A la hora de organizar una red corporativa, es necesario analizar y controlar el uso que hacen los empleados de los recursos de Internet durante las horas laborales. Para ello se utiliza el Stingray SG:
- restricción del acceso a las redes sociales o a la mensajería a determinados grupos de usuarios cuando la atención de los empleados deba centrarse en el trabajo
- monitorización del tráfico y análisis de la conectividad: para evitar fugas de información confidencial, detectar ataques DDoS y detectar BotNet en la red corporativa
- cumplimiento del requisito de la ley en cuanto a la licencia: restricción del acceso al registro de los recursos prohibidos.
Analicemos cómo vincular MS AD y Stingray SG, crear listas negras y restringir el acceso por aplicación a los empleados.
Integración con Microsoft Active Directory
El Stingray SG se instala «en el salto» y permite el paso de todo el tráfico entrante y saliente. El lugar de instalación se determina en función de la propia red: se recomienda instalarlo delante del router frontera o del dispositivo que realiza el NAT.
Es importante ver las direcciones IP reales de los clientes y aplicar las políticas directamente a estas IP. Si necesitas implementar el NAT, también es posible en las versiones BRAS y Complete basadas en Stingray SG. Más información sobre las licencias.
¿Qué es necesario para integrarse con MS AD?
Stingray SG incluye mecanismos de autorización en modos L2 (DHCP, ARP, PPPoE) y L3 (IPoE), que se utilizan con éxito en las redes de banda ancha de los operadores. En este ejemplo se sugiere utilizar el modo IPoE por ser el más sencillo y rápido de configurar. En este esquema, el DPI es muy fácil de escalar y realizar copias de reserva utilizando tarjetas bypass o un segundo servidor con una licencia de reserva.
El esquema incluye:
- Controlador de dominio de MicroSoft Active Directory. Autentifica al abonado y transmite los datos de la dirección IP emitida, el nombre de usuario y el grupo al servidor Radius.
- Servidor Radius. Acumula información de MS AD y responde a las solicitudes de Radius de DPI.
- Stingray Service Gateway. Tiene perfiles preconfigurados de lista negra y lista blanca y perfiles de policing para el bloqueo utilizando protocolos y aplicaciones con nombres únicos. Realiza solicitudes al servidor Radius en el primer paquete del abonado.
Proceso de asignación de perfiles
Después de la autorización en MS AD, la información del abonado se envía al servidor Radius. Cuando un abonado realiza la primera solicitud, el Stingray SG genera una Accept-Request especificando la IP del abonado. El servidor Radius genera un Access-Accept con atributos basados en la información de que esta IP pertenece a un determinado abonado y grupo. Los atributos pueden incluir:
- nombre del perfil de la lista de bloqueo
- nombre del perfil de la lista de acceso
- nombre del perfil de policing
- el nombre del pool NAT
- conexión del servicio para la recopilación de estadísticas de los abonados
- conexión del servicio de notificación
- conexión del servicio de incrustación de banners para recursos HTTP.
Después de recibir los datos, el Stingray SG aplica una restricción del periodo igual a Session-Timeout (600 segundos en el ejemplo). Una vez transcurrido el tiempo de espera de la sesión, se realiza de nuevo una solicitud de autorización al servidor Radius para esa IP.
Si el servidor Radius no tiene información sobre la IP solicitada, se genera una respuesta Access-Reject, indicando los perfiles predeterminados:
- nombre del perfil de la lista de acceso
- nombre del perfil de policing
En este caso, el abonado será redirigido a Captive Portal la próxima vez que se realice una solicitud por HTTP y se restringirá en los protocolos de intercambio disponibles.
Cómo utilizar las estadísticas de los abonados
Para facilitar la configuración, se ha implementado una GUI en la que se pueden crear y gestionar los perfiles, y se puede controlar el estado de la autorización y los servicios asignados.
Stingray Service Gateway permite la recopilación de Clickstream y FullNetflow, que se acumulan en el módulo de Quality of Experience. El administrador dispone de las siguientes opciones:
- colector de estadísticas por protocolo NetFlow con soporte de reexportación
- soporte de la API para la integración con sistemas externos
- visualización de las estadísticas Full NetFlow y ClickStream
- Informes TOP integrados basados en Full NetFlow: alto RTT, por volumen de tráfico, por número de resolicitudes, por protocolos de aplicación, por AS, por AS de abonado, por conmutadores de acceso y agregación
- Informes TOP integrados basados en ClickStream: URLs, hosts, abonados, dispositivos, recursos IP
- descarga de informes en formato .xlsx, .csv, .pdf, .png
- informe sobre las categorías de recursos web, actualización de la lista de categorías
- informes personalizados Full NetFlow y ClickStream para obtener detalles de los abonados
- establecimiento de desencadenantes y acciones de eventos, envío de informes por correo electrónico
- detección de DDoS y BotNet.