如何在不限制 WiFi/LAN 的情况下监控独立用户/客户端的“Web 活动”?

网络工程 转变 思科-ASA IEEE-802.11 局域网 互联网
2022-02-24 20:33:57

请帮助我如何在不限制它们的情况下监控 WiFi/LAN 上独立用户/客户端的“Web 活动”?

  • => 要求:-

(1) 只想监控“访问过的网站、HTTP、HTTPs、FTP、FTPs & Web Downloads”

(2)。用户/客户端应该是独立的或工作站意味着没有“Active Directory & no user authentication”。

(3)。用户应该在他们的系统/设备上拥有管理员权限(例如,就像我们允许某人为他们的移动设备共享我们的 WiFi 互联网或为他们的笔记本电脑共享 LAN 互联网一样。)

(4)。避免在用户/客户端进行任何类型的安装。

(5)。用户可以使用 Windows、Mac、Linux 和“任何移动设备,即平板电脑或智能手机”。

  • => 互联网供应:-

(1) LAN 互联网(使用 DHCP 方案)由“Cisco ASA 5510”通过 Cisco 交换机 Catalyst 2970/2960 提供。

(2)。WiFi 互联网(带 DHCP 方案)由华为 PTCL 调制解调器/路由器提供。

1个回答

根据您的要求,监控网络(HTTP[S]、FTP[S] 活动的唯一方法可能是在透明模式下使用代理服务器。您可以使用WCCP协议将必要的流量重定向到代理。

例如SquidCisco WSA等可以对用户查询透明。因此,您的代理将通过 SSL 加密流量立即被发现,因为代理充当合法的中间人。它应该解密流量以代表客户端与服务器交谈并代表服务器与客户端交谈。

深入了解 HTTPS 握手的细节,代理服务器应该将证书发送给客户端,因为它需要生成对称会话密钥。代理通常使用自己的证书颁发机构 (CA) 即时生成此类证书。

但是浏览器会立即发出红色警告,因为它不信任它。为避免这些警告,此 CA 证书通常通过 Windows ActiveDirectory GPO 发送到用户计算机,但您的要求 No(2) 和 (4) 不允许隐藏此代理。

恕我直言,你可以

  1. 仅监控未加密的流量
  2. 通过 ADs GPO 强制用户使用您的代理
  3. 让他们知道网络上有一个拦截代理,并向他们发送 CA 证书以信任它。我想他们不喜欢这个选项)
其它你可能感兴趣的问题
上一篇Openvpn 和 IPV6:如何在不知道服务器的 IPV6 地址的情况下进行配置 下一篇我的 8 端口开关和房间里的散热器之间有 112V 电压 (AC)。这有问题吗?