Strumento di monitoraggio dell'accesso utente [chiuso]

Naviga le tue risposte
-3

Il nostro client ha una LAN di gruppo di lavoro Windows con un server di database UNIX / Oracle. Vogliamo uno strumento che possa registrare i dettagli di login / disconnessione degli utenti della rete sul server del database. Il problema è che non possiamo accedere al server del database, anche se quella sarebbe stata la soluzione più semplice, a causa di alcuni criteri aziendali.

Di seguito sono riportate alcune funzionalità necessarie per lo strumento:

  1. Login utente LOG / logout degli utenti di rete (ad esempio nome utente, indirizzo ip)
  2. Nessuna installazione di workstation.
  3. Nessun dominio solo gruppo di lavoro LAN

Abbiamo preso in considerazione le seguenti opzioni:

  1. Un server proxy davanti al server del database. Tutto il traffico verso il server del database passerà attraverso il proxy. Ma in che modo il proxy acquisirà i nomi utente di rete degli utenti che tentano di accedere? Qualche suggerimento sugli strumenti?
  2. Monitoraggio della porta switch. Ma catturerà solo gli indirizzi IP degli utenti. Come catturare i nomi utente / dettagli?

Si prega di suggerire qualsiasi strumento o altra soluzione.

    
posta user1659459 05.06.2013 - 10:04
fonte

1 risposta

1

Non è molto facile farlo passivamente .

Se la connessione non è crittografata, potresti provare ad aggiungere un host "davanti a" il server del database, che sarà in grado di intercettare le conversazioni Oracle. Una semplice presentazione qui .

Wireshark è in grado di intercettare e decodificare il traffico (utente e macchina), così che alcuni script di filtraggio possono intercettare le connessioni stesse.

Per poter registrare altre statistiche sul traffico, è necessario scrivere un'applicazione specifica utilizzando libpcap .

Comunque è tutto un hacking. La soluzione "vera" sarebbe lavorare con il sistema di contabilità del server DB. La versione hack ha il vantaggio di essere passiva, cioè il server non vede nulla di male, e non consuma risorse per eseguire la registrazione e la segnalazione; sono fatti nello sniffing "front end".

    
risposta data 05.06.2013 - 18:44
fonte

Leggi altre domande sui tag

Quali sono i motivi principali per lasciare una posizione di sicurezza IT? [chiuso] Utilizzo della versione precedente del problema di sicurezza del connettore mysql [chiuso]