Hello la liste, Le 20 août 2014 09:37, Philippe Bourcier <phili...@frnog.org> a écrit : > >> D'ailleurs, les PoD, si tu les as pas changé, on pouvait y glisser la main >> et brancher un câble console. > > > Il y a effectivement eut 2 générations, les 1ers n'étaient pas sur-mesure, > donc gros trou sur le dessus, les nouveaux ont juste un trou rond de 3-4 cm > de diamètre avec rebords en caoutchouc et une sorte de membrane élastique, > c'est bien plus adaptés... en plus si tu passes quand même une main > d'enfant, tu arrives sur une première plaque, celle prévue pour un 2e > switch, donc c'est plutôt pas mal fait (et j'y suis pour rien, ce sont les > Services G. qui les ont fait faire). > >
Chez BlaBlaCar (qui occupe le même immeuble que Critéo) je me suis inspiré de ce qu'a fait Critéo sur leurs propres étages. J'ai gardé le switch c2960cg-8tc-l, avec tout le monde en 1Gbps. Pour le caisson, pas de sur-mesure pour nous, mais ce coffret: http://nove.fr/dexlan-mini-coffret-mural-3u-19-faible-encombrement-753850_p-753850.html >> Maintenant qu'il y'a prescription, je peux le dire : j'ai été tenté plus >> d'une fois de prendre la main sur le switch et d'y enlever la conf 802.1x >> car ça marchait pas super avec un Mac :-/ > > > Tu crois vraiment que des gens laissent encore la console sans password ? > Et comment tu ferais pour savoir le numéro de ton VLAN ? > Je sais bien que ça ne fait que 2 inconnues, mais bon, c'est déjà ça. > Avec du temps, on peut tout faire (mais on aura plus vite fait de péter un > serveur Windows) :) > En tout cas avec les nouveaux racks, de toute façon ce n'est clairement plus > possible. > Sur ce point, j'ai cherché a sécuriser car notre modèle de caisson permet à n'importe qui d'accéder au switch, pour au choix, brancher un câble console, ou débrancher la fibre pour la rebrancher sur son propre PC. - concernant la fibre. Tous les équipements branchés sur les ports d'accès doivent supporter 802.1x. Ceux qui ne le supportent pas font du MAB (Mac Address Bypass) et atterrissent dans un vlan ayant peu de privilèges. Les switches des pod doivent eux-même s'authentifier en 802.1x avec le 3750, sinon le port passe en err-disabled. Ca s'appelle NEAT et c'est documenté notamment ici http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration/15-2mt/sec-ieee-neat.html - concernant la console, le malfaisant peut éventuellement ré-initialiser la conf du switch en utilisant la procédure 'passwd-recovery'. Mais il ne peut pas accéder à la conf courante. En cas d'incident, tout est surveillé par zabbix, et on va voir sur place en cas d'incident ;) Il reste surement des moyens d'attaque, mais pour l'instant rien à déplorer. Cordialement, -- rémi --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
