Trap SNMP - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 27-03-2013 à 16:23:30
Sinon utiliser 802.1x serait une bonne idée.
Marsh Posté le 27-03-2013 à 16:42:14
Je viens faire le tour de tes différents posts et ça fait plusieurs mois que tu tournes en rond avec cette question. Il serait plus pertinent de garder qu'un seul et unique topic pour ton projet...
Par ailleurs je n'ai vu nul part quelqu'un qui te demandait :
- quels modèles de switches tu avais.
- as tu vérifié que tes switches supportait les traps snmp et quelles mibs ils implémentaient
- si tu avais la main sur les équipements censés se connecter aux switches
- si ton switch supportait le 802.1x
- si tu avais une infra minimale pour l'implémenter.
- as tu un serveur dhcp si oui lequel ?
- quel niveau de sécurité tu souhaitais.
Déjà, ça serait les questions à se poser avant de réinventer la roue.
La grosso modo tu sembles ré-inventer plusieurs choses qui existe déjà. Ta solution trap snmp + base de registre + script powsershell ça fait bricolage dans un coin, et c'est in-maintenable à long terme... Si tu veux persister, fait des recherches "snmp port security traps", trouve le format des traps snmp qui seront générés, soit c'est du standard soit extension proprio documenté pour pouvoir être intégré à un système de monitoring. Montes toi un lab ou fait des tests sur ton switch pour voir comment il réagit...
L'authentification sur adresse MAC ça peut être fait par une serveur dhcp. Si tu veux aller plus loin, c'est authentification plus forte avec 802.1x.
Le problème du serveur dhcp c'est que l'on peut usurper l'adresse mac facilement, et qu'une configuration réseau static est possible pour contourner cela. D'où la question de quel niveau de sécurité tu souhaites...
Marsh Posté le 28-03-2013 à 08:25:55
Salut o'gure, oui je tourne en rond, mais j'ai d'autres projets, du coup j'en mets certain de côté, puis quand j'y retourne, je vois que ça n'a pas beaucoup avancé.
Je vais répondre à toutes questions:
- modèle switch: Nortel/Avaya -> Baystack principalement
- ils supportent les Trap SNMP
- je n'ai pas la main sur les équipements censés se connecter aux switchs, on doit avoir pas moins de 800 stations (+ imprimantes, etc)
- impossible d'implémenter le 802.1X (foutu DSI)
- serveur DHCP en place
- Le niveau de sécurité, c'est celui que je veux mettre en place avec la recherche d'une clé dans la base de registre.
Ce n'est pas moi qui trouve les projets, je ne fais que les exécuter. Si ça ne tenait qu'à moi, Radius serait déjà mis en place, et on n'en parlerait plus, mais mon patron veut à tout prix ce genre de système.
Impossible de faire une authentification par @MAC, étant donné que les stations peuvent être déplacées, il y en a avec portable, du coup ingérable.
Marsh Posté le 27-03-2013 à 15:52:06
Bonjour à tous,
J'ai pour projet de sécuriser le réseau de mon entreprise, et pour cela je dois utiliser le bon vieux protocole SNMP. Sur le papier, le principe est le suivant: dès qu'un client se connecte à un switch, une Trap SNMP est envoyé à mon superviseur, et une fois la Trap reçue, cela va enclencher un script qui va vérifier (à l'aide d'un script vérifiant une clé dans la base de registre) si la station est légitime sur le réseau. Si elle l'est, elle va sur le réseau, sinon elle en est rejetée.
Mon problème est le début, la fin est déjà faite, bizzarement... Du coup, je ne sais pas trop comment envoyer l'information du switch vers le superviseur. De plus, cette information devrait avoir au moins l'@MAC, le Hostname ou l'adresse IP. Est-ce que c'est possible d'avoir un de cela ?
Je sais qu'avec la commande snmpwalk, on récupère le statut du port, mais c'est tout.
Alors j'ai pensé à faire un script bash qui permettrait d'envoyer un Trap dès qu'un port est UP, mais là je coince, des idées ?