La supervision réseau sans identifiants : quelle mauvaise idée !

Nous sommes bien conscients que les identifiants sont parfois pénibles, mais les services informatiques savent qu'ils sont indispensables. Dans le monde de la supervision réseau, les identifiants correspondent aux données du compte et du mot de passe de chaque réseau, système ou dispositif requis permettant l'accès. Ces informations diffèrent peu de votre nom d'utilisateur et de votre mot de passe lorsque vous vous connectez à votre ordinateur ou à tout autre système, mais s'appliquent à tous les dispositifs qui composent votre réseau.

Les identifiants sont de toute évidence fondamentaux. Si vous ne pouvez pas accéder à un dispositif ou à un système, vous ne trouverez aucune information à son sujet. Lorsqu'une solution de supervision réseau découvre l'ensemble de votre réseau, il est essentiel que vous disposiez des identifiants de chaque dispositif de votre réseau. Lorsque le système examine chaque élément, dispositif ou adresse IP et demande : « Qui êtes-vous ? Que faites-vous ? Et donnez-moi des informations sur vous », la solution de supervision réseau doit vous répondre autre chose que « Vous n’avez pas accès ».

De l'importance des identifiants de connexion

Sans identifiants, vous pouvez obtenir des informations de base telles que l'identification d'un périphérique comme port d'accès sans fil ou serveur, mais c'est à peu près tout. Les identifiants sont essentiels à la découverte réseau. Ils identifient non seulement l'appareil, mais aussi ce qu'il fait et déterminent le type d'actions disponibles qui peuvent être changées ou modifiées sur cet appareil.

 

Une fois que vous avez obtenu l'accès, vous pouvez tout faire (ou presque), ou un système (ou une solution) peut le faire en votre nom.

 

Une bonne solution de supervision réseau stocke les identifiants - tous les identifiants réseau nécessaires pour permettre au service informatique de se connecter facilement à tous les appareils de façon continue.

Identifiants et services clouds

Les identifiants ne concernent pas seulement les dispositifs physiques. Bien souvent, les ressources cloud font partie d'un réseau qui doit être surveillé et sécurisé. Dans ce cas, vous disposez d'identifiants distincts pour accéder à votre système Amazon Web Services ou Azure - ou à toute autre solution en ligne basée sur le cloud. Il en va de même pour les machines virtuelles.

Types d'identifiants

Les identifiants peuvent être de différents types. Le plus courant est le SNMP, ou protocole de gestion de réseau simple. Il existe plusieurs versions différentes, qui ont tendance à être rétrocompatibles. On distingue les SNMP 1, 2 et 3, mais presque tout répondra à un ping SNMP. C'est généralement le moyen le plus simple de comprendre ce qui se passe.

 

Les identifiants vous permettent d'obtenir des informations sur les attributs du système, ou sur l'instrumentation du système, afin que vous sachiez non seulement que le périphérique existe, mais aussi ce qu'il fait, quel est son temps de réponse, et un tas d'autres informations comme le débit ou l'état. À ce stade, vous appliquez des identifiants plus complexes ou plus puissants. Ces identifiants comprennent les identifiants WMI de Windows, VMware, ou SSH.

 

L'exécution à distance peut nécessiter un autre type d'identifiant, comme SSH ou, plus communément et très anciennement, Telnet. Il s'agit de certificats qui vous permettent d'accéder à un dispositif ou à un système, d'y apporter des modifications, d'en prendre le contrôle ou encore de le faire fonctionner à distance.

Applications et dispositifs anciens

Il existe une multitude d'applications, chacune d'entre elles pouvant disposer de plusieurs types d'identifiants. Quiconque a fait de l'administration réseau sait qu'on ne peut jamais supprimer quoi que ce soit. On en rajoute toujours. Les systèmes et les solutions sont construits sur des couches de systèmes antérieurs et plus anciens, avec de multiples vendeurs, spécifications, dispositifs, solutions et systèmes, tous effectuant des tâches différentes - et nécessitant souvent différents types d'identifiants.

Application des identifiants de Windows, Linux et des machines virtuelles

Vous avez besoin d'identifiants d'hôte Windows pour les périphériques hôtes Windows et pour les autres périphériques Windows. Cela se fait généralement par le biais de la norme WMI, qui va un peu plus loin que la simple réponse à un ping ou à une gestion très basique des périphériques.

 

Nous voyons de plus en plus de solutions hybrides Linux, Unix et Windows. Si vous avez des hôtes Linux ou Unix, il faut qu'ils puissent s'adapter à une solution Windows, ou à un système de surveillance ou de gestion Windows. Dans ce cas, vous aurez peut-être besoin d'un agent SNMP ou d'un service SNMP qui servira d'intermédiaire. Il récupérera les informations statiques SNMP et les transmettra dans un format compatible avec Windows ou WMI. Cela ajoute une couche supplémentaire de complexité lorsqu'il s'agit d'atteindre les systèmes Linux et Unix. Vous pouvez également utiliser des identifiants SSH pour gérer et surveiller ces périphériques hôtes Linux ou Unix.

 

VMware est la solution de machine virtuelle la plus courante, bien que Hyper-V lui ait donné du fil à retordre. Pour ces deux solutions, vous devez disposer des identifiants appropriés au sein de vCenter ou d'Hyper-V.

Garder les clés du royaume en sécurité

Les identifiants constituent littéralement la clé du royaume. Si vous les regroupez au sein d'une seule et même solution, toute personne qui peut accéder à votre solution de gestion ou de supervision réseau pourra accéder à tous les appareils de votre réseau.

 

Deux points à prendre en compte ici. Il est essentiel de maintenir à jour les identifiants pour que votre solution de gestion ou de supervision réseau puisse accéder à l'ensemble de votre réseau. Il est encore plus important de sécuriser votre système de supervision. Cela signifie que les mots de passe doivent être à jour et que vous les modifiez si nécessaire. Cela signifie également qu'il faut utiliser des mots de passe robustes et, si possible, intégrer une solution d'authentification unique ouverte ou tierce, comme Open ID, qui vous permettra de maintenir un niveau de sécurité sur l'ensemble de votre système.

Éviter les identifiants par défaut

La plus grande menace pour la sécurité du réseau n'est pas l'accès des personnes aux identifiants par une solution de supervision réseau. C'est l'utilisation d'identifiants tels que « guest guest », ou « 123, 123 », qui ont été définis par défaut en usine. L'un des avantages de l'utilisation d'une solution de supervision réseau est de regrouper tous vos identifiants au même endroit et de pouvoir visualiser leur état. De cette façon, vous avez une idée du nombre d'identifiants qui n'ont pas été modifiés par rapport aux paramètres d'usine, ou qui n'ont pas été modifiés depuis très longtemps.

Et avec WhatsUp Gold, comment ça marche ?

Nous recommandons une solution de supervision réseau qui détecte tout ce qui se trouve sur votre réseau et utilise des identifiants pour comprendre non seulement ce qui est connecté, comment c'est connecté, mais également ce qui s'y passe : ce qui atteint des seuils, ce qui ne les atteint pas, etc.

 

WhatsUp Gold est la nouvelle solution de supervision proposée par Progress. Elle vous avertit de l'arrivée de problèmes et les détecte et les corrige avant même que vos utilisateurs ne s'en aperçoivent. Ses puissantes fonctionnalités d'alerte et son tableau de bord vous permettent de savoir s'il y a un problème. Vous serez notifié par SMS, e-mail, Slack ou même Teams. La configuration est simplissime. WhatsUp Gold comprend des fonctionnalités telles que la gestion de la configuration, la surveillance du cloud, l'analyse du trafic, la surveillance des applications ou encore la surveillance virtuelle.

Quelques questions à propos des identifiants de connexion au gourou de WhatsUp Gold, Jason Alberino

Les utilisateurs de WhatsUp Gold veulent toujours tirer le meilleur parti de leur solution de supervision réseau, et qui de mieux que notre Ninja WUG Jason Alberino pour répondre à leurs questions ? Voici quelques questions posées par les clients lors de notre récent webinaire sur les meilleures pratiques en matière d'identifiants.

Question : dans l'esprit de minimiser les problèmes de permissions, est-il préférable d'utiliser SNMP pour Windows plutôt que WMI ? Y a-t-il quelque chose que SNMP ne fournit pas et que WMI fournira ?

Alberino : j'avais pour habitude de ne recommander que l'utilisation de SNMP, car WMI était trop lourd. Depuis que Microsoft a abandonné la prise en charge de SNMP sur Server 2012, ce produit n'a plus évolué. Et j'ai constaté des problèmes avec l'utilisation de SNMP uniquement. L'utilisation de WMI convient tant que vous contrôlez l'accès aux identifiants, ou que vous configurez des identifiants en lecture seule, pour ainsi dire. Vous avez plusieurs options.

WMI apporte en effet plus d'informations que SNMP sur les périphériques Windows, en particulier, des informations telles que l'utilisation du processeur au sein de WhatsUp Gold. Si vous faites cela avec SNMP sous Windows, le système affiche « type de processeur inconnu ». Pourquoi ? Parce que c'est ainsi que Microsoft alimente SNMP. Mais si vous utilisez un identifiant WMI, vous obtenez le nom complet du processeur, Intel Xeon, le numéro de modèle, etc.

 

Il en va de même lorsqu'il s'agit de l'utilisation du disque en utilisant WMI ou SNMP. Sous Windows, SNMP ne fournit pas d'informations sur les montages de disques, alors que de nombreuses bonnes pratiques SQL et Exchange préconisent d'utiliser les montages de disques. WMI peut vous donner ces informations, alors que SNMP ne le peut pas. En tout cas, dans l'état actuel des choses, je recommande toujours WMI plutôt que SNMP car il est désormais très stable. Il n'est plus ce qu'il était il y a plusieurs années. Si vous utilisez le serveur 2012 ou une version ultérieure, il est préférable d'utiliser WMI plutôt que SNMP.

Question : la surveillance des identifiants est-elle incluse dans la version standard de WhatsUp Gold, ou s'agit-il d'un module complémentaire ? Pouvez-vous peut-être nous donner un peu plus de précisions sur la façon dont vous pouvez gérer les identifiants au sein de WhatsUp Gold ?

Alberino : la surveillance des identifiants est plutôt un module complémentaire de WhatsUp Gold par le biais de la suite Log Management que nous avons ajoutée en début d'année. Avec la gestion des logs, vous pouvez collecter les logs d'événements Windows ainsi que les messages Syslog, et créer des seuils pour les alertes. Par exemple, vous ne souhaitez pas être averti chaque fois que quelqu'un essaie d'utiliser son mot de passe et que celui-ci est incorrect. Vous souhaitez plutôt être averti si cela se produit 10 fois au cours des 10 dernières minutes, ou quelque chose du genre. C'est possible avec le module complémentaire Log Management.

Il en va de même pour les messages Syslog. Si quelqu'un se connecte à votre routeur ou à votre commutateur avec un mauvais nom d'utilisateur ou mot de passe, vous devez le savoir. C'est là que la gestion des logs entre en jeu, mais il s'agit d'une option supplémentaire de WhatsUp Gold, si vous disposez de l'édition Premium. Si vous possédez une licence pour l'édition Total Plus, nous vous donnons accès à la gestion des logs sans frais supplémentaires. En utilisant votre licence Total Plus existante, vous avez désormais accès à la gestion des logs, à condition de passer à la version 21 ou supérieure.

Question : pouvez-vous expliquer comment WhatsUp Gold stocke les identifiants et vous permet de les utiliser et de les modifier si nécessaire ?

Alberino : les identifiants sont stockés et cryptés dans notre base de données. Il s'agit d'une autorisation que vous pouvez accorder aux personnes. Soit les personnes ont accès à la bibliothèque d'identifiants sur WhatsUp Gold, soit elles n'y ont pas accès. Et même les personnes ayant un accès ne sont pas en mesure de voir les mots de passe en texte clair, où que ce soit. Toutes les informations sont cryptées dans la base de données. Si vous craignez que quelqu'un consulte la bibliothèque d'identifiants, il suffit de ne pas lui en accorder l'accès.

 

Abonnez-vous à notre liste de diffusion

Recevez les plus récents billets de notre blog dans un e-mail mensuel.

Loading animation