在 syslog 中强化 100E 用户名

网络工程 加强 验证 财富网 系统日志 视窗
2022-02-09 09:23:08

我正在监视来自 Fortinet Fortigate 100E 防火墙的流量,并且我看到了一位前员工的用户名,其本地和域帐户已被删除。我不能直接询问 Fortinet 支持,因为他们希望我注册该设备,但它不属于我或我的公司,我是一名外部分析师。其他人在 Fortinet 社区上提出了同样的问题,但无论如何都没有得到回应。

我不明白字段unauthuser,unauthusersource指的是dstunauthuser什么。dstunauthusersource该文档没有提供任何描述。

例如,在这里我们看到运行 Zabbix 代理的 Linux 机器 ping Windows 主机:

Sep 16 09:43:22 10.100.6.60 date=2021-09-16 time=09:40:18 devname="(omissis)" devid="(omissis)" eventtime=1631778018785142954 tz="+0200" logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" srcip=192.168.1.22 identifier=34131 srcintf="lan" srcintfrole="lan" dstip=172.1.2.16 dstintf="dmz" dstintfrole="dmz" srccountry="Reserved" dstcountry="Reserved" sessionid=87825032 proto=1 action="accept" policyid=2 policytype="policy" poluuid="(omissis)" policyname="LAN1 to LAN3 all" service="PING" trandisp="noop" duration=62 sentbyte=252 rcvdbyte=252 sentpkt=3 rcvdpkt=3 appcat="unscanned" srchwvendor="Microsoft" osname="Linux" mastersrcmac="(omissis)" srcmac="(omissis)" srcserver=0 dsthwvendor="Microsoft" dstosname="Windows" dstswversion="10" dstunauthuser="XCX005123_admin" dstunauthusersource="kerberos" masterdstmac="(omissis)" dstmac="(omissis)" dstserver=0

此日志行中的异常是:

dstunauthuser="XCX005123_admin" dstunauthusersource="kerberos"

用户XCX005123_admin不再存在,但即使存在,它与 Linux 机器 ping Windows 主机有什么关系?

防火墙如何实际检索这些信息,即使它是正确的?

不仅如此,我还有一堆 RDP/3389 连接,这些连接归因于用户XCX005123_admin,而实际上是其他人在做这些连接。

1个回答

Fortigate 使用 FSSO 模块 ( Fortinet Single Sign On ) 来配置这些属性(FortiOS 6.x的安全结构的一部分)。例如,AD 登录可以通过 DC 代理(安装在 Active Directory 域控制器上)由源 IP 监控。

属性在会话创建时解决。FGT 无法查看源主机(没有终端服务器代理),因此如果配置不密封,则属性可能与实际用户不匹配 - 例如,当没有使用验证方法并且 DHCP 租约频繁更改时,没有静态保留,FSSO 用户归属可能是完全错误的。Windows 客户端可以通过远程注册表或 WMI 使用工作站验证,但对于 Linux 客户端我不知道。

事后分析会很快变得复杂,尤其是当事情发生变化时。随意将可用的详细信息添加到您的问题的身份验证和归因配置(FGT 上的 FSSO 配置、部署的 DC 代理及其配置......),我们可以看到这会导致什么。

其它你可能感兴趣的问题
上一篇无法在 Cisco XRv 设备上 Ping VRRP 虚拟 IP 下一篇我的 pfsense 正在将速度从 300+ mbps 降低到 40 mbps,可能是什么问题?