Principe
Ce collecteur vous permet de détecter automatiquement des équipements réseau et des serveurs physiques dans votre infrastructure pour faciliter et accélérer leur import dans la configuration,
- En utilisant la commande nmap pour la découverte des équipements, la commande
- Scanne les machines présentes sur le réseau et détecte les ports ouverts,
- Essaye de déterminer le constructeur de l'équipement en fonction de son adresse MAC
- Si possible, détermine son FQDN
- Permet de définir des règles qui suivant les valeurs remontées par nmap apporte un complément d'informations sur les équipements découverts.
- Ajout de modèles d'hôtes
- Ajout d'un préfixe au nom de l'équipement.
Les équipements qualifiés sont alors présentés en tant que nouveautés ou différences.
Configuration
Pour définir le module source Discovery:
- Configurer la source dans le fichier /etc/shinken/sources/discovery.cfg
- La source discovery est déclarée dans le fichier /etc/shinken/synchronizers/synchronizer-master.cfg.
Durant l'installation de Shinken Enterprise une source effectuant des découvertes réseau appelée discovery est créée. |
| Propriété | Valeur par défaut | Description |
|---|---|---|
source_name | discovery | Nom de la source. doit être unique (non modifiable pour le moment) |
order | 10 | Ordre dans la consolidation de l'algorithme pour cette source . Voir dans la page Synchronizer page pour plus d'information |
import_interval | 5 | Intervalle en minutes de chargement de la source. |
modules | discovery-import | Module utilisé |
enabled | 0 | 1 - Active la source 0 - Désactive la source. Elle est visible dans l'interface, mais ne collecte pas de données. |
| data_backend | mongodb | Backend où les données de la source est stockée |
| mongodb_url | mongodb://localhost/?safe=false | URL d'accès à MongoDB |
| mongodb_database | synchronizer | Base Mongo où sont stockées les données de la source |
| rules_path | /etc/shinken-user/configuration/daemons/synchronizers/sources/discovery/discovery_rules.json | Fichier json comportant vos règles de découvertes (voir règles de découvertes) |
| nmap_mac_prefixes_path | /etc/shinken-user/configuration/daemons/synchronizers/sources/discovery/nmap/nmap-mac-prefixes | Fichier comportant vos propres nmap-mac-prefixes (voir nmap) |
Exemple de définition:
define source {
source_name discovery
order 10
import_interval 5
module_type discovery-import
data_backend mongodb
mongodb_uri mongodb://localhost/?safe=false
mongodb_database synchronizer
rules_path /etc/shinken-user/configuration/daemons/synchronizers/sources/discovery/discovery_rules.json
nmap_mac_prefixes_path /etc/shinken-user/configuration/daemons/synchronizers/sources/discovery/nmap/nmap-mac-prefixes
}
|
Editer et ajouter une liste de scan réseau
Le scan réseau peut être défini dans la Page Principale
Commencez par cliquer sur la source "discovery" dans la page principale.
Dans l'onglet "Liste des plages réseaux définies", le bouton "+ Ajouter" permet d'ajouter une nouvelle plage réseau à scanner.
Puis vous verrez la page de configuration d'une nouvelle plage réseau dans une popup.
Vous devez définir les paramètres suivants:
- Nom
- Plage IP: Plage(s) d'adresses à scanner dans le format accepté par la command nmap.
172.16.1.1-254 172.16.0.0/24 172.16.0.0/24 192.168.1.10-100 |
- Plage de ports: Plage de ports scanné pour chaque adresse. Les 1000 ports les plus répandus sont utilisés par défaut
- Vous pouvez restreindre les ports scannés, avec une liste.
- Plusieurs plages peuvent être définies séparés par des virgules.
- Ex: 1-1024,2000-8000
- Notes: Texte descriptif au sujet de cette plage réseau
- Activé: Activer ou désactiver les scans sur cette plage réseau
Les règles de découvertes
Les mécanismes de règles permet d'enrichir les équipements détectés.
- Par défaut, une installation fournit une liste de règles prédéfinies.
- Vous pouvez définir vos propres règles ou surcharger les règles prédéfinies.
Vous devez pour cela éditer le fichier JSON- /etc/shinken-user/configuration/daemons/synchronizers/sources/discovery/discovery_rules.json
Il y a 4 parties dans une règle:
- name: le nom et l'id de votre règle ( doit être unique )
- condition[1-9]: représente une condition qui applique la règle si elle est remplie
( il suffit qu'une seule condition soit bonne pour que la règle soit appliquée ) - prefix_name: ce préfixe est ajouté au nom des éléments pour lesquels la règle s'applique ( optionnel )
- use: Les modèles d'hôtes ajoutés en cas d'application de la règle. Vous pouvez en mettre autant que vous voulez en les séparant d'une virgule.
- Les modèles d'hôtes sont ajoutés à la suite de ceux déjà présents sur l'hôte ( ajoutés par d'autres règles )
Voici un exemple qui est disponible par défaut dans Shinken:
{
"rules":[
{
"name": "myRuleExample",
"condition1": "os=myOS AND osversion=^2",
"condition2": "osversion=^2.6.0$",
"condition3": "macvendor=^myMacVendor",
"condition4": "ostype=myType$",
"condition5": "openports=1|2",
"prefix_name": "myRulePrefix",
"use": "myTemplate,myTemplate2"
}
]
} |
Il peut y avoir plusieurs problèmes à l'ouverture de votre fichier de règles:
| Problèmes | Résultat |
|---|---|
| Votre fichier n'est pas au format json | Le fichier n'est pas lu et une erreur apparaît |
| Votre fichier est introuvable | Le fichier n'est pas lu et une erreur apparaît |
| Votre fichier comporte des clés inconnues | Le fichier n'est pas lu et une erreur apparaît |
| Votre fichier est vide | Le fichier n'est pas lu mais aucune erreur n'apparaît |
Onglet de règles
Un onglet listant les règles de découvertes par défaut et celles de l'utilisateur est disponible dans la page du collecteur discovery.
Si le fichier de règles est correctement chargé
Les règles sont listées les unes sous les autres:
- dans leur ordre de priorité (la règle 1 étant prioritaire sur la règle 2)
- Les lignes ont des couleurs:
- Blanc : règle par défaut
- Bleu: règle utilisateur
- Gris: règle affichée dans la liste mais sans effet.
Il existe 6 statuts pour les règles de découvertes :
| Cas | Statut |
|---|---|
| La règle est en un seul exemplaire dans votre fichier | Définie par l'utilisateur |
| Le nom de la règle existe déjà dans le fichier par défaut | Surchargée par l'utilisateur |
| Le nom de la règle est défini plusieurs fois dans le fichier utilisateur | Définie plusieurs fois |
| La règle comporte une erreur (comme une des clés obligatoires) | Invalide |
| La règle ne comporte pas de conditions ou de modèles d'hôtes | Désactivé |
Vous pouvez rafraîchir la liste des règles directement en appuyant sur le bouton de rafraîchissement en haut à droite 
, ou en appuyant sur F5.
Si le fichier de règles n'est pas correctement chargé
Dans le cas où le fichier de règles n'est pas correctement chargé ( voir les problèmes liés aux règles dans les règles de découvertes ), seules les règles par défaut sont prises en compte et un message d'erreur apparaît en haut du tableau.
Les conditions
Le mécanisme de condition porte sur les données collectés par nmap. En fonction des ces valeurs, vous allez pouvoir modifier l'hôte à proposer au Synchronizer.
Il existe plusieurs possibilités pour les conditions de vos règles :
Commence par (=^...)
Le résultat ( dans l'onglet Détail du dernier lancement )
Dans l'onglet "Détail de dernier lancement" est listé chaque équipement détecté par le collecteur discovery en fonction des plages réseau actives lors de l'import.
Pour chaque équipement, l’œil à droite vous permet de voir le détail de l'opération. Deux tableaux fournissent
- Les informations collectées par nmap
- Toutes les informations présentes dans ce tableau peuvent être utilisées dans les conditions d'une règle
- Toutes les informations présentes dans ce tableau peuvent être utilisées dans les conditions d'une règle
- L'Hôte proposé au Synchronizer:
- Si une valeur a été modifiée par une règle, la colonne "Informations supplémentaires" indique le mécanisme utilisé
Les données collectés par nmap
Les scans réalisés par nmap remontent les informations suivantes:
| Nom | Exemple | |
|---|---|---|
fqdn | Nom de domaine complètement qualifié | DiskStation |
mac | Adresse MAC de l'équipement | 00:11:32:9F:09:44 |
macvendor | En fonction de l’adresse MAC, nmap associe le nom d'un constructeur. (voir le chapitre suivant) | Synology Incorporated |
openports | Les ports identifiés comme ouverts | 22,80,137,139,161,161,443,445,548,3261,5000,5001,5353 |
os | Concepteur du système d'exploitation ou périphérique (par exemple Apple, Cisco, Microsoft et Linksys). Pour les projets communautaires tels qu'OpenBSD et Linux sans fournisseur de contrôle, le nom de l'osvendor est utilisé pour cette valeur. | Linux |
ostype | Le type de périphérique est une classification large telle que "router", "printer", ou "game console". Les systèmes d'exploitation universels tels que Linux et Windows, qui ont de nombreux cas d'utilisations sont classés en tant que "general purpose". | general purpose |
osvendor | l'osvendor comprend des produits tels que Windows, Linux, IOS (pour routeurs Cisco), Solaris et OpenBSD. | Linux |
osversion | la version de l'os détéctée | 3.X |
Le mécanisme de correspondance entre macAddress et MacVendor
Lors du scan nmap effectué par la discovery, nmap utilise un fichier nommé nmap-mac-prefixes qui comporte des adresses mac associés à des macvendor (ce qui sera récupéré par nmap).
Par exemple, si votre machine récupérée par la discovery a pour MAC-address : 0050BAXXXXX, sa mac-vendor sera D-Link.
Shinken fourni par défaut un fichier nmap-mac-prefixes qui sera la référence d'nmap. Il sera mis à jour à chaque update de Shinken.
Vous pouvez cependant créer un fichier nmap-mac-prefixes dans
- /etc/shinken-user/configuration/daemons/synchronizers/sources/discovery/nmap/ par défaut
- qui surchargera celui que shinken met à votre disposition.
Votre fichier doit être au format de l'exemple donné et peut contenir des commentaires en commençant la ligne par un #.
Votre fichier viendra surchargé la liste présente par défaut dans l'installation de Shinken Entreprise.
- Voici le fichier par défaut ( nmap-mac-prefixes )
Liste des règles par défaut
Voici la liste des règles par défaut mise en place dans l'installation de Shinken Entreprise.
- Voici le fichier par défaut ( discovery_rules.json )
| Régle | Condition | Modèle d'hôte appliqué |
|---|---|---|
| aix | os=aix | aix |
| cisco | os=cisco | cisco |
| dns | openports=53 | dns |
| ftp | openports=21 | ftp |
| HPAsm | macvendor=hewlett packard AND openports=2301 | hp-asm |
| HPBladeChassis | os=embedded AND ostype=remote management AND osvendor=hp | hp-blade-chassis |
| HPPrinterState | openports=631 AND openports=9100 | printer-hp |
| HpUx | os=hp-ux | hpux |
| Http | openports=80 | http |
| Https | openports=443 | https |
| Imap | openports=143 | imap |
| Imaps | openports=993 | imaps |
| Ldap | openports=389 | ldap |
| Ldaps | openports=636 | ldaps |
| linux | os=linux | linux |
| mongodb | openports=27017 | mongodb |
| mssql | openports=1433 | mssql |
| mysql | openports=3306 | mysql |
| Oracle | openports=1521|1526 | oracle |
| pop3 | openports=110 | pop3 |
| pop3s | openports=995 | pop3s |
| smtp | openports=25 | smtp |
| smtps | openports=465 | smtps |
| ssh | openports=22 | ssh |
| switch | ostype=switch | switch |
| ESX | isesxhost=1 | esx |
| VMware-VM | isesxvm=1 | vmware-vm |
| Windows | os=windows | windows |
| Windows 2000 | os=windows AND osversion=2000 | windows2000 |
| Windows 2003 | os=windows AND osversion=2003 | windows2003 |
| Windows 2008 | os=windows AND osversion=vista | windows2008 |
| Windows 2008r2 | os=windows AND osversion=7 | windows2008,windows2008r2 |
| Windows 2012 | os=windows AND osversion=2012 | windows2012 |
| Windows 2016 | os=windows AND osversion=2016 | windows2016 |
Sécurité: paramètres de la commande nmap
La commande nmap lancée par la source discovery utilise les paramètres suivants:
- -PE : Ping Scan (Echo Request)
- -sU : Scan UDP
- -sT : Scan TCP
- --min-rate 1000 : Envoie un minimum de 1000 paquets par secondes
- --max-retries 3 : Effectue au maximum 3 retransmissions en cas d'erreur sur les scan de ports
- -T4 : Optimisation de performances
- -O : Detection des systèmes d'exploitation
- -oX : Export XML (utilisé pour l’interprétation de données par Shinken)
Précisions techniques
Clés de synchronisation
Les clés de synchronisation sont des propriétés des objets utilisées pour les identifier dans les sources. Le fonctionnement et l'utilité des clés de synchronisation sont décrits de manière plus détaillée dans la page de documentation dédiée: Précision techniques sur le fonctionnement de l'import des sources.
Les informations suivantes de la découverte réseau sont ajoutées en tant que clés de synchronisation de l'objet dans Shinken:
- host_name
- address