирали схемы сетей и выбор опций в наших вебинарах на Youtube.

В приведенном примере предлагается использовать IPoE режим, как наиболее простой и быстро настраиваемый. DPI в данной схеме очень просто масштабировать и осуществить резервирование с помощью bypass-карт или второго сервера с резервной лицензией.

В схеме участвуют:

Контроллер домена MicroSoft Active Directory. Проводит аутентификацию абонента и передает данные о выданном IP-адресе, имени пользователя, группе в Radius сервер.

Radius сервер. Накапливает информацию от MS AD и отвечает на Radius запросы от DPI.

СКАТ DPI. Имеет предварительно сконфигурированные профили черных и белых списков, профилей полисинга для блокировки по протоколам и приложениям с уникальными именами. Формирует запросы в Radius сервер по первому пакету от абонента.

Процесс назначения профилей

После авторизации в MS AD информация об абоненте поступает в Radius сервер. Когда абонент совершает первый запрос, СКАТ DPI формирует Accept-Request с указанием IP абонента. На основе информации о принадлежности этого IP к определенному абоненту и группе, Radius сервер формирует Access-Accept с указанием атрибутов. В атрибутах может передаваться:

  • имя профиля черного списка;
  • имя профиля белого списка;
  • имя профиля полисинга;
  • имя NAT пула;
  • подключение услуги по сбору статистики по абоненту;
  • подключение услуги нотификации;
  • подключение услуги встраивания баннеров для HTTP ресурсов.

После получения данных СКАТ DPI применяет ограничения на период равный Session-Timeout (в примере 600 секунд). По истечению этого периода происходит повторный запрос авторизации для данного IP на Radius сервер.

Сценарий-MS-AD

В случае если в Radius сервере нет информации о запрашиваемом IP, формируется ответ Access-Reject с указанием дефолтных профилей:

  • имя профиля белого списка;
  • имя профиля полисинга.

В данном случае абонент при следующем запросе по HTTP будет переадресован на Captive Portal и ограничен по доступным протоколам обмена.

Работа со статистикой по абонентам

Для удобства конфигурирования реализован GUI, в котором можно создавать профили и управлять ими, отслеживать статус авторизации и назначенные услуги.
СКАТ DPI позволяет собирать Clickstream и FullNetflow, которые накапливаются в модуле Quality of Experience. Администратору доступны следующие возможности:

  • коллектор для сбора статистики по протоколу NetFlow с поддержкой реэкспорта;
  • поддержка API для интеграции с внешними системами;
  • визуализация статистики Full NetFlow и ClickStream;
  • встроенные отчеты ТОП на базе Full NetFlow: высокий RTT, по объему трафика, по количеству перезапросов, по прикладным протоколам, по AS, по абонентским AS, по коммутаторам доступа и агрегации;
  • встроенные отчеты ТОП на базе ClickStream: URL, хосты, абоненты, устройства, IP ресурсов;
  • выгрузка отчетов в формате .xlsx, .csv, .pdf, .png;
  • отчет по категориям web ресурсов, обновление списка категорий;
  • пользовательские отчеты Full NetFlow и ClickStream для детализации по абоненту;
  • установка триггеров и действий по событиям, отправка отчетов по email;
  • детектирование DDoS и BotNet.

Подробный разбор настроек и кейсов применения модуля QoE смотрите в вебинаре:

Вебинар: Модуль QoE: настройка и применение

Поделиться в социальных сетях