Herramienta de monitoreo de inicio de sesión de usuario [cerrado]

Navega tus respuestas
-3

Nuestro cliente tiene una LAN de grupo de trabajo de Windows con un servidor de base de datos UNIX / Oracle. Queremos una herramienta que pueda registrar los datos de inicio / cierre de sesión de los usuarios de la red en el servidor de la base de datos. El problema es que no podemos acceder al servidor de la base de datos, aunque esa habría sido la solución más sencilla, debido a algunas políticas de la compañía.

A continuación hay algunas características necesarias para la herramienta:

  1. REGISTRO de inicio de sesión / cierre de sesión de usuarios de la red (es decir, nombre de usuario, dirección IP)
  2. Sin instalación de estación de trabajo.
  3. Grupo de trabajo sin dominio solo LAN

Consideramos las siguientes opciones:

  1. Un servidor proxy frente al servidor de base de datos. Todo el tráfico al servidor de la base de datos pasará a través del proxy. Pero, ¿cómo capturará el proxy los nombres de usuario de la red de los usuarios que intentan iniciar sesión? ¿Alguna sugerencia de herramienta?
  2. Interruptor de monitoreo de puerto. Pero solo capturará las direcciones IP de los usuarios. ¿Cómo capturar los nombres de usuario / detalles?

Por favor, sugiere cualquier herramienta o cualquier otra solución.

    
pregunta user1659459 05.06.2013 - 10:04
fuente

1 respuesta

1

No es muy fácil hacerlo pasivamente .

Si la conexión no está cifrada, puede intentar agregar un host "delante de" el servidor de la base de datos, que podrá interceptar las conversaciones de Oracle. Una presentación simple aquí .

Wireshark es capaz de interceptar y decodificar el tráfico (usuario y máquina), de modo que y algunas secuencias de comandos de filtrado pueden interceptar las conexiones.

Para poder registrar otras estadísticas de tráfico, deberá escribir una aplicación específica utilizando libpcap .

Eso es todo piratería, sin embargo. La "verdadera" solución sería trabajar con el sistema de contabilidad del servidor DB. La versión hack tiene la ventaja de ser pasiva, es decir, el servidor no ve nada mal, y no consume recursos para realizar el registro y los informes; se hacen en el "frente" de rastreo.

    
respondido por el LSerni 05.06.2013 - 18:44
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las razones principales para dejar una posición de seguridad de TI? [cerrado] Mitigación DDoS simulada / Mitigación de amplificación de DNS [duplicado]