2
Cisco Web Security Appliance S170 - Identifikation LDAP-Benutzer zu IP-Adresse bei Versuch mit falschen Anmeldedaten auf das Internet zuzugreifen
Nabend zusammen,
wir haben nutzen in der Firma eine Cisco Web Security Appliance S170 als Proxy und als Autorisierungsinstanz, um den Zugriff auf das Internet zu beschränken.
Diese ist mit dem Active Directory verbunden und prüft anhand der Anmeldedaten, ob jemand online gehen darf. Nun haben wir auch einen Service-Account, welchen wir für Antivirus-Signatur-, Windows-Updates und ein paar weitere Dienste verwenden. Dieser wird seit heute Morgen 8:45:06 ständig durch zu viele Falscheingaben des Passworts deaktiviert. Meine Windows-Server-Ereignisanzeige sagt mir leider nicht den Clientnamen, von dem der Account gesperrt wird bzw. gibt mir nur den Proxy zurück. Auf dem Web Interface der S170 kann ich allerdings kein Log finden, was mir gescheiterte Anmeldeversuche durch Falscheingabe des Passworts anzeigt. Außerdem läuft dieses WI wie ein Sack Muscheln, so dass willkürliches Suchen in den Menüs zur Tortur wird.
Kennt jemand zufällig den zum passenden Menü oder einen anderen Weg die Client-IP herauszufinden?
Vielen Dank im Voraus.
JMcClane
wir haben nutzen in der Firma eine Cisco Web Security Appliance S170 als Proxy und als Autorisierungsinstanz, um den Zugriff auf das Internet zu beschränken.
Diese ist mit dem Active Directory verbunden und prüft anhand der Anmeldedaten, ob jemand online gehen darf. Nun haben wir auch einen Service-Account, welchen wir für Antivirus-Signatur-, Windows-Updates und ein paar weitere Dienste verwenden. Dieser wird seit heute Morgen 8:45:06 ständig durch zu viele Falscheingaben des Passworts deaktiviert. Meine Windows-Server-Ereignisanzeige sagt mir leider nicht den Clientnamen, von dem der Account gesperrt wird bzw. gibt mir nur den Proxy zurück. Auf dem Web Interface der S170 kann ich allerdings kein Log finden, was mir gescheiterte Anmeldeversuche durch Falscheingabe des Passworts anzeigt. Außerdem läuft dieses WI wie ein Sack Muscheln, so dass willkürliches Suchen in den Menüs zur Tortur wird.
Kennt jemand zufällig den zum passenden Menü oder einen anderen Weg die Client-IP herauszufinden?
Vielen Dank im Voraus.
JMcClane
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 312379
Url: https://administrator.de/contentid/312379
Printed on: April 24, 2024 at 13:04 o'clock
2 Comments
Latest comment
Lösung:
Dieses Feature gibt es für die S170 nicht.
Gruß, JMcClane
Dieses Feature gibt es für die S170 nicht.
Gruß, JMcClane
Ehrlich gesagt habe ich keine Ahnung von der "S170" und das Thema ist ja auch schon ein paar Tage alt, aber vielleicht hilft folgendes als Ansatz weiter:
Wenn du Zugriff auf die Linux/Unix Basis des Proxy hast, könntest du Versuchen anhand der verwendeten Port Nummern, soweit diese bekannt sind, die entsprechende "Translation" zu identifizieren. Oder eventuell geht es mit einem debug, soweit dies möglich ist. SNMP logging waere auch ein Ansatz. Hängt natürlich von den Möglichkeiten der/des Appliance/Proxy ab.
Eine weitere Möglichkeit wäre es den Traffic vor der Appliance/Proxy mitzuschneiden/ zu Monitoren. Mit etwas Glück kann man anhand der Zeitstempel die entsprechende Source ausfindig machen.
Wenn du Zugriff auf die Linux/Unix Basis des Proxy hast, könntest du Versuchen anhand der verwendeten Port Nummern, soweit diese bekannt sind, die entsprechende "Translation" zu identifizieren. Oder eventuell geht es mit einem debug, soweit dies möglich ist. SNMP logging waere auch ein Ansatz. Hängt natürlich von den Möglichkeiten der/des Appliance/Proxy ab.
Eine weitere Möglichkeit wäre es den Traffic vor der Appliance/Proxy mitzuschneiden/ zu Monitoren. Mit etwas Glück kann man anhand der Zeitstempel die entsprechende Source ausfindig machen.
