Meilleures pratiques pour consigner la station qui a fait quelque chose

Question

J'ai vu trop d'incidents où quelqu'un avait un mot de passe qu'il n'aurait pas dû avoir. Ainsi je veux enregistrer la station d'où la commande est venue aussi bien que qui était connecté dedans alors. Quel est le meilleur moyen de consigner l'identité de la machine? Je pensais à l'adresse MAC, sauf qu'il peut y avoir plusieurs adresses de ce type sur une machine. IP ne fonctionnera pas à cause de DHCP.

Que dois-je enregistrer pour m'assurer que la machine puisse être identifiée à l'avenir?

Answer 1

Votre problème est que les adresses MAC peuvent être spoofées.

Si vous utilisez l'authentification 802.1X, ce n'est plus un problème. Sous réserve que soit vous utilisez point-1X ou vous ne se soucient pas de l'usurpation d'identité MAC, alors vous devez enregistrer quatre choses:

• L'adresse IP de l'accès
• Le temps de l'accès
• votre DHCP enregistre liste quelle adresse IP a été attribuée à quelle adresse MAC quand
• qui est connecté à quel ordinateur lorsque

Avec ces quatre éléments d'information, et un MACs de cartographie liste des ordinateurs, vous pouvez comprendre wh Cet utilisateur a été connecté à la machine en question. Remarque: pour éviter l'usurpation d'adresse IP, vous devez également utiliser la surveillance DHCP et IP Source Guard pour empêcher les utilisateurs de se donner des adresses IP statiques.

Deuxième NB: ceci fonctionne sous l'hypothèse que tous les équipements connectés au réseau sont des équipements de la société. Si ce n'est pas vrai, je suggère de lire et de consigner les mappages IP à port de vos commutateurs et de les enregistrer. De cette façon, vous pouvez dire où un ordinateur était physiquement situé.