@morfair

Как в Zabbix реализовать обнаружение несанкционированного подключения к сети?

Понимаю, что нужно двигаться в сторону SNMP и SNMP Traps, с помощью которых прилетало бы уведомление о новой записи в FDB/ARP таблице коммутатора, потом "свои" маки подтверждать как санкционированные и получать уведомление о левых адресах, но хотелось бы узнать good practice, так сказать, либо ссылку на готовое решение.
  • Вопрос задан
  • 110 просмотров
Пригласить эксперта
Ответы на вопрос 2
@Tabletko
Системный администратор
Zabbix это система мониторинга, а не ids/ips. Вам нужно смотреть в сторону специализированных решений, а уже их логи/алерты выводить в zabbix
Ответ написан
@feanor7
Системный администратор
1000 лет назад, когда заббикс еще развивался я делал примерно следующее:
1. На управляемом коммутаторе разрешался проход определенной таблице адресов
2. Новый телефон\ПК заносился ручками в таблицу откуда все копировалось в dhcp.conf
есть нюанс, коммутатор должен это уметь в принципе - на hp - port security

Самое простое - парсинг лога дхцп на запросы, точнее на ответы DHCPNACK (не спасет от подключений с заранее известным адресом)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы