jmcclane
Goto Top

Cisco Web Security Appliance S170 - Identifikation LDAP-Benutzer zu IP-Adresse bei Versuch mit falschen Anmeldedaten auf das Internet zuzugreifen

Nabend zusammen,
wir haben nutzen in der Firma eine Cisco Web Security Appliance S170 als Proxy und als Autorisierungsinstanz, um den Zugriff auf das Internet zu beschränken.
Diese ist mit dem Active Directory verbunden und prüft anhand der Anmeldedaten, ob jemand online gehen darf. Nun haben wir auch einen Service-Account, welchen wir für Antivirus-Signatur-, Windows-Updates und ein paar weitere Dienste verwenden. Dieser wird seit heute Morgen 8:45:06 ständig durch zu viele Falscheingaben des Passworts deaktiviert. Meine Windows-Server-Ereignisanzeige sagt mir leider nicht den Clientnamen, von dem der Account gesperrt wird bzw. gibt mir nur den Proxy zurück. Auf dem Web Interface der S170 kann ich allerdings kein Log finden, was mir gescheiterte Anmeldeversuche durch Falscheingabe des Passworts anzeigt. Außerdem läuft dieses WI wie ein Sack Muscheln, so dass willkürliches Suchen in den Menüs zur Tortur wird.
Kennt jemand zufällig den zum passenden Menü oder einen anderen Weg die Client-IP herauszufinden?
Vielen Dank im Voraus.
JMcClane

Content-Key: 312379

Url: https://administrator.de/contentid/312379

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: jmcclane
jmcclane 19.08.2016 um 16:31:49 Uhr
Goto Top
Lösung:
Dieses Feature gibt es für die S170 nicht.
Gruß, JMcClane
Mitglied: TheMasterofdisaster
TheMasterofdisaster 29.08.2016 um 12:14:35 Uhr
Goto Top
Ehrlich gesagt habe ich keine Ahnung von der "S170" und das Thema ist ja auch schon ein paar Tage alt, aber vielleicht hilft folgendes als Ansatz weiter:

Wenn du Zugriff auf die Linux/Unix Basis des Proxy hast, könntest du Versuchen anhand der verwendeten Port Nummern, soweit diese bekannt sind, die entsprechende "Translation" zu identifizieren. Oder eventuell geht es mit einem debug, soweit dies möglich ist. SNMP logging waere auch ein Ansatz. Hängt natürlich von den Möglichkeiten der/des Appliance/Proxy ab.

Eine weitere Möglichkeit wäre es den Traffic vor der Appliance/Proxy mitzuschneiden/ zu Monitoren. Mit etwas Glück kann man anhand der Zeitstempel die entsprechende Source ausfindig machen.