При организации корпоративной сети необходимо анализировать и контролировать то, как сотрудники используют ресурсы интернета в рабочее время. С этой целью используется СКАТ DPI:
- ограничение доступа к социальным сетям или мессенджерам для определенных групп пользователей, когда внимание сотрудников должно быть сфокусировано на работе;
- мониторинг трафика и анализ соединений — для предотвращения утечки конфиденциальной информации, обнаружения DDoS атак и детектирования BotNet в корпоративной сети;
- выполнение требования законодательства при наличии лицензии — ограничение доступа по реестру запрещенных ресурсов.
Рассмотрим, как связать MS AD и СКАТ DPI, создать черные списки и ограничить доступ по приложениям для сотрудников.
Схема взаимодействия
СКАТ DPI устанавливается «в разрыв» и обеспечивает пропуск всего входящего и исходящего трафика. Место установки определяется исходя из особенностей сети: рекомендуется ставить перед пограничным маршрутизатором или устройством, которое осуществляет NAT.
Важно видеть реальные IP-адреса клиентов и применять политики непосредственно на эти IP. Если вам необходимо реализовать NAT, это также возможно в версиях BRAS и Complete на базе СКАТ. Подробнее о лицензировании
Что необходимо для интеграции с MS AD?
В СКАТ заложены механизмы авторизации в режимах L2 (DHCP, ARP, PPPoE) и L3 (IPoE), которые успешно применяются на сетях ШПД операторов. Мы подробно разбирали схемы сетей и выбор опций в наших вебинарах на Youtube.
В приведенном примере предлагается использовать IPoE режим, как наиболее простой и быстро настраиваемый. DPI в данной схеме очень просто масштабировать и осуществить резервирование с помощью bypass-карт или второго сервера с резервной лицензией.<
В схеме участвуют:
Контроллер домена MicroSoft Active Directory. Проводит аутентификацию абонента и передает данные о выданном IP-адресе, имени пользователя, группе в Radius сервер.
Radius сервер. Накапливает информацию от MS AD и отвечает на Radius запросы от DPI.
СКАТ DPI. Имеет предварительно сконфигурированные профили черных и белых списков, профилей полисинга для блокировки по протоколам и приложениям с уникальными именами. Формирует запросы в Radius сервер по первому пакету от абонента.
Процесс назначения профилей
После авторизации в MS AD информация об абоненте поступает в Radius сервер. Когда абонент совершает первый запрос, СКАТ DPI формирует Accept-Request с указанием IP абонента. На основе информации о принадлежности этого IP к определенному абоненту и группе, Radius сервер формирует Access-Accept с указанием атрибутов. В атрибутах может передаваться:
- имя профиля черного списка
- имя профиля белого списка
- имя профиля полисинга
- имя NAT пула
- подключение услуги по сбору статистики по абоненту
- подключение услуги нотификации
- подключение услуги встраивания баннеров для HTTP ресурсов.
После получения данных СКАТ DPI применяет ограничения на период равный Session-Timeout (в примере 600 секунд). По истечению этого периода происходит повторный запрос авторизации для данного IP на Radius сервер.
В случае если в Radius сервере нет информации о запрашиваемом IP, формируется ответ Access-Reject с указанием дефолтных профилей:
- имя профиля белого списка;
- имя профиля полисинга.
В данном случае абонент при следующем запросе по HTTP будет переадресован на Captive Portal и ограничен по доступным протоколам обмена.
Работа со статистикой по абонентам
Для удобства конфигурирования реализован GUI, в котором можно создавать профили и управлять ими, отслеживать статус авторизации и назначенные услуги.
СКАТ DPI позволяет собирать Clickstream и FullNetflow, которые накапливаются в модуле Quality of Experience. Администратору доступны следующие возможности:
- коллектор для сбора статистики по протоколу NetFlow с поддержкой реэкспорта
- поддержка API для интеграции с внешними системами
- визуализация статистики Full NetFlow и ClickStream
- встроенные отчеты ТОП на базе Full NetFlow: высокий RTT, по объему трафика, по количеству перезапросов, по прикладным протоколам, по AS, по абонентским AS, по коммутаторам доступа и агрегации
- встроенные отчеты ТОП на базе ClickStream: URL, хосты, абоненты, устройства, IP ресурсов
- выгрузка отчетов в формате .xlsx, .csv, .pdf, .png
- отчет по категориям web ресурсов, обновление списка категорий
- пользовательские отчеты Full NetFlow и ClickStream для детализации по абоненту
- установка триггеров и действий по событиям, отправка отчетов по email
- детектирование DDoS и BotNet.
Подробный разбор настроек и кейсов применения модуля QoE смотрите в вебинаре:
