Documente Academic
Documente Profesional
Documente Cultură
PrparparAlbertoEscuderoPascual/IT+46
<aep@it46.se>
But
Nousdevonssavoircequenousvoulonspour
savoircedontnousavonsbesoin
Estycequelagestionetlasurveillancesontla
mmechose?
Nesuivezpaslesoutils!Suivezlesmthodes!
Comment?...Mthodologie
Focussurlesbuts,passurlesoutil
Comprendrelesprinciestechniquesderrireles
outils
Comprendredequelsprincipestechniqueesnous
avonsbesoinpourarrivernosbus
...finallement,noustraiteronsdequelquesoutils!
Tabledesmatires
Butsvssurveillancedesdonnes
Surveillancedesservicespourlatteintedesbuts
Principestechniques
SNMP/MIB
Comptagedutrafic
Organisationdutrafic
FiltresBayesiens
EmpreintesdeVirus
Outils
MRTG,Ntop,SpamAssassin,ClamAV
Butsvssurveillancedesdonnes
Principes
Techniques
Buts
Outils
Dcisions
Surveillancedesservicespour
latteintedesbuts
Troisexemples:
pargnezenrduisantlescotsdebande
passanteinternationale
Fournirunmeilleurservicequalitprixpourles
servicesVoIP
Grezleserviceetlagrandeurdurseau
But1:pargnezdescotsdebande
passanteinternationale
Layer
4
3
Te ch nicalprin ciple
C ac hing , D etect/B lock S pa m /V iruses (B ayesian F ilters )
T raffic shap in g (Q ueue in g Prin c ip les)
T raffic acco untin g (S NM P,Pro m is c.)
Netw orkA ccess C o ntrol(Firew alling )
Trafficsha p ing
Trafficacco unting (S NM P ,Prom isc)
But2:Fournirunservicede
meilleurequalitsurVoIP
Layer
4
3
2
1
T e c h n ic a lp rin c ip le
Tra ffic s ha ping (Q ue ue ing P rinc iple s )
Tra ffic a c c o unting (S NM P , P ro mis c )
Tra ffic s ha ping (Q ue ue ing P rinc iple s )
Tra ffic a c c o unting (S NM P , P ro mis c )
C o lle c tL a y e r2 D a ta (S NM P )
R e duc e w ire le s s la te nc y
But3:Gestionduserviceet
croissancedurseau
L a y e r T e c h n ic a lp rin c ip le
4
Virus /S pa m, S Q L (S e rv ic eB a la nc ing)
C o lle c tTC P /UD P S ta tis tic s ,
3
F ire w a llB a la nc ing
C o lle c tIP L a y e rS ta tis tic s ,
2
R o uting princ iple s
1
C o lle c tL a y e r2 D a ta (S NM P )
Principestechniques
Fivetechnicalprincipes:
SNMP/MIB
Comptagedutrafic
Organisationdutrafic
FiltresBayesiens
Empreintesdevirus
SNMP/MIB
unprotocoledemaintenanceconuspcialementpourles
rseauxdordinateursetlesrseauxdquipementsindividuels.
Architectureserveur/client
LesClientsfontdesrequtesauxquipementsloignsdansle
rseau
Informationstatistique,donnesprives
UnquipementSNMPcontientunbasededonnesstatistique
(MIB)
Compatibilitetcapacitd'tretendu
rglesducodetrscomplexes,codeinficace
SNMP/MIB
1. SNMPreprsenteaussidutraficsurvotrerseau.
Essayerdediminuerletotalenfaisantdepetites
requtes.
2. SNMPv1nepermetpasuncryptagepour
lidentification.Rappelezvousdevosmotsde
passe.
3. SNMPconsommedescyclesprocesseurssurvos
unitsderseau
SNMP/MIB
Comptagedutrafic
unetechniquegnralepourfairelesurveillance
desstatistiquesdetraficdanslesrseaux
dordinateurs
Dcisionssurlerseau
Solutionnerlesproblmes
Surveillerlesactivitsdehtes
Comptagedutrafic
Lecomptagedebitsetdepaquets
Lesstatistiquesdedistributiondesprotocoles
(type,temps,%)
LeserreursdesvrificationsIP
Ladcouvertedhtesactifs
Lactivitdesdonnesentreleshtes
Comptagedutrafic
Actif:
RendpossibleSNMPdanstouslesrouteursetles
pssserellesdurseau
Passif:
Modesouscoute
requiertdchangerdutraficSNMPaveclesrouteurset
passerellespourobtenircetteinformation.
Organisationdutrafic
Contrlelefluxdutrafic
Guarantieunecertaineperformance
DisciplinesdesqueuesdanslacoucheIP
Dlaidetransitetcongestion
Bandepassanteetquit
Organisationdutrafic
ModificationdansIEEE802.11decouchede
contrledaccsaumdiadanslesproduitsbass
surIEEE802.1pourmettreenoeuvredes
mcanismespropritairesquin'Assurepasla
compatibilitentrelesvendeurs.
Proximlanceunmcanismepropritairede
slection(WORP)donnantaurseaula
permissiond'utiliserdespriodesdetemps
Queues,disciplineetdlaisdetransit.
S'appliquesurletraficsortant
Lesortantestgnralementembouteills
Surchargedelammoire
AbandonnerdespaquetsTCP>Retransmission
Dlaidetransit
Prioritisationofpaquets
Interactionaveclesusagers(ssh,rtp)
Bulktraffic(ftp,http)
Gestiondelabandepassantepar
prioritdequeuesdepaquets
Peutassurer:
Laqualitduservice
Acertainbitratetoaspecifichost
Limitedthroughputforaspecificservice
Rseauquitable
Consommateursreoitcepourquoiilpaye
Gestiondelabandepassantepar
prioritdequeuesdepaquets
Queuesendisciplinesdeclasse
StructureHirarchique
classesayantdescaractristiquesspcifiques:minimumet
maximumdebande,algorithmedequeue,etc..
HTB(enclasses)
Controllelabandepasanteensimulantdeslienslents
SFQ(sansclasses)
quitdanslesliensurchargs
FiltresBayesiens
Unfiltreantipourrielbassurlecontnu
Entte(envoyeuretcheminparcouruparle
message)
CodesHTMLintgrs(couleurs,etc.)
Lemariagedesmotsetdesphrases
Linformationglobale
Adaptifselflerningbyerrorreports
Listemotsnommanuel
Listeinitialcreenanalysantlecontenu
FiltresBayesiens
Placezvotrefiltreantipourrielavant
quelecouriern'entredans
l'infrastructuresansfil
Placerleprogrammedegestionde
votrecourrieravecunantipourrielde
lautrectdevotrelieninternational
peutamenerunepargnede1020%
delabandepassante.
Empreintesdesvirus(signatures)
Empreintes:Instructionsspcifiquespourlordinateur
queplusieursVirusconnusutilisent.
Utiliselesempreintespourbalayerlecode
Basededonnesconstammentmisesjour
Algorithmesbalayageheuristique
Crerdespermutationdevirusconnuspourprdire
lesvirusquivontmuerdanslefutur
Outilsdesurveillance
Outilslibres:
MRTG
Ntop
SpamAssassin
ClamAntivirus(ClamAV)
Surveillerlesansfil
Desoutilsdesurveillance
spcifiquesdesvendeurs(pour
certainssystmesd'opration)
Entraneunusagelimit
Nvendeursimplqiuesnoutilsde
surveillancerseau
Uneseuleinterfaceparl'integration
(SNMP/MIB>MRTG)
MRTG
MultiRouterTrafficgrapher
Surveilleetprsentelesparamtresdurseau
(processeur,trafic)
Utilisedesdonnesdesquipementsutilisant
SNMP
InterfaceWebgraphique
MRTG
ConfigurationdeMRTG:
Prrequis:serverWeb,MRTGinstall,adresseIPet
motdepassseSNMPdel'quipementquevous
souhaitezsurveiller
2.CrerunfichierdeconfigurationpourMRTG(avec
cfgmaker)
CrerunprocessuscronquimetenoeuvreMRTG
MRTG:Surveillancedelabande
1.Crerunfichierdeconfigurationpardfautpourmrtg
>cfgmakerpassword@IP>/etc/mrtg_b.cfg
2.ChangerlerpertoiredetravaildeMRTGdansmrtg_b.cfg
WorkDir:/var/www/mrtg
3. Crer des tches priodiques en ajoutant la ligne suivante
dans/etc/crontab
*/5****root/usr/bin/mrtg/etc/mrtg_b.cfg
MRTG:SurveillanceSN/R
Besoin de donnes provenant des MIB des
quipementssansfil
Commenttrouverlabonnerequte(OID)?
Reverseengineering!
Utilise un gestionnaire de rseau propritaire
poursurveillerletrafic(lientest)
MRTG:SurveillanceSN/R
19:41:21.448323 10.10.10.12.1260 > 10.10.10.254.snmp:
GetRequest(29) .1.3.6.1.4.1.762.2.1.7.0
0x0000 4500 0048 77b2 0000 8011 99d5 0a0a 0a0c
E..Hw...........
0x0010 0a0a 0afe 04ec 00a1 0034 64bb 302a 0201
.........4d.0*..
0x0020 0004 0670 7562 6c69 63a0 1d02 0201 0302
...public.......
0x0030 0100 0201 0030 1130 0f06 0b2b 0601 0401
.....0.0...+....
0x0040 857a 0201 0700 0500
.z......
19:41:21.448854 10.10.10.254.snmp > 10.10.10.12.1260:
GetResponse(30) .1.3.6.1.4.1.762.2.1.7.0=2 (DF)
0x0000
4500 0049 0037 4000 4011 1150 0a0a 0afe
E..I.7@.@..P....
0x0010 0a0a 0a0c 00a1 04ec 0035 62b5 302b 0201
.........5b.0+..
0x0020 0004 0670 7562 6c69 63a2 1e02 0201 0302
...public.......
0x0030 0100 0201 0030 1230 1006 0b2b 0601 0401
.....0.0...+....
Usagersconnectsl'AP
W rite Inte ge r5 0 in O ID s :
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .5 .1 ,1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .5 .1 ,
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .5 .3
W rite Inte ge r3 in O ID s :
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .4 .1 ,1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .4 .2 ,
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .4 .3
R e trie v e the O ID :
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .1 .0
Paramtresdebruitsetsignal
W riteInte ge r1 5 0 0 ,2 5 ,8 0 inO ID
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .2 7 .n
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .2 6 .n
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .2 5 .n
R e trie v e s igna lby re a ding:
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .3 2 .n
R e trie v e no is e by re a ding:
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .3 3 .n
w he re < n> re fe rs to the inte ge ra s s igne d to the
w ire le s s de v ic e
LesansfilavecMRTG
Ntop
Logiciellibre(GPL)
Mesuresdutrafic
Caractristiquesdutraficetlasurveillance
Dtectiondesviolationdelascuritdurseau
Optimisationdurseauetplanification
Lesmesuresdutrafic
Donnesreuesouenvoyesparprotocole
IPmulticast
HistoiredelasessionTCP
ServicesTCP/UDPutilissetdistributiondu
trafic
Utilitairesdebandepassante(actuel,en
moyenne,pointes)
DistributionsTrafic(danslessousrseaux)
Caractrisationdutraficet
surveillance
Identifierdessituationsoletraficdurseaunerespecte
paslesrglescrespasladministrateurdurseau:
AdressesIPutilisesdeuxfois
Usagersdontlidentifiantestmalconfigur.
mauvaisesconfigurationsdeslogicielsdapplications
Mauvaiseutilisationduservice(proxyserveursetc.)
Utilisationexcessivedelabandepassante
Dtectiondesviolationsdescurit
parNtop
Dtectiondesattaquestellesque:
Portscan
Spoofing
Espions
ChevaldeTroie
Refusdeservice(DoS)
Optimisationdurseauet
planificationavecNTOP
Identifielesconfigurationsuboptimaleset
l'utilisaitonnoneficacedelabandepassante
Protocolesnonncessaires
Routagesuboptimal(redirigeICMP)
Formeetdistributiondutrafic
Ntop
SpamAssassin
Pasunblocage,destiquettes!
Donnechaquemessageunenotebasesur:
Testdentte(envoyeur,champssujet)
Testssurlecorpsdumessageavecunensemblederglesde
3epart(motdepasse,codeHtml,adresseIP,URL)
FiltreBayesien
Listesnoireetblanchedadresses
Manueldelistesnoireetblanchedadresses
Basededonnescollaborativedidentificationdespourriels
ListesdeblocagedeDNSblocklistsRBL=RealTimeBlackhole
Lists
Ensembledecaractresetlocals
ClamAntivirus
Nlimine,ninerenommenidenettoieunfichierinfect.Il
dtectesimplementetavertilusager.
Balayagerapideetpuissantdescourrielsetrpertoires
Dtectiondeplusde30000virus,versetchevaldeTrois
Balaielesarchivesetlesfichierscompresss
Misejourdesbasededonnesincluantlessignatures
digitalesdesvirusetlesrequtessurlesbasededonnes
DNS
Inonderlerseau
18:12:36.432838172.168.0.36.2231>172.168.82.53.445:S1068540375:1068540375(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
45000030119f400080063d7faca80024
E..0..@...=....$
0x0010
aca8523508b701bd3fb0a1d700000000 ..R5....?.......
0x0020
7002faf0f0880000020405b401010402
p...............
18:12:36.441460172.168.0.23.1433>172.168.227.122.445:S2018273998:2018273998(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
450000308a9c400080063349aca80017 E..0..@...3I....
0x0010
aca8e37a059901bd784c6ace00000000 ...z....xLj.....
0x0020
7002faf060db0000020405b401010402
p...`...........
18:12:36.441731172.168.0.23.1435>172.168.196.106.445:S2018316905:2018316905(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
450000308a9d400080065258aca80017 E..0..@...RX....
0x0010
aca8c46a059b01bd784d126900000000 ...j....xM.i....
0x0020
7002faf0d84d0000020405b401010402
p....M..........
18:12:36.443252arpwhohas172.168.0.247tell172.168.0.27
0x0000
000108000604000100065ba63815aca8 ..........[.8...
0x0010
001b000000000000aca800f700000000 ................
0x0020
0000000000000000000000000000
..............
18:12:36.445470172.168.0.27.2367>172.168.160.143.445:S767169456:767169456(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
450000303f8b40008006c141aca8001b E..0?.@....A....
0x0010
aca8a08f093f01bd2dba13b000000000
.....?.........
0x0020
7002faf041cd0000020405b401010402
p...A...........
18:12:36.447728172.168.0.36.2235>172.168.217.194.445:S1068598455:1068598455(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
4500003011a040008006b5f0aca80024 E..0..@........$
0x0010
aca8d9c208bb01bd3fb184b700000000 ........?.......
0x0020
7002faf086160000020405b401010402
p...............
18:12:36.448124172.168.0.36.2232>172.168.97.176.445:S1068654094:1068654094(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
4500003011a1400080062e02aca80024 E..0..@........$
0x0010
aca861b008b801bd3fb25e0e00000000 ..a.....?.^.....
0x0020
7002faf024d40000020405b401010402
p...$...........
But1:pargnezdescotsdebande
passanteinternationale
Layer
4
3
2
1
T e c h n ic a lp rin c ip le
C a c hin g, D e te c t/B lo c k S pa m / V ir us e s
(B a ye s ia n F ilte rs )
T ra ffic s h a p in g (Q u e u e in g P rin c ip le s )
T ra ffic a c c o u n tin g (S N M P , P ro m is c .)
N e tw o rk Ac c e s s C o ntro l(F ire w a llin g )
Tra ffic s ha pin g
Tra ffic a c c o untin g (S N M P , P ro m is c )
W ire le s s A c c e s s C o n tro l
C o lle c tW ire le s s L a y e r2 D a ta (S N M P )
Conclusions
Lasurveillancededonnesbrutesn'aidepas!
Vousdevezsurveillerpouravoirunebonnegestionde
rseau
Ayezdesbuts,trouvezleprincipetechniqueetchoisissez
votreoutils.
Sicetoutilnefaitpascequevousvoulez,ouestloinde
fairecequevouscoulez,envisagezd'enconstruireun.