Как в Zabbix реализовать обнаружение несанкционированного подключения к сети?

Question

[morfair]

Понимаю, что нужно двигаться в сторону SNMP и SNMP Traps, с помощью которых прилетало бы уведомление о новой записи в FDB/ARP таблице коммутатора, потом "свои" маки подтверждать как санкционированные и получать уведомление о левых адресах, но хотелось бы узнать good practice, так сказать, либо ссылку на готовое решение.

Answer 1

[Дмитрий]

Zabbix это система мониторинга, а не ids/ips. Вам нужно смотреть в сторону специализированных решений, а уже их логи/алерты выводить в zabbix

Answer 2

[Сергей]

1000 лет назад, когда заббикс еще развивался я делал примерно следующее:
1. На управляемом коммутаторе разрешался проход определенной таблице адресов
2. Новый телефон\ПК заносился ручками в таблицу откуда все копировалось в dhcp.conf
есть нюанс, коммутатор должен это уметь в принципе - на hp - port security

Самое простое - парсинг лога дхцп на запросы, точнее на ответы DHCPNACK (не спасет от подключений с заранее известным адресом)