我见过太多人拥有不该拥有的密码的事件。因此,我想记录命令来自的站点以及当时谁登录。记录机器身份的最佳方式是什么?我在想 MAC 地址,但一台机器上可以有多个这样的地址。由于 DHCP,IP 将无法工作。
我应该记录什么以确保将来可以识别机器?
1 回答
0
您的问题是 MAC 地址可以被欺骗。
如果您使用 802.1X 身份验证,这不再是问题。假设您使用的是 dot-1X 或者您不关心 MAC 欺骗,那么您需要记录四件事:
- 访问的IP地址
- 访问时间
- 您的 DHCP 日志列出了哪个 IP 地址被分配给哪个 MAC 地址
- 谁在什么时候登录了哪台电脑
有了这四条信息,以及将 MAC 映射到计算机的列表,您就可以确定哪个用户登录了作恶的机器。
注意:为避免 IP 欺骗,您还必须使用 DHCP snooping 和 IP Source Guard 来防止用户给自己提供静态 IP 地址。
第二个注意:这是在所有连接到网络的设备都是公司设备的假设下运行的。如果这不是真的,我建议从您的交换机读取和记录 IP 到端口的映射,然后记录它们。这样您就可以知道计算机的物理位置。
于 2010-08-16T03:16:53.780 回答