Gestionetsurveillancederseaux

PrparparAlbertoEscuderoPascual/IT+46
<aep@it46.se>

But
Nousdevonssavoircequenousvoulonspour
savoircedontnousavonsbesoin
Estycequelagestionetlasurveillancesontla
mmechose?
Nesuivezpaslesoutils!Suivezlesmthodes!

Comment?...Mthodologie
Focussurlesbuts,passurlesoutil
Comprendrelesprinciestechniquesderrireles
outils
Comprendredequelsprincipestechniqueesnous
avonsbesoinpourarrivernosbus
...finallement,noustraiteronsdequelquesoutils!

Tabledesmatires
Butsvssurveillancedesdonnes
Surveillancedesservicespourlatteintedesbuts
Principestechniques
SNMP/MIB
Comptagedutrafic
Organisationdutrafic
FiltresBayesiens
EmpreintesdeVirus
Outils
MRTG,Ntop,SpamAssassin,ClamAV

Butsvssurveillancedesdonnes
Principes
Techniques

Buts

Outils

Dcisions

 Surveillancedesservicespour
latteintedesbuts

Troisexemples:

pargnezenrduisantlescotsdebande
passanteinternationale
Fournirunmeilleurservicequalitprixpourles
servicesVoIP
Grezleserviceetlagrandeurdurseau

But1:pargnezdescotsdebande
passanteinternationale
Layer
4
3

Te ch nicalprin ciple
C ac hing , D etect/B lock S pa m /V iruses (B ayesian F ilters )
T raffic shap in g (Q ueue in g Prin c ip les)
T raffic acco untin g (S NM P,Pro m is c.)
Netw orkA ccess C o ntrol(Firew alling )
Trafficsha p ing
Trafficacco unting (S NM P ,Prom isc)

W ireless Acc ess C ontrol

C ollectW ireless Layer2 D ata(S N M P )

But2:Fournirunservicede
meilleurequalitsurVoIP
Layer
4
3
2
1

T e c h n ic a lp rin c ip le
Tra ffic s ha ping (Q ue ue ing P rinc iple s )
Tra ffic a c c o unting (S NM P , P ro mis c )
Tra ffic s ha ping (Q ue ue ing P rinc iple s )
Tra ffic a c c o unting (S NM P , P ro mis c )
C o lle c tL a y e r2 D a ta (S NM P )
R e duc e w ire le s s la te nc y

But3:Gestionduserviceet
croissancedurseau
L a y e r T e c h n ic a lp rin c ip le
4
Virus /S pa m, S Q L (S e rv ic eB a la nc ing)
C o lle c tTC P /UD P S ta tis tic s ,
3
F ire w a llB a la nc ing
C o lle c tIP L a y e rS ta tis tic s ,
2
R o uting princ iple s
1
C o lle c tL a y e r2 D a ta (S NM P )

Principestechniques
Fivetechnicalprincipes:

SNMP/MIB
Comptagedutrafic
Organisationdutrafic
FiltresBayesiens
Empreintesdevirus

SNMP/MIB
unprotocoledemaintenanceconuspcialementpourles
rseauxdordinateursetlesrseauxdquipementsindividuels.
Architectureserveur/client
LesClientsfontdesrequtesauxquipementsloignsdansle
rseau
Informationstatistique,donnesprives
UnquipementSNMPcontientunbasededonnesstatistique
(MIB)
Compatibilitetcapacitd'tretendu
rglesducodetrscomplexes,codeinficace

SNMP/MIB
1. SNMPreprsenteaussidutraficsurvotrerseau.
Essayerdediminuerletotalenfaisantdepetites
requtes.
2. SNMPv1nepermetpasuncryptagepour
lidentification.Rappelezvousdevosmotsde
passe.
3. SNMPconsommedescyclesprocesseurssurvos
unitsderseau

SNMP/MIB

Les vendeurs des quipements sans fil fournissent

normalementauxacheteursleurspropresoutilsdegestion
qui utilisent SNMP pour communiquer avec les
quipementssansfil.
Lintgration de diffrents outils propritaires de gestion
est normalement trs complique puisque le code varie
passablementdulogiciellibre.
Lameilleureoptionestprobablementdcrirevotrepropre
systmedegestionsansfil.

Comptagedutrafic
unetechniquegnralepourfairelesurveillance
desstatistiquesdetraficdanslesrseaux
dordinateurs

Dcisionssurlerseau
Solutionnerlesproblmes
Surveillerlesactivitsdehtes

Comptagedutrafic

Lecomptagedebitsetdepaquets
Lesstatistiquesdedistributiondesprotocoles
(type,temps,%)
LeserreursdesvrificationsIP
Ladcouvertedhtesactifs
Lactivitdesdonnesentreleshtes

Comptagedutrafic
Actif:
RendpossibleSNMPdanstouslesrouteursetles
pssserellesdurseau

Passif:
Modesouscoute
requiertdchangerdutraficSNMPaveclesrouteurset
passerellespourobtenircetteinformation.

Organisationdutrafic
Contrlelefluxdutrafic
Guarantieunecertaineperformance
DisciplinesdesqueuesdanslacoucheIP
Dlaidetransitetcongestion
Bandepassanteetquit

Organisationdutrafic
ModificationdansIEEE802.11decouchede
contrledaccsaumdiadanslesproduitsbass
surIEEE802.1pourmettreenoeuvredes
mcanismespropritairesquin'Assurepasla
compatibilitentrelesvendeurs.

Proximlanceunmcanismepropritairede
slection(WORP)donnantaurseaula
permissiond'utiliserdespriodesdetemps

Queues,disciplineetdlaisdetransit.
S'appliquesurletraficsortant
Lesortantestgnralementembouteills
Surchargedelammoire
AbandonnerdespaquetsTCP>Retransmission
Dlaidetransit
Prioritisationofpaquets
Interactionaveclesusagers(ssh,rtp)
Bulktraffic(ftp,http)

Gestiondelabandepassantepar
prioritdequeuesdepaquets
Peutassurer:

Laqualitduservice
Acertainbitratetoaspecifichost
Limitedthroughputforaspecificservice
Rseauquitable
Consommateursreoitcepourquoiilpaye

Gestiondelabandepassantepar
prioritdequeuesdepaquets
Queuesendisciplinesdeclasse
StructureHirarchique
classesayantdescaractristiquesspcifiques:minimumet
maximumdebande,algorithmedequeue,etc..
HTB(enclasses)
Controllelabandepasanteensimulantdeslienslents
SFQ(sansclasses)
quitdanslesliensurchargs

FiltresBayesiens
Unfiltreantipourrielbassurlecontnu
Entte(envoyeuretcheminparcouruparle
message)
CodesHTMLintgrs(couleurs,etc.)
Lemariagedesmotsetdesphrases
Linformationglobale
Adaptifselflerningbyerrorreports
Listemotsnommanuel
Listeinitialcreenanalysantlecontenu

FiltresBayesiens
Placezvotrefiltreantipourrielavant
quelecouriern'entredans
l'infrastructuresansfil
Placerleprogrammedegestionde
votrecourrieravecunantipourrielde
lautrectdevotrelieninternational
peutamenerunepargnede1020%
delabandepassante.

Empreintesdesvirus(signatures)
Empreintes:Instructionsspcifiquespourlordinateur
queplusieursVirusconnusutilisent.
Utiliselesempreintespourbalayerlecode
Basededonnesconstammentmisesjour
Algorithmesbalayageheuristique
Crerdespermutationdevirusconnuspourprdire
lesvirusquivontmuerdanslefutur

Outilsdesurveillance
Outilslibres:
MRTG
Ntop
SpamAssassin
ClamAntivirus(ClamAV)

Surveillerlesansfil
Desoutilsdesurveillance
spcifiquesdesvendeurs(pour
certainssystmesd'opration)
Entraneunusagelimit
Nvendeursimplqiuesnoutilsde
surveillancerseau
Uneseuleinterfaceparl'integration
(SNMP/MIB>MRTG)

MRTG
MultiRouterTrafficgrapher
Surveilleetprsentelesparamtresdurseau
(processeur,trafic)
Utilisedesdonnesdesquipementsutilisant
SNMP
InterfaceWebgraphique

MRTG
ConfigurationdeMRTG:
Prrequis:serverWeb,MRTGinstall,adresseIPet
motdepassseSNMPdel'quipementquevous
souhaitezsurveiller
2.CrerunfichierdeconfigurationpourMRTG(avec
cfgmaker)
CrerunprocessuscronquimetenoeuvreMRTG

MRTG:Surveillancedelabande
1.Crerunfichierdeconfigurationpardfautpourmrtg
>cfgmakerpassword@IP>/etc/mrtg_b.cfg
2.ChangerlerpertoiredetravaildeMRTGdansmrtg_b.cfg
WorkDir:/var/www/mrtg
3. Crer des tches priodiques en ajoutant la ligne suivante
dans/etc/crontab
*/5****root/usr/bin/mrtg/etc/mrtg_b.cfg

MRTG:SurveillanceSN/R
Besoin de donnes provenant des MIB des
quipementssansfil
Commenttrouverlabonnerequte(OID)?
Reverseengineering!
Utilise un gestionnaire de rseau propritaire
poursurveillerletrafic(lientest)

MRTG:SurveillanceSN/R
19:41:21.448323 10.10.10.12.1260 > 10.10.10.254.snmp:
GetRequest(29) .1.3.6.1.4.1.762.2.1.7.0
0x0000 4500 0048 77b2 0000 8011 99d5 0a0a 0a0c
E..Hw...........
0x0010 0a0a 0afe 04ec 00a1 0034 64bb 302a 0201
.........4d.0*..
0x0020 0004 0670 7562 6c69 63a0 1d02 0201 0302
...public.......
0x0030 0100 0201 0030 1130 0f06 0b2b 0601 0401
.....0.0...+....
0x0040 857a 0201 0700 0500
.z......
19:41:21.448854 10.10.10.254.snmp > 10.10.10.12.1260:
GetResponse(30) .1.3.6.1.4.1.762.2.1.7.0=2 (DF)
0x0000
4500 0049 0037 4000 4011 1150 0a0a 0afe
E..I.7@.@..P....
0x0010 0a0a 0a0c 00a1 04ec 0035 62b5 302b 0201
.........5b.0+..
0x0020 0004 0670 7562 6c69 63a2 1e02 0201 0302
...public.......
0x0030 0100 0201 0030 1230 1006 0b2b 0601 0401
.....0.0...+....

Usagersconnectsl'AP
W rite Inte ge r5 0 in O ID s :
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .5 .1 ,1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .5 .1 ,
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .5 .3
W rite Inte ge r3 in O ID s :
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .4 .1 ,1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .4 .2 ,
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .4 .3
R e trie v e the O ID :
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .1 .0

Paramtresdebruitsetsignal
W riteInte ge r1 5 0 0 ,2 5 ,8 0 inO ID
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .2 7 .n
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .2 6 .n
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .2 5 .n
R e trie v e s igna lby re a ding:
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .3 2 .n
R e trie v e no is e by re a ding:
1 .3 .6 .1 .4 .1 .7 6 2 .2 .5 .2 .1 .3 3 .n
w he re < n> re fe rs to the inte ge ra s s igne d to the
w ire le s s de v ic e

LesansfilavecMRTG

MRTG IP information (Layer 3) and wireless information (Layer 2)

Ntop
Logiciellibre(GPL)

Mesuresdutrafic
Caractristiquesdutraficetlasurveillance
Dtectiondesviolationdelascuritdurseau
Optimisationdurseauetplanification

Lesmesuresdutrafic

Donnesreuesouenvoyesparprotocole
IPmulticast
HistoiredelasessionTCP
ServicesTCP/UDPutilissetdistributiondu
trafic
Utilitairesdebandepassante(actuel,en
moyenne,pointes)
DistributionsTrafic(danslessousrseaux)

Caractrisationdutraficet
surveillance
Identifierdessituationsoletraficdurseaunerespecte
paslesrglescrespasladministrateurdurseau:
AdressesIPutilisesdeuxfois
Usagersdontlidentifiantestmalconfigur.
mauvaisesconfigurationsdeslogicielsdapplications
Mauvaiseutilisationduservice(proxyserveursetc.)
Utilisationexcessivedelabandepassante

Dtectiondesviolationsdescurit
parNtop
Dtectiondesattaquestellesque:
Portscan
Spoofing
Espions
ChevaldeTroie
Refusdeservice(DoS)

Optimisationdurseauet
planificationavecNTOP
Identifielesconfigurationsuboptimaleset
l'utilisaitonnoneficacedelabandepassante
Protocolesnonncessaires
Routagesuboptimal(redirigeICMP)
Formeetdistributiondutrafic

Ntop

SpamAssassin
Pasunblocage,destiquettes!
Donnechaquemessageunenotebasesur:
Testdentte(envoyeur,champssujet)
Testssurlecorpsdumessageavecunensemblederglesde
3epart(motdepasse,codeHtml,adresseIP,URL)
FiltreBayesien
Listesnoireetblanchedadresses
Manueldelistesnoireetblanchedadresses
Basededonnescollaborativedidentificationdespourriels
ListesdeblocagedeDNSblocklistsRBL=RealTimeBlackhole
Lists
Ensembledecaractresetlocals

ClamAntivirus

Nlimine,ninerenommenidenettoieunfichierinfect.Il
dtectesimplementetavertilusager.
Balayagerapideetpuissantdescourrielsetrpertoires
Dtectiondeplusde30000virus,versetchevaldeTrois
Balaielesarchivesetlesfichierscompresss
Misejourdesbasededonnesincluantlessignatures
digitalesdesvirusetlesrequtessurlesbasededonnes
DNS

Inonderlerseau
18:12:36.432838172.168.0.36.2231>172.168.82.53.445:S1068540375:1068540375(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
45000030119f400080063d7faca80024
E..0..@...=....$
0x0010
aca8523508b701bd3fb0a1d700000000 ..R5....?.......
0x0020
7002faf0f0880000020405b401010402
p...............
18:12:36.441460172.168.0.23.1433>172.168.227.122.445:S2018273998:2018273998(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
450000308a9c400080063349aca80017 E..0..@...3I....
0x0010
aca8e37a059901bd784c6ace00000000 ...z....xLj.....
0x0020
7002faf060db0000020405b401010402
p...`...........
18:12:36.441731172.168.0.23.1435>172.168.196.106.445:S2018316905:2018316905(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
450000308a9d400080065258aca80017 E..0..@...RX....
0x0010
aca8c46a059b01bd784d126900000000 ...j....xM.i....
0x0020
7002faf0d84d0000020405b401010402
p....M..........
18:12:36.443252arpwhohas172.168.0.247tell172.168.0.27
0x0000
000108000604000100065ba63815aca8 ..........[.8...
0x0010
001b000000000000aca800f700000000 ................
0x0020
0000000000000000000000000000
..............
18:12:36.445470172.168.0.27.2367>172.168.160.143.445:S767169456:767169456(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
450000303f8b40008006c141aca8001b E..0?.@....A....
0x0010
aca8a08f093f01bd2dba13b000000000
.....?.........
0x0020
7002faf041cd0000020405b401010402
p...A...........
18:12:36.447728172.168.0.36.2235>172.168.217.194.445:S1068598455:1068598455(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
4500003011a040008006b5f0aca80024 E..0..@........$
0x0010
aca8d9c208bb01bd3fb184b700000000 ........?.......
0x0020
7002faf086160000020405b401010402
p...............
18:12:36.448124172.168.0.36.2232>172.168.97.176.445:S1068654094:1068654094(0)win64240<mss1460,nop,nop,sackOK>(DF)
0x0000
4500003011a1400080062e02aca80024 E..0..@........$
0x0010
aca861b008b801bd3fb25e0e00000000 ..a.....?.^.....
0x0020
7002faf024d40000020405b401010402
p...$...........

But1:pargnezdescotsdebande
passanteinternationale
Layer
4
3

2
1

T e c h n ic a lp rin c ip le
C a c hin g, D e te c t/B lo c k S pa m / V ir us e s
(B a ye s ia n F ilte rs )
T ra ffic s h a p in g (Q u e u e in g P rin c ip le s )
T ra ffic a c c o u n tin g (S N M P , P ro m is c .)
N e tw o rk Ac c e s s C o ntro l(F ire w a llin g )
Tra ffic s ha pin g
Tra ffic a c c o untin g (S N M P , P ro m is c )
W ire le s s A c c e s s C o n tro l
C o lle c tW ire le s s L a y e r2 D a ta (S N M P )

Conclusions

Lasurveillancededonnesbrutesn'aidepas!
Vousdevezsurveillerpouravoirunebonnegestionde
rseau
Ayezdesbuts,trouvezleprincipetechniqueetchoisissez
votreoutils.
Sicetoutilnefaitpascequevousvoulez,ouestloinde
fairecequevouscoulez,envisagezd'enconstruireun.