Комментарии 13
А возни сколько новой на простое подключение устройств?
А еще принтеры, телефоны, видеокамеры, сенсоры температуры, СКУД итп устройства которые если и поддерживают .1х то как-то по своему а такого добра у нас наверное две/трети от всех устройств.
в общем, к этому аду мы, в принципе, готовы, но пока ИБ не давит стараемся туда сильно не нырять :)
в хуевеях, кстати, пробовал подобный портсекюрити настроить. Но его наркоманы писали. Каждый раз при отключении порта залипшие маки слетают. т.е. выдернул комп — мак слетел, вставил другой комп — новый мак выучился и стал легитимным O_o
Нет, все не так. Нашел свои старые записи на этот счет:
- dynamic режим сбрасывает все выученные маки при выключении порта (и в cisco так же). Таким образом этот режим бесполезен. Приходит хакер, выдергивает комп из стены, порт выключается, маки сбрасываются, хакер подключается
- sticky режим прибивает мак намертво к порту. Если этот прибитый мак появляется на другом порту — ничего не происходит. Коммутатору мак известен и он не генерирует никаких событий (трапов и логов). При этом в новом порту мак не работает, потому что он прибит к старому. Переезд пользователя превращается в ад, но от хакера с новым маком поможет, да.
- очистить sticky адрес непросто. Пока найдено два варианта и оба плохие.
- undo port-security enable — убирает все настройки, которые потом придется восстанавливать
- undo port-security mac-address sticky — переключает в dynamic режим. Если сразу вернуть sticky, то старые адреса опять залипнут. т.е. приходится действовать так: выключили, угнали мак, включили, проверили, повторили — много тупой ручной работы
Но можно не заморачиваться. Готовый шаблон с этими компонентами уже лежит в репозитарии вместе с кодом.
При импорте шаблона:
Incorrect trigger expression. Host «Template_Cisco_SW_Traps» does not exist or you have no access to this host.
sudo -H pip install -r requirements.txt
Но есть же соответствующие пакеты в репозитарии.
Я так понимаю у Вас python-2.x?
Почему выбор пал на py-zabbix, а не на более свежий: pyzabbix?
Большое спасибо за обнаруженную багу в шаблоне. Поправил.
что касается python2 — то это все писалось довольно давно, безсистемно и на очень поверхностном уровне параллельно с изучением питона. Тем не менее оно очень стабильно работает годами поэтому нет большого смысла что-то исправлять просто ради красоты.
Сейчас я уже 3-й питон по умолчанию использую конечно.
А чем отличаются py-zabbix от pyzabbix и кто из них новей я не знаю.
Какой первый под руку попался тот и пригодился :)
p.s. С радостью приму PR
py-zabbix не обновляется больше года и вроде как не поддерживает zbx-4
pyzabbix последнее обновление 6 мес назад и поддерживает zbx-4
Теперь шаблон импортировался нормально, осталось разобраться как его применять. 8))
В статью бы пример добавить…
PS в статье опечатка?:
[snmp]
community = publice
«е» лишняя
Применять просто. Навешиваешь шаблон на коммутатор в заббиксе и готово.
Как настраивать коммутатор описано в главе 1. cisco
community = publice
почему опечатка? Это конфиг файл. Каждый туда вписывает свои параметры.
Конкретно public, который по умолчанию, я всегда меняю на всех своих устройствах.
Но чтоб не было разночтений поправлю.
Ок на Py3 перепишу как будет время
Переписал на python3 и pyzabbix
Мониторим события PortSecurity коммутаторов Cisco в Zabbix