Teste-nos
  • Blog
  • DPI
  • Utilização do DPI em redes corporativas: integração com o Microsoft Active Directory

Utilização do DPI em redes corporativas: integração com o Microsoft Active Directory

October 28, 2019
DPI Stingray SG Functionality
Utilização do DPI em redes corporativas: integração com o Microsoft Active Directory
Uma de nossas atualizações recentes é a integração com o Microsoft Active Directory, que é útil para usar o DPI em redes corporativas.

Uma de nossas atualizações recentes é a integração com o Microsoft Active Directory, útil para o uso do DPI em redes corporativas. Ao organizar uma rede corporativa, é necessário analisar e controlar como os funcionários utilizam os recursos da Internet durante o horário de trabalho. A plataforma DPI é utilizada para:

  1. restrição de acesso a redes sociais e mensageiros para determinados grupos de usuários
  2. monitoramento de tráfego e análise de conexão – para evitar vazamento de informações confidenciais, ataques DDoS e detecção de BotNet
  3. cumprimento de requisitos legais – restrição de acesso ao registro de recursos proibidos.

Vamos ver como conectar o MS AD e o Stingray Service Gateway, criar listas negras e restringir o acesso de funcionários a aplicativos.

Esquema de interação

Diagram of Stingray Service Gateway

O DPI é instalado em linha e garante a passagem de todo o tráfego de entrada e saída. O local de instalação é determinado com base nas características da rede: recomenda-se instalá-lo na frente de um roteador de borda ou dispositivo que implemente NAT.

É importante visualizar os endereços IP reais dos clientes e aplicar políticas diretamente a esses IPs. Se você precisar implementar NAT, isso também é possível nas versões BRAS e Complete da plataforma Stingray. Detalhes do Licenciamento

O que é necessário para integração com o MS AD?

O Stingray Service Gateway suporta mecanismos de autorização nos modos L2 (DHCP, ARP, PPPoE) e L3 (IPoE), utilizados com sucesso em redes de acesso de banda larga. Por exemplo, propõe-se utilizar o modo IPoE como o mais simples e rápido de configurar. O DPI neste esquema é muito fácil de escalar e executar bypass usando placas ou um segundo servidor com uma licença de backup.

O esquema envolve:

  1. Controlador de domínio do Microsoft Active Directory. Autentica o assinante e transmite dados sobre o endereço IP, nome de usuário e grupo emitidos para o servidor Radius.
  2. Servidor Radius. Acumula informações do MS AD e responde às solicitações Radius do DPI.
  3. Stingray Service Gateway. Possui perfis pré-configurados de listas negras e brancas, perfis de policiamento para bloqueio por protocolos e aplicativos. Gera solicitações ao servidor Radius no primeiro pacote do assinante.

Atribuição de perfis

Após a autorização no MS AD, as informações do assinante são enviadas ao servidor Radius. Quando o assinante faz a primeira solicitação, a plataforma DPI gera uma solicitação de aceitação com o endereço IP do assinante. Com base na informação de que esse IP pertence a um assinante e grupo específicos, o servidor Radius gera uma solicitação de aceitação de acesso com os atributos. Os atributos podem incluir:

  1. Nome do perfil da lista de bloqueios
  2. Nome do perfil da lista de permissões
  3. Nome do perfil de policiamento
  4. Nome do pool NAT
  5. Ativação do serviço de coleta de estatísticas de assinantes
  6. Ativação do serviço de notificação
  7. Ativação do serviço de incorporação de banners para recursos HTTP.

Após receber os dados, o Stingray Service Gateway aplica restrições por um período igual ao Tempo Limite da Sessão (por exemplo, 600 segundos). Após esse período, a solicitação de autorização do IP ao servidor Radius é repetida.

MS AD Script

Se o servidor Radius não tiver informações sobre o IP solicitado, uma resposta Access-Reject será gerada com os perfis padrão:

  • nome do perfil da lista de permissões
  • nome do perfil de policiamento.

Nesse caso, o assinante será redirecionado para o Portal Cativo na próxima solicitação HTTP e limitado pelos protocolos de troca disponíveis.

Estatísticas de assinantes

Para facilitar a configuração, há uma Interface Gráfica do Usuário que ajuda a criar e gerenciar perfis, rastrear serviços atribuídos e status de autorização.

O Stingray Service Gateway permite analisar o Clickstream e o Full Netflow, que são coletados no módulo Quality of Experience. O administrador da rede tem as seguintes opções:

  • um coletor de estatísticas NetFlow com suporte para reexportação
  • suporte de API para integração com sistemas externos
  • visualização de estatísticas completas do NetFlow e do ClickStream
  • relatórios integrados de TOP baseado em Full NetFlow: RTT alto, por volume de tráfego, por número de novas solicitações, por protocolos de aplicação, por AS, por AS de assinantes, por switches de acesso e agregação
  • relatórios TOPs baseados em ClickStream integrados: URLs, hosts, assinantes, dispositivos, recursos de IP
  • exportação de relatórios usando os formatos *.xlsx, .*csv, *.pdf e *.png
  • relatórios sobre categorias de recursos da web, atualizando a lista de categorias
  • relatórios completos de NetFlow e ClickStream com informações detalhadas por usuário
  • configuração de gatilhos e ações em eventos, envio de relatórios por e-mail
  • detecção de DDoS e BotNet.
Votação:
5 fora de 5
Classificação média : 5
Avaliado por: 2
Novas licenças para BRAS. Opção de QoE gratuita. VAS Cloud Bloqueio governamental VS seu roteador