Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1320 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reporting

gband
Hello everyone. when i create report from, for example, reporting-web security, i get a list with clients IP addresses and web sites the visited. Sending a list with IP addresses to department directors isn't very comfortable for them. I was wondering if is it possible the reporting to show computer names instead IP addresses. the computer names could be retrieved perhaps from definitions-networks, where all clients exist with their IP addresses, or perhaps querying the AD DNS server.
Is this configuration possible?
Thanks


This thread was automatically locked due to age.
  • 0
    You can show usernames instead of IP addresses if you use a conventional (not transparent) authenticated proxy configuration for web filtering (and the directory server cooperates).
  • 0
    Along with other good ideas contributed by others here is the trick to getting reverse DNS for your LAN: DNS Best practice.

    Since you have Active Directory, there's no reason to not use the HTTP/S Proxy in AD-SSO mode: HTTP/S Proxy Access with AD-SSO (Caution, the section "Configure User Authentication" should be eliminated as it has no effect on AD-SSO and can cause problems in larger organizations).  That will put users' names in Web Security reports.

    Cheers - Bob
  • 0
    Hello and thanks for the answers. I will need some more help if possible since not an expert!!. I studied the article DNS Best practices you suggested. I must tell you that the firewall doesn't connect to the internet directly. there is a load balancer with 7 DSL lines, and the firewall has the load balancer as a gateway.
    So the configuration is:
    -internals clients have internal dns server first and the firewall as second dns server.
    -The internal DNS server's first forwarder is to the Astaro DNS Proxy, then to the OpenDNS servers.
    -The Astaro DNS Proxy lists "Internal (Network)" as allowed client.
    -The Astaro DNS Proxy lists the LOAD BALANCER as forwarder, and 'Use forwarders assigned by ISP' is not checked.
    -I added in request routing the appropriate "'20.16.172.in-addr.arpa -> {Internal DNS" entry
    -I added in request routing the appropriate 'yourdomain.local -> {internal DNS server}' entry

    Is this configuration correct? If so, with the above changes, will i have in reporting something different instead of IP addresses? computer names perhaps? if so i am ok. i wouldn't like to proceed with AD-SSO.
    Also, if the configuration is correct, when the reporting will change? is it done immediately or have to wait?
    Regards.
  • 0
    The Astaro DNS Proxy lists the LOAD BALANCER as forwarder

    The load balancer already is the default gateway for the Astaro; it should not be listed here.  You want the OpenDNS servers listed as forwarders.

    will i have in reporting something different instead of IP addresses? computer names perhaps? if so i am ok. i wouldn't like to proceed with AD-SSO.
    Also, if the configuration is correct, when the reporting will change

    You will have computer names in Network Security and Network Usage immediately because the Astaro checks reverse DNS when generating reports. 

    In order to have names in the Web Security section, you must have the Web Proxy in an authentication mode.  Names will only be placed in the Content Filter (HTTP) log after authentication is configured.  The Astaro doesn't do reverse DNS on the IPs in the Content Filter log; when it generates the Web Security report, it uses the name info if the field is not empty, otherwise, it just uses the IP.

    Cheers - Bob
  • 0
    Hello. I removed the load balancer and added the ISP's DNS Servers.I also corrected the in-addr.arpa entry in request routing. i made a mistake. Indeed i get computer names in Network usage. But my primary target was for Web Security. 
    The http proxy now runs in transparent mode meaning that i don't configure anything to the clients.
    So, in order to have user names in web security reporting (computer names are not possible if i understood correctly), i must change the operation mode to "Transparent with Authentication" (??) and proceed with AD SSO?
    So far, In usersauthenticationServers I configured two AD servers and prefetched users for SSL VPN only.
    With "Transparent with Authentication"  or “Active Directory SSO” in http/s proxy, what will happen if a computer not joined in the domain wants internet access?

    Regards, George
  • 0
    'Transparent with authentication' requires the user to login to the Proxy manually; normally, that reoccurs every 900 seconds, but you can change the time on the HTTP/S 'Advanced' tab.

    To log users in automatically, you must configure the HTTP/S Proxy in 'Active Directory SSO' mode.  SSO does not require that you have any AD servers defined - it is independent of that.  In order for SSO to work, you must join the Astaro to your domain, however, you only can join a single domain.  Since you have two AD servers, if you want to do SSO for the members in both ADs, you'll need to figure out how to merge them into a single domain.  For the time being, the best you can do is have separate Proxy Profiles for the two groups with one Profile in AD-SSO and the other in 'Transparent with authentication.'

    If a PC is not joined to the domain, no user can login to the domain, so neither AD-SSO nor AD server authentication by 'Transparent with authentication' would work.  There are several ways you might handle that with a Proxy Profile, but that's for a different time.

    Cheers - Bob
  • 0
    OK Bob, i understood. I would like to thank you very much for your time and help so far.
    Regards, George.