Documente Academic
Documente Profesional
Documente Cultură
3 3
3 4
NetSaint
3.1 3.2 3.3 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Qu'est-ce que NetSaint ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NetSaint n'est pas... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
4 4 4
4
4 5 5 6 7 8 8
Ntop
5.1 5.2 5.3 5.4 5.5 Possibilits de Ntop Mdias supports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8
8 8 9 9 9
11
11 11 12 12 13 13 13 13 13 13 13 13
Tcpdump Iptraf
Ethereal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.11 Snort.org
Introduction
Ce document a pour but d'expliquer la supervision et prsenter les avantages et les possibilits d'une solution gratuite. La plupart des logiciels prsents dans ce dossier sont sous licence GPL : Cette licence permet entre autres de disposer gratuitement des sources d'un logiciel. Le premier avantage tant nancier car l'on peut se procurer gratuitement les logiciels rpondant cette licence. Mais il existe un autre avantage qui n'est pas des moindres surtout lorsqu'il s'agit de logiciels de supervision ou de surveillance et que l'on se trouve dans une grande banque. C'est l'assurance que les logiciels rpondant cette licence ne disposent pas de Back Door (porte cach) qui permettrait un pirate ou un service gouvernemental de s'introduire sans traces.
pannes avant que l'utilisateur lambda ne se soit aperu du problme. Pour faire face l'augmentation exponentielle du nombre de serveurs il serait intressant de disposer d'outils permettant de surveiller le rseau et les serveurs. Ces outils permettent de minimiser le temps d'indisponibilit d'un serveur ou d'une application car il donne l'administrateur des informations prcises pour l'aider dtecter les ventuelles pannes. Les logiciels d'administration permettent galement l'administrateur d'tre inform d'un problme en premier car dans la plupart des cas c'est l'utilisateur qui apprend l'administrateur qu'il y a un problme. Sur le march il existe plusieurs solutions commerciales comme par exemple les trs connus HP OpenView, SunNet Manager ? mais les prix de ces produits dpassent 15 000 Euro. De plus, la matrise de tels produits demande galement la formation de l'administrateur, ce qui entrane encore un sur-cot. En marge de ces solutions commerciales, il existe des solutions gratuites (NetSaint, Ntop, Bronc) qui peuvent remplir pratiquement les mmes fonctions. Certains logiciels de supervision fournissent des outils qui permettent de localiser les goulots d'tranglement du rseau. On peut ainsi dtecter les routeurs ou les serveurs qui ralentissent le rseau et trouver une solution au problme. Grce la surveillance du rseau on peut obtenir des statistiques sur les protocoles utiliss. Ce qui permet de savoir quels sont les protocoles qui saturent le plus le rseau. (Tlchargement, surf sur Internet, copie ou enregistrement de chiers, Citrix, ouverture de session, broadcast ?) cela permet de savoir si l'on peut augmenter le nombre de personnes utilisant ces protocoles. Une supervision du rseau permet de dtecter les heures de pointes sur le rseau. ce qui peut permettre de dplacer certains traitements. Les outils de surveillance d'intrusion permettent la dtection d'intrusions internes comme externes (Plus de 80% des attaques informatiques commencent par une attaque internet). Cela n'vite pas les intrusions mais permet de les arrter au plus tt. La plupart des logiciels de supervision cits dans ces lignes sont des logiciels couramment utiliss par les plus grandes universits franaises. Ces logiciels ont t choisis pour surveiller de grands rseaux sur lesquels svicent beaucoup de jeunes pirates informatiques impatients de prouver leurs talents. La plupart des logiciels cits ici disposent d'une interface utilisable travers un navigateur(IE, Netscape, ...) ce qui permet de consulter ces utilitaires distance et surtout sur n'importe quel systme d'exploitation disposant d'un navigateur Internet.
aucun service de production n'est aect et l'activit du rseau n'est en rien perturbe, seule la surveillance des serveurs et du rseau n'est plus en activit.
NetSaint
3.1 Introduction
NetSaint est un produit trs puissant qui permet d'observer le bon fonctionnement de services rseau, tel que : SMTP, POP, HTTP... Il permet galement la surveillance des ressources des postes. Ce logiciel est gratuit et il est consultable travers une interface web, ce qui lui permet d'tre consultable de n'importe quel systme d'exploitation disposant d'un navigateur web.
eet lorsqu'un contrleur de domaine tombe en panne il y a beaucoup plus de personnes prvenir que lorsque qu'une imprimante bourre.
4.7 NSClient
Grce un logiciel client l'espace disque la mmoire occupe le bon fonctionnement de process le bon fonctionnement de Services la charge processeur le temps de marche sans reboot d'un serveur (Uptime) l'ge d'un chier L'installation de ce client permet de surveiller des applications qui tournent sur le serveur. Par exemple on peut surveiller les process sqlsrv.exe pour tre sur que le serveur SQLSERVER 2000 marche bien. On peut galement surveiller que le service mssqlserver fonctionne. Connatre l'age d'un chier ne parait pas au premier abord d'un intert extraordinaire. Mais cette fonction peut se rvler trs utile. Par exemple si le chers setup.exe du rpertoire McAfee date de plus de 15 jours on peut rmonter une alerte l'administrateur, pour qu'il tlcharge une nouvelle version des chers d'antivirus.
1 que l'on peut installer sur tous les serveurs surveiller. Netsaint
Ntop
Introduction
Ntop est un logiciel de supervision grce lui vous pourrez contrler le trac qui circule sur votre rseau. Cette application permet grce un mode nomm matrix de voir quelle machine discute avec qui. Ce mode ache galement la taille totale des trames qui sont changes. Lors d'une de mes expriences professionnelles cela m'a permis (en voyant un transfert de 1.9 giga sur le rseau interne) de dtecter une sauvegarde qui tait plani en pleine journe alors qu'elle aurait du tourner la nuit lorsqu'il n'y a plus de trac sur le rseau.
5.5 Exemple
Protocole utilis sur le rseau
On peut voir sur la capture d'cran ci-dessous la rpartition globale du trac. Sur le graphique on voit que le Broadcast (interrogation) occupe une petite partie du trac rseau. Cette proportion de broadcast peut tre beaucoup plus importante et saturer le trac rseau sans que l'on s'en aperoive.
Pour chaque machine, on peut mme acher son trac au cours des dernieres 24 heures. Cela peut tre trs utiles pour savoir si un serveur n'est pas surcharg certaines heures de la journe.
10
Dans l'exemple ci-dessous il n'y a aucune tranche horaire dans le rouge donc la charge du serveur est plus ou moins constante sur la journe.
en dtail faute de temps. Mais ils ont bien videmment leur place sur un serveur de supervision.
6.1 IPtrac
Cet outil comme son nom l'indique permet de faire une analyse du trac IP
6.2 Nmap
Nmap est un scanner de ports. Cette application interroge tous les ports d'une machine donne. Puis elle fait un rapport informant l'utilisateur sur les ports ouverts sur la machine qu'il a scann. Cet utilitaire permet un administrateur de savoir quels sont les ports ouverts. Certains ports sont laisss ouverts sur des serveurs alors qu'ils ne sont plus utiliss. Comme ils ne sont plus utiliss Cet utilitaire est galement utilis par les pirates pour les mme raisons . Nmap peut tre utilis comme une application indpendante, ou il peut tre inclus sous forme de plugin dans une autre application de supervision comme par exemple Netsaint.
2 Ne vous amusez pas scanner les ports d'une adresse IP au hasard. Car cela peut tre considr comme une attaque. Cela risquerait vous poser des problmes.
11
6.3 Cricket
C'est un logiciel qui permet de surveiller la bande passante de routeur. Ce logiciel pourrait tre utilis pour surveiller la bande passante entre le sige de Chteauroux et le sige de Limoges. Il pourrait galement tre utilis pour surveiller les lignes entre les agences et les siges.
6.4 Nessus
Nessus est un utilitaire gratuit qui permet de scanner un rseau pour le scuriser. Pour chaque faille de scurit trouve, il donne des solutions pour y remdier.
12
6.5 Snit
Snit
3 est un snier de trame qui fonctionne sous LINUX, SunOS, Solaris, FreeBSD et IRIX.
6.6 Dsni
Dvelopp par Dug Song du CITI dsni est un ensemble de logiciels destin auditer votre rseau et procder des tentatives d'intrusion. Dsni, lesnarf, mailsnarf, msgsnarf, urlsnarf et webspy coutent votre rseau pour en extraire les donnes intressantes (mots de passe, emai, chiers ...). Arpspoof, dnsspoof et macof facilite l'interception du trac rseau qui n'est normalement pas accessible pour un agresseur. Et pour nir sshmitm et webmitm permettent de faire du spoong pour capturer des sessions SSH ou HTTPS.
6.7 Tcpdump
TcpDump est un logiciel libre qui fonctionne sous Unix / linux et sous Windows il permet de capturer tous les paquets qui transitent sur un rseau et les stockent dans un chier. Cette application est trs pratique pour savoir qui fait quoi sur le rseaux. Mais comme elle retourne toutes les trames visibles sur le rseau, les chiers rsultants d'une coute atteignent vite des tailles astronomiques. Cette application a galement un autre dsavantage c'est que les trames captures sont livres brutes de dcorage. Il faut donc s'armer de patience pour trouver ce que l'on cherche.
6.8 Ethereal
Ethereal est un snier qui a comme particularit de pouvoir lire les donnes des autres snier. par exemple Ethereal est capable de lire les trames captures pas Tcpdump
6.9 Iptraf
Iptraf est un utilitaire qui retourne direntes informations sur les connexions rseau. Grce ces informations sur les connexions il est capable de faire des statistiques sur les dirents protocoles.
6.10 Bronc
Ce logiciel sert contrler la bande passante utilise sur les routeurs. Il permet entre autres de surveiller le dbit des lignes longues distances.
6.11 Snort.org
Snort est un outil qui permet d'couter tout ce qui ce passe sur un rseau. Son plus gros problme c'est qu'il gnre de gros chiers log.
6.12 Prelude
Prelude est un utilitaire de dtection d'intrusion. Il est cens dtecter toute connexion suspecte qui pourrait tre une attaque contre votre rseau. on peut trouver ce logiciel l'adresse suivante : http ://prelude.sourceforge.net
13
Conclusion
Beaucoup de logiciels de supervision sont la disposition des administrateurs. Ils ne sont pas tous faciles mettre en oeuvre. Mais ils apportent aux administrateurs une meilleure connaissance du rseau. La surveillance du rseau permet un ciblage des incidents beaucoup plus rapide, ce qui permet de minimiser les temps d'indisponibilit des serveurs. Les logiciels cits ici sont tous gratuit. Le seul investissement ncessaire est le temps pass pour apprendre utiliser ces logiciels de supervision. Mais une fois cet investissement eectu, il se rvlera trs rentable.
14