更新时间:2022-01-18
需求背景
用户为国内知名医疗器械设计生产公司,为了防止商业机密泄露和自主知识产权外泄,需要审计内部员工使用QQ和微信外发文件、U盘拷贝文件、网盘上传、邮件外发等,同时还要审计内部员工从内部服务器上拷贝的文件内容。
需求分析
针对用户的该需求,通过部署深信服全网行为管理(下文简称AC),并在内网用户使用的终端上安装准入客户端即可实现。同时为了最小化部署AC设备的工作量,可以将AC设备旁路部署在用户内网流量的汇聚点。(如下图所示)在用户核心交换机上既可采集到内网用户外发的流量,又能够采集到访问服务器集群的流量。因此将AC设备旁挂到用户核心交换机,并将核心交换机上的流量镜像给AC设备。
配置步骤
第一步:以旁路模式部署深信服全网行为管理设备。
1、在导航菜单栏进入到[系统管理/网络配置/部署模式]栏,选择旁路部署模式开始配置。
2、选择管理接口并配置对应的IP地址、GW以及DNS信息,管理IP需要能够与安装准入客户端的PC通信。
3、配置镜像口、监控网段以及服务器地址。当用户内网存在多份镜像流量需要AC审计时,可以在AC上配置多个镜像口用于接收不同源的镜像流量。
4、确认配置无误后,点击完成重启设备。
第二步:配置交换机镜像流量。(本次以H3C交换机配置示例)。
<Sysname> system-view
#进入配置模式
[Sysname] mirroring-group 1 local
#创建名为“1”的本地镜像组
[Sysname] mirroring-group 1 mirroring-port G/0/1-G/0/8 both
#将交换机G0/0/1-G0/0/8口作为镜像源端口添加到镜像组“1”中,源端口可 以按照用户实际情况来选择。必须将源端口的inbound和outbound双向流量 均镜像给AC设备,示例命令中的both参数即表示镜像源端口的双向流量。
[Sysname] mirroring-group 1 monitor-port G0/0/9
#定义镜像流量的目的端口为G0/0/9口。
通过上述示例命令,将交换机G0/0/1-G0/0/8的双向流量均镜像到交换机的G0/0/9口,此时在交换机的G0/0/9口即可监听到G0/0/1-G0/0/8口所有的会话,最后将交换机的G0/0/9口与AC的镜像口连通。
注意:
1.源端口的总流量大小不能超过目的端口的带宽大小,否则会丢失部分数据包,造成审计不完整的现象。同理,从交换机镜像到AC设备的镜像流量大小不能超过AC设备镜像口的带宽。
2.源端口必须镜像双向的流量,即inbound和outbound的流量,否则无法正常审计。
3.需要审计的业务的流量必须镜像到AC,否则无法审计。
第三步:推送并安装准入客户端。
可以通过AD域策略推送准入助手,也可以借助用户内部第三方桌管平台推送安装。或者重定向到准入助手的下载界面,让用户自行下载安装。
注意:
客户端审计需要借助准入助手来实现,与802.1x认证的准入助手为同一个软件。在不开启准入功能时,准入助手安装后默认隐藏。
第四步:配置审计策略
1、配置SSL解密策略,因为涉及到审计邮件外发以及审计网盘上传等场景,需要先配置好SSL解密策略。
2、在导航菜单栏的[行为管理/访问权限策略]栏,点击<新增>添加SSL解密策略。
3、在配置页面[界面方式]选择客户端代理解密,降低解密对设备性能的损耗。
4、勾选[加密WEB应用内容识别]以及[加密邮件内容识别],仅识别使用25、465、995、143、993、587端口的SMTP加密邮件内容。
5、配置互联网审计策略,为了能够审计网页版的邮箱外发以及网盘上传,在[行为管理/行为审计/互联网审计策略]中点击<新增>按钮,添加相应的互联网审计策略。
勾选[应用审计],在右侧的配置栏中点击<添加>按钮,勾选Web邮箱、网盘、IM聊天工具、HTTP外发与下载等审计对象,在配置好适用对象后点击<提交>即可。
6、配置客户端应用审计策略
在[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[客户端应用审计]策略,并在右侧的配置栏中勾选IM审计、邮件客户端等审计对象,在配置栏底端的[离线审计]选择启用,最后配置好适用对象后点击提交即可。
7、配置U盘审计策略
在[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[外接设备审计]策略后,在配置栏勾选[移动存储介质]选项,如果需要可以勾选[离线终端审计]功能。在配置好适用对象后点击提交保存即可。
效果预览
QQ外发文件审计结果。
微信外发文件审计结果。
邮件外发文件审计结果。
网盘外发文件审计结果。
U盘拷贝文件结果。
通过SMB协议从业务服务器拷贝文件。