JMon Network Access Control JMJ 04 mars 2011
JMon-Nac Agenda 1. Jmon 2. NAC 3. PI 308 4. J 5. Démonstration Live
JMon-Nac 1. Jmon 2. NAC 3. PI 308 4. Jmon NAC 5. Démonstration Live
JMon? JMon est un membre de conçue pour la supervision d objets réseau Focus de : Interface graphique orientée utilisateur Retrouver très vite les informations pertinentes pour l Opération (NOC) Facilité d utilisation 4
JSuite et ITIL - COBIT? T h e B u s i n e s s The Business Perspective Planning to implement Service Management Service Management Service delivery Service Support Application Management ICT Infrastructure Management Security T h e T e c h n o l o g y 5
JSuite et ITIL - COBIT? 6
JSuite et ITIL - COBIT? 7
JSuite Statistics, Logging, Alerts, Outputs,. MySQL Perl JNac Perl MySQL based J-Engine + JMon based J-Engine + WEB GUI Flat Files CGIs + Jnet CGIs + Cron Jobs Cron Jobs MySQL IP-Address 8
JSuite JNet IPAddress : Gestion des adresses IP 20000 adresses Règles de nommage Câblage Centres de calcul Sauvegarde des Configurations Host + DNS JNet Stats : Graphes MRTG Trafic, RTR/SLA, QoS class Map, PacketShaper Sauvegarde des Configurations Informations CDP, VTP,... 9
JMon? JMon est un outil graphique de supervision de réseau, basé sur un serveur Linux (Fedora core 12*), une base de donnée MySQL*, un serveur Apache et des scripts PERL. * : Portage sur FEDORA Core 19 puis 20 et Maria DB réalisé en juillet 2013 10
JMon? JMon utilise (presque) exclusivement le protocole SNMP-V2 pour toute recherche d information sur un équipement réseau. 11
JMon? JMon est «Cisco centric», bien que beaucoup de fonctions soient indépendantes du fabricant de l équipement à superviser, JMon a été conçu pour des équipements Cisco et utilise beaucoup d informations disponibles par l intermédiaire des MIBs Cisco. 12
JMon? JMon est «Trap Destination» des équipements réseau => Temps réel. JMon teste (ping) chaque équipement (IP Address) toutes les 5 minutes. 13
JMon? Toute action à réaliser sur JMon se fait via l interface WEB. Chacune de ces actions peut aussi être exécutée par CLI. 14
JMon? JMon supervise depuis décembre 2008 tous les «Objets réseau» (et plus) de Xx et de YY : Switchs, AP, IPT-PCS, Plus d information: JMon-ManuelOperatoire-Vxx.doc JMonVxx-Concepts.doc ( xx : numéro de version) 15
JMon? 16
NETWORK Jmon JMon? IP Address DB Seed, Cont. Inform R R Events SNMP Coll Jmon DB Represent. Config. NAC. Poll. Eng. Obj (OID) Actions Disco. Itf (MAC) MAC/OUI Topo VTP Cont. MAC STP R: Reports 17
Réseau d une filiale Drill down 18
Securité sur Infrastructure partagée XX YY-??? 10 armoires 30 switchs Deux réseaux Trois réseaux? Switch XX? Switch YY armoire 19
Securité sur Infrastructure partagée Sécurité Ports inutilisés => «shutdown» Security via «Cisco Port Security» : 1 MAC adresse autorisée Processus «lourd» Gestion quasi-impossible (manuelle) Multiple sources d erreurs Traçabilité, historique, rapport, 20
JMon-Nac 1. Jmon 2. NAC 3. PI 308 4. Jmon NAC 5. Démonstration Live
Network Access Control (NAC) NAC? Wikipedia : Un Contrôleur d'accès au réseau (Network Access Control ou NAC) est une méthode informatique permettant de soumettre l'accès à un réseau d'entreprise à un protocole d'identification de l'utilisateur et au respect par la machine de cet utilisateur des restrictions d'usage définies pour ce réseau. 22
JMon-Nac 1. JMon 2. NAC 3. PI 308 4. JMon NAC 5. Démonstration Live
PI-308 NAC @ XX PI-308 n est pas du NAC Policy, Authentication, Environment Enforcement, Integration Besoins => JNac 24
JMon-Nac Agenda 1. Jmon 2. NAC 3. PI 308 4. J 5. Démonstration Live
Configuration + security management Jmon n est pas du NAC <=> attentes PI-308 26
Configuration + security management Configuration minimale sur les switchs. Chaque appareil(mac) / fabricant (OUI) est connu. Une (ou plusieurs) Actions par MAC/OUI. MAC inconnue => Internet only, quarantaine, isolation Jmon NAC Actions?? XX 27
Adresses MAC Acquisition : Mac Notification (Temps réel) + polling 1/sem. 15.500 adresses MAC différentes 319 OUI (RFC5342 IANA Ethertype) Mac-Notification Jmon?? Polling? 28
Actions Structure (très simplifiée) de la Base de Données Une JMon NAC Action est un ensemble de commandes Cisco s appliquant sur une interface. Pas uniquement VLAN assignement Table des Fabricants Table des Objects MAC;Switch;Port; NAC-Type[Learning NoNAC NAC]; Timestamp Lastseen; NAC-Action individuelle MySQL JNac DB 00:15:c5 DELL 00:14:c2 HP 00:00.85 Canon 00:08:9b IPC (M_KW) Table des NAC Actions Do IPT-Port Do Facility-Port Do Kasse-Port 29
Associations 1 NAC NAC NAC NAC Learn MAC-Notification Trap CISCO Switch 4 Configure le port (NAC Action Table) Journalise (Logs) Alerte (Mail, SMS, Traps ) Table des Fabricants SNMP Trap Collector J JNac Engine 2 00:15:c5 DELL 00:14:c2 HP 00:00.85 Canon 00:08:9b IPC (M_KW) 3 Table des Objects MAC;Switch;Port; NAC-Type[Learning NoNAC NAC]; Timestamp Lastseen; Individual NAC-Action MySQL JNac DB 3 Table des NAC Actions Do IPT-Port Do Facility-Port Do Kasse-Port 30
Prérequis Connaître toutes les adresses MAC au réseau Chaque MAC connue est associée Chaque nouvelle MAC doit être qualifiée (Manuellement Learning Port) Connaître toutes les configurations possibles d un port d un switch NOC Job 31
Adresses MAC - Fabricants XX : 15500 adresses MAC distinctes JMon => 10 fabricants = 75% MAC 75 % MAC => 3 configurations : AP, IPT-Data, Facility JMon sait travailler avec des OUI. Cisco 4000 1600 Alcatel 3000 IPC 1600 Motorola 1500 Kyocera 500 PortWell 470 Dell 1600 Summit 340 Kaba + Zutritt 400 Canon 160 32
NAC Questions? 33 11. Mai 2015
-Nac Agenda 1. JMon 2. NAC 3. PI 308 4. JMon NAC 5. Démonstration Live
NAC Démonstration 35 11. Mai 2015
NAC Pour ceux qui sont / étaient doués en LEGO 36 11. Mai 2015