Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
Le 05/11/2019 à 22:07, Philippe Bourcier a écrit : Bonsoir, Je recherche un moyen/système d'authentification entre 2 switchs histoire de limiter la diffusion de VLANs taggés dans un environnement semi-hostile (un open-space) : est-ce quelque chose qui existe ? Sujet déjà abordé, il y a peu, il me semble... On peut très bien authentifier les switchs entre eux via 802.1x avec 2 limites : - pas possible si les liens entre les switchs sont en bonding/portchannel - pas possible sur certains switchs (mais quand même sur une majorité...) Cool, j'ai du D-Link (d'époques différentes), je vais creuser si ça fonctionne chez eux... C'est de toute façon une chose à faire, car il y a le port console et autres boutons reset... Oui, ça existe... cf. ma présentation sur le Fiber To The Desk. Tu mets ce genre de choses : https://www.conrad.fr/p/armoire-baie-de-brassage-10digitus-dn-10-05u-1gris-clair-6-uh-974001 Avec un pré-câblage de tous les ports avec du 2-3-5 mètres en câble moulé et c'est parfait. Ça, ça va être dur à faire accepter : l'open-space doit rester plutôt "propre" et ta jolie baie 10" va faire tâche :) Un reset physique de switchTable ne donnerait pas accès vu que le secret sera perdu avec le reset. -- DUVERGIER Claude
Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
Hello A une époque j avais vu sur hp la feature dldp avec authentication, mais pas mis en place (faute de projet gagné) https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-c03215992#N101F6 Du coup sur "switch table" tu leur fais un privilège qui ne peut que modifier les ports clients et pas l uplink Après, je ne sais pas si cette feature est présente chez d autres vendors ou toujours supportee chez hp. En espérant que ça donne des pistes. Bon courage --- Pierre Le mer. 6 nov. 2019 à 15:17, David Ponzone a écrit : > Sinon, une ACL qui restreint les adresses MAC autorisées ? > > > Le 6 nov. 2019 à 15:11, DUVERGIER Claude > a écrit : > > > > > > Le 05/11/2019 à 18:27, David Ponzone a écrit : > >> Si tu actives le 802.1x sur tous tes VLAN, le problème est réglé non ? > >> > > Ça sous-entendrais que tout les appareils réseau (de chaque VLANs) > gèrent le 802.1x non ? > > Quid des nouveaux appareils en cours d'installation ? > > > > Il y a l'accès aux VLANs depuis le poste des intervenants, mais aussi le > branchement de nouveau matériel (ou de matériel à dépanner) directement sur > ce switchTable (switch de laboratoire en fait). > > > > > > > > > > > > -- > > DUVERGIER Claude > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
Le 05/11/2019 à 22:23, Merwan Zenati a écrit : Heyo. Et le port security ? Si il y a peu de mac a configurer ça peut faire affaire non ? Cdt, C'est vrai que ça semble applicable (c'est pas ultra sécure, mais l'est déjà un minimum). Il n'y aurait que 2/3 postes de l'équipe mais cela veut dire qu'il faudrait ajouter, sur switchPrincipal, l'adresse MAC d'un matériel à brancher sur le switchTable (pour préparation/configuration/etc.) et ce, à chaque fois ? -- DUVERGIER Claude
Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
Sinon, une ACL qui restreint les adresses MAC autorisées ? > Le 6 nov. 2019 à 15:11, DUVERGIER Claude a > écrit : > > > Le 05/11/2019 à 18:27, David Ponzone a écrit : >> Si tu actives le 802.1x sur tous tes VLAN, le problème est réglé non ? >> > Ça sous-entendrais que tout les appareils réseau (de chaque VLANs) gèrent le > 802.1x non ? > Quid des nouveaux appareils en cours d'installation ? > > Il y a l'accès aux VLANs depuis le poste des intervenants, mais aussi le > branchement de nouveau matériel (ou de matériel à dépanner) directement sur > ce switchTable (switch de laboratoire en fait). > > > > > > -- > DUVERGIER Claude --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
Le 05/11/2019 à 18:27, David Ponzone a écrit : Si tu actives le 802.1x sur tous tes VLAN, le problème est réglé non ? Ça sous-entendrais que tout les appareils réseau (de chaque VLANs) gèrent le 802.1x non ? Quid des nouveaux appareils en cours d'installation ? Il y a l'accès aux VLANs depuis le poste des intervenants, mais aussi le branchement de nouveau matériel (ou de matériel à dépanner) directement sur ce switchTable (switch de laboratoire en fait). -- DUVERGIER Claude
Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
Bonsoir, >> Je recherche un moyen/système d'authentification entre 2 switchs histoire de >> limiter la diffusion >> de VLANs taggés dans un environnement semi-hostile (un open-space) : est-ce >> quelque chose qui >> existe ? Sujet déjà abordé, il y a peu, il me semble... On peut très bien authentifier les switchs entre eux via 802.1x avec 2 limites : - pas possible si les liens entre les switchs sont en bonding/portchannel - pas possible sur certains switchs (mais quand même sur une majorité...) >> Ou alors, solution plus "radicale" : je mets switchTable dans un boîtier >> métallique fermé à clé ne >> laissant que sortir des câbles déjà branchés tout en empêchant la >> possibilité d'en brancher de >> nouveaux (sans déverrouiller le boîtier) : ça existe ? C'est de toute façon une chose à faire, car il y a le port console et autres boutons reset... Oui, ça existe... cf. ma présentation sur le Fiber To The Desk. Tu mets ce genre de choses : https://www.conrad.fr/p/armoire-baie-de-brassage-10digitus-dn-10-05u-1gris-clair-6-uh-974001 Avec un pré-câblage de tous les ports avec du 2-3-5 mètres en câble moulé et c'est parfait. Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
Bonsoir, La solution d’avoir un tunnel IPSec entre les PC et un concentrateur IPSec a l’entrée des zone a protéger me semble plus pérenne, en cas de réorganisation ton infra ne change pas et tes user peuvent travailler de n’importe quel bureau. Bonne soirée Envoyé de mon iPhone > Le 5 nov. 2019 à 18:46, x.r...@sipleo.com a écrit : > > C’est surement un peu lourd mais bon c’est propre : > > UTM à chaque extrémité qui gère ta sécurité, tes VLAN + un service > d’authentification avec timeout car détaggé le soir je n’y crois pas. > > Et tu peux prolonger tes VLAN entre les UTM et mettre un user sur un VLAN > selon sont authentification. > > > > > Xavier > > > > > > De : DUVERGIER Claude > Envoyé : mardi 5 novembre 2019 18:16 > À : frnog-t...@frnog.org > Objet : [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ? > > > > Bonjour la liste, > > Je recherche un moyen/système d'authentification entre 2 switchs histoire de > limiter la diffusion de VLANs taggés dans un environnement semi-hostile (un > open-space) : est-ce quelque chose qui existe ? > > Suite à une restructuration, une équipe initialement située dans un bureau > avec porte (qui ferme à clé) va se retrouver dans un open-space. > > Le problème est que cette équipe est amenée à se connecter à différents VLANs > (administration réseau, téléphonie, etc. pour provisionnement, configuration, > etc.). Jusqu'à présent cela ne posait pas trop de problème vu que le bureau > fermait : on taggait des ports du switch (id. switchPrincipal) où étaient > brassés les prises RJ45 du bureau. > Mais si les prises arrivent dans l'open-space, accessible à tous, laisser des > prises RJ45 taggées vers ces VLANs à la portée du premier venu ne m'enchante > guère. > > Je me disais que je pourrais, sur switchPrincipal, définir comme trunk VLAN > un port (en le liant à tous les VLANs nécessaires), y brasser une prise RJ45 > sur laquelle je connecte un "petit" switch (id. switchTable) qui sera posé > sur le bureau de l'équipe. > > En donnant aux membres de l'équipe accès à la configuration de switchTable : > ils pourront tagger/détagger leurs ports de bureau respectifs pour faire leur > interventions (et à leur charge de détagger leurs ports le midi/soir en > partant). > > Le problème c'est que le premier venu peut toujours débrancher switchTable , > brancher un ordi et avoir accès à tous les VLANs... > Donc je recherche un moyen pour que switchPrincipal n'ouvre le trunk (eg. ne > "délivre" le trafic des VLANs) que s'il est sûr d'avoir switchTable en face > de lui (via une "authentification" par secret partagé par exemple). > Un genre de 802.1X "light" entre les 2 switchs ? > > Ou alors, solution plus "radicale" : je mets switchTable dans un boîtier > métallique fermé à clé ne laissant que sortir des câbles déjà branchés tout > en empêchant la possibilité d'en brancher de nouveaux (sans déverrouiller le > boîtier) : ça existe ? > > Merci d'avoir lu jusque là :) > > -- > DUVERGIER Claude > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
C’est surement un peu lourd mais bon c’est propre : UTM à chaque extrémité qui gère ta sécurité, tes VLAN + un service d’authentification avec timeout car détaggé le soir je n’y crois pas. Et tu peux prolonger tes VLAN entre les UTM et mettre un user sur un VLAN selon sont authentification. Xavier De : DUVERGIER Claude Envoyé : mardi 5 novembre 2019 18:16 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ? Bonjour la liste, Je recherche un moyen/système d'authentification entre 2 switchs histoire de limiter la diffusion de VLANs taggés dans un environnement semi-hostile (un open-space) : est-ce quelque chose qui existe ? Suite à une restructuration, une équipe initialement située dans un bureau avec porte (qui ferme à clé) va se retrouver dans un open-space. Le problème est que cette équipe est amenée à se connecter à différents VLANs (administration réseau, téléphonie, etc. pour provisionnement, configuration, etc.). Jusqu'à présent cela ne posait pas trop de problème vu que le bureau fermait : on taggait des ports du switch (id. switchPrincipal) où étaient brassés les prises RJ45 du bureau. Mais si les prises arrivent dans l'open-space, accessible à tous, laisser des prises RJ45 taggées vers ces VLANs à la portée du premier venu ne m'enchante guère. Je me disais que je pourrais, sur switchPrincipal, définir comme trunk VLAN un port (en le liant à tous les VLANs nécessaires), y brasser une prise RJ45 sur laquelle je connecte un "petit" switch (id. switchTable) qui sera posé sur le bureau de l'équipe. En donnant aux membres de l'équipe accès à la configuration de switchTable : ils pourront tagger/détagger leurs ports de bureau respectifs pour faire leur interventions (et à leur charge de détagger leurs ports le midi/soir en partant). Le problème c'est que le premier venu peut toujours débrancher switchTable , brancher un ordi et avoir accès à tous les VLANs... Donc je recherche un moyen pour que switchPrincipal n'ouvre le trunk (eg. ne "délivre" le trafic des VLANs) que s'il est sûr d'avoir switchTable en face de lui (via une "authentification" par secret partagé par exemple). Un genre de 802.1X "light" entre les 2 switchs ? Ou alors, solution plus "radicale" : je mets switchTable dans un boîtier métallique fermé à clé ne laissant que sortir des câbles déjà branchés tout en empêchant la possibilité d'en brancher de nouveaux (sans déverrouiller le boîtier) : ça existe ? Merci d'avoir lu jusque là :) -- DUVERGIER Claude --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ?
> Le 5 nov. 2019 à 18:16, DUVERGIER Claude a > écrit : > > Bonjour la liste, > > Je recherche un moyen/système d'authentification entre 2 switchs histoire de > limiter la diffusion de VLANs taggés dans un environnement semi-hostile (un > open-space) : est-ce quelque chose qui existe ? > > … > > Ou alors, solution plus "radicale" : je mets switchTable dans un boîtier > métallique fermé à clé ne laissant que sortir des câbles déjà branchés tout > en empêchant la possibilité d'en brancher de nouveaux (sans > déverrouiller le boîtier) : ça existe ? > > Merci d'avoir lu jusque là :) > > -- > DUVERGIER Claude Si tu actives le 802.1x sur tous tes VLAN, le problème est réglé non ? --- Liste de diffusion du FRnOG http://www.frnog.org/