Zum Inhalt springen Weiter zur Suche
Testversion

CGNAT und nutzerorientierte Protokollierung für Universitäten (A10 LightTalk 101)

April 15, 2019

CGNAT löst das Problem der Erschöpfung von IPv4-Adressen, indem es private IP-Adressen, die Benutzern zugewiesen werden, in eine begrenzte Anzahl öffentlicher IPv4-Adressen übersetzt, zusammen mit anderen Schlüsseltechnologien, die von einfachen NAT-Geräten nicht bereitgestellt werden, was es für den Einsatz in Universitäten mit einer großen Anzahl von Studenten unerlässlich macht. Dies reicht jedoch nicht aus, um böswillige Netzwerkaktivitäten bis zum tatsächlichen Benutzer zurückzuverfolgen, und der Prozess, dies zu tun, erfordert das Durchgehen verschiedener Protokollsätze, was viel Zeit in Anspruch nehmen kann. Die CGNAT-Lösung von A10 mit benutzerspezifischer Protokollierung löst diese Herausforderung, indem sie eine einzige einheitliche Nachricht mit allen Benutzerdetails zusammen mit der CGNAT-Zuordnung protokolliert. Dadurch wird die Zeit für die Rückverfolgung von Netzwerkaktivitäten zum tatsächlichen Benutzer erheblich reduziert und die Konsolidierung mehrerer Protokolldatenbanken ermöglicht.

Transkription

Abschrift

Hallo, heute werden wir uns mit dem Einsatz von Carrier-Grade-NAT in einem Unternehmensszenario beschäftigen, insbesondere an Universitäten, und wie Sie die Netzwerkaktivität der Benutzer, die auf das Internet zugreifen, mit der A10-Lösung erhöhen können.

Sehen wir uns also an, warum Sie Carrier-grade NAT in einem Universitätsszenario benötigen.

In der Regel haben Universitäten eine große Zahl von Studenten, denen die IT-Abteilung einen Internetzugang sowohl auf dem Campus als auch außerhalb des Campus anbietet.

Die Studenten und Lehrkräfte greifen also über Wi-Fi und kabelgebundene Netze auf das Campusnetz zu. Dann würden sie durch das A10 CGNAT-Gerät für NAT-Übersetzung gehen.

Und dann würden sie auf das Internet zugreifen. Warum brauchen Sie also eine CGNAT-Lösung? Nun, in der Regel gibt es eine viel größere Anzahl von Personen, die versuchen, auf das Internet zuzugreifen, als die Anzahl der verfügbaren öffentlichen IPv4-Adressen.

In der Regel führen Sie also eine Übersetzung Ihrer privaten IP-Adresse in öffentliche IPv4-Adressen durch. Einfaches NAT reicht jedoch nicht aus, da die SchülerInnen auch viele andere coole Dinge tun könnten, wie z. B. Xbox- und PS4-Spiele, wodurch sie nicht nur auf die Server im Internet zugreifen, sondern auch in der Lage sind, die Spiele mit anderen Gleichaltrigen zu spielen, die im Internet sind.

Dazu sind andere Technologien erforderlich, die in das A10 CGNAT-Gerät integriert sind und die diese Art der Kommunikation zwischen den Spielern und anderen Aktivitäten ermöglichen. Wenn die Nutzer also auf das Internet zugreifen, wird den Nutzern eine private IP zugewiesen, was über einen DHCP-Mechanismus geschehen kann.

Und dann werden sie durch das Carrier-grade NAT-Gerät in eine öffentliche IP übersetzt. Was sind die weiteren Herausforderungen, wenn Sie diese Art von Übersetzung durchführen?

Nun, die Sache ist die, dass Sie eine Übersetzung von privater zu öffentlicher IP haben, so dass der Server die öffentliche IP sieht, wenn die Benutzer auf den Server im Internet zugreifen.

Nehmen wir nun an, dass dem Server im Internet etwas Schlimmes zustößt. ...eine Art DDoS-Angriff, und das könnten entweder die SchülerInnen wissentlich tun oder vielleicht unwissentlich, weil sie infiziert wurden und sich ihre Geräte nun wie ein Botnetz verhalten.

So können Bundesbehörden und Strafverfolgungsbehörden feststellen, dass dieser Server angegriffen wird, und sie können diese Netzwerkaktivität zu einer öffentlichen IP-Adresse zurückverfolgen, die vielleicht von der Universität stammt.

Dann werden sie zur Universität zurückkommen und sagen, okay, sag uns, wer der Nutzer war, der zu diesem bestimmten Zeitpunkt, als der Angriff stattfand, für diese private IP verantwortlich war.

In der Regel ist es so, dass die Universitäten im Rahmen der staatlichen Anforderungen Informationen über den Zeitstempel, zu dem die Übersetzung stattgefunden hat, sowie über die private und die öffentliche IP-Adresse aufzeichnen.

Diese Information reicht jedoch nicht aus, denn die private IP könnte mir heute zugewiesen worden sein, aber dieselbe private IP könnte über den DHCP-Mechanismus auch einer anderen Person zugewiesen werden.

Sie müssen also auch Ihre DHCP-Protokolle durchgehen und schließlich die Benutzer-ID ermitteln, die zu diesem bestimmten Zeitpunkt für die private und die öffentliche IP zuständig war.

Diese Informationen über die Durchsicht der Protokolle können von verschiedenen Gruppen verwaltet werden. Sie müssen also wahrscheinlich verschiedene Gruppen durchgehen, und das ist ein sehr zeitaufwändiger Prozess, der ein paar Tage dauern kann, bis Sie Antworten für die Strafverfolgungsbehörden haben.

Wie kann A10 Ihnen also helfen, dieses Problem zu lösen? Nun, wir können uns in das Microsoft Active Directory integrieren, und das ist ein wichtiger Punkt. Das Active Directory von Microsoft ist eine sehr weit verbreitete Lösung in Universitäten und im Allgemeinen in Unternehmen.

Wenn der Benutzer also bereits in der Microsoft-Domäne oder in der Windows-Domäne authentifiziert ist, können wir die Informationen über den Benutzer und die private IP abrufen. Wenn der Benutzer jedoch gerade erst in das Netzwerk gelangt und authentifiziert werden muss, können wir die Authentifizierungsdaten an den Benutzer zurücksenden und den Benutzer dann anhand des Active Directory authentifizieren.

Dadurch kann unser Gerät nicht nur die Zuordnung von privater zu öffentlicher IP herstellen, sondern auch die Benutzer-ID abrufen. Jetzt können wir all diese Informationen in einem einheitlichen Protokoll aufbewahren, so dass Sie zu einem bestimmten Zeitpunkt herausfinden können, was die private IP war, in welche öffentliche IP übersetzt wurde und welcher Benutzer für diese Aktivität verantwortlich war.

Und dies kann Ihnen helfen, Informationen an die Strafverfolgungsbehörden in einer viel schnelleren Art und Weise und auch in einer sehr kostengünstigen Art und Weise, weil Sie nicht haben, um verschiedene Sätze von Protokollen zu halten. Sie müssen nur einen einzigen Satz von Protokollinformationen erstellen. Dies ist also eine einzigartige Lösung von A10, die bereits von den Universitäten eingesetzt wird.

Wir hoffen, dass auch Sie davon profitieren können. Vielen Dank fürs Zuschauen. Wir sehen uns und hoffen, Sie beim nächsten Mal wiederzusehen.

Zusätzliche Ressourcen

CGNAT und nutzerorientierte Protokollierung für Universitäten (A10 LightTalk 101) | A10 Networks