Visualiser l’utilisation du réseau avec ntop
Une fois la politique de sécurité déployée (pare-feu, access-lists de VLAN, ...), après que les règles
d’usages aient été maintes fois rappelées aux utilisateurs, il est important de pouvoir visualiser l’usage courant du réseau. La suite de ce chapitre présente ntop qui répond à cet impératif.
1 - Présentation générale
ntop est un outil de mesure et de caractérisation du trafic sur un réseau. Il fonctionne en temps réel et montre l’usage courant du réseau via une interface Web. ntop utilise la bibliothèque portable libpcap (comme ethereal et tcpdump) pour capturer les paquets sur une ou plusieurs interfaces réseaux.
ntop utilise les couches 2 et 3 pour présenter par machines, une synthèse de tous les protocoles utilisés (TCP, UDP, ICMP, ICMPv6, DLC, IPX, Decnet, (R)ARP, AppleTalk, NetBios, OSI, IPv6, STP, IPSEC, OSPF, IGMP). Dans le cas spécifique du protocole IP, le trafic est caractérisé par protocoles applicatifs incluant les suivants : FTP, HTTP, DNS, Telnet, NBios-IP, Mail, DHCP-BOOTP, SNMP, NNTP, NFS/AFS, VoIP, X11, SSH, Gnutella, Kazaa, WinMX, DC++, eDonkey, BitTorrent, Messenger.
Parmi les fonctionnalités de ntop, on peut citer les suivantes :
- graphes du débit global du réseau pour le mois en cours, les dernières 24 heures, les dernières 60 minutes, les dernières 10 minutes ;
- caractérisation du trafic par machine et protocole en séparant éventuellement les machines locales et les machines distantes. Par défaut, les résultats sont classés par ordre décroissant de trafic constaté ;
- détails de la consommation de chaque machine sur les dernières 24 heures permettant de mettre en évidence les usages (détails des connexions, sessions TCP et UDP actives, ...) ;
- statistiques d’usage par domaines avec caractérisation du trafic par protocoles;
2 - Déployer ntop
ntop capture et analyse les paquets qu’il voit passer. Son positionnement détermine donc les flux qui seront monitorés. Pour la mise en place d’un service ntop (une sonde) il est conseillé d’utiliser deux interfaces : l’une pour l’accès à la machine et au service WWW de consultation, l’autre pour capturer le trafic. Par ailleurs, il est indispensable de configurer l’interface utilisée pour capturer le trafic dans une plage d’adresse IP non routable.
2.1 Quelques options de démarrage de ntop
Parmi les options de démarrage de ntop, on peut mentionner les suivantes :
- [-i interfaces] : une liste d’interface (séparées par des virgules) de capture (-i eth1, eth2) ;
- [-m reseaux locaux] : une liste de réseaux (séparés par des virgules) pour indiquer quels sont les réseaux locaux afin de procéder à la séparation du trafic (local, distant). Par défaut ntop trouve cette information en interrogeant la configuration de l’interface de capture, si elle configurée dans une plage d’adresse non routable, alors en l’absence de précision, tout le trafic est considéré comme distant ;
- [-o] : dans certains cas, notamment lorsque l’interface de capture reçoit du trafic issu d’un port configuré en SPAN , il est nécessaire de positionner cette option (Situations which may require this option include port/VLAN mirror, ...) ;
2.2 Comment placer la sonde
Dans le cadre d’un réseau commuté, par défaut, une sonde ne peut avoir accès qu’au trafic destiné à la machine qui l’héberge. Ce n’est évidemment pas ce qui est en général recherché. Pour élargir le champ de vision, il est nécessaire de choisir un des trois dispositifs suivants :
- utiliser un concentrateur (hub) comme point de passage obligé du trafic à analyser. Cette méthode est simple, elle peut servir pour effectuer quelques essais. Elle ne peut évidemment pas être utilisée en production, car outre les problèmes de sécurité liés au partage du média, le mode de fonctionnement half-duplex peut rendre inopérants certains services (diffusion de vidéos en streaming, ...) ;
- configurer le port utilisé par l’interface de capture en mode SPAN (Switch Port ANalyser ). Dans ce cas, le port configuré va recevoir un duplicata du trafic des ports à analyser. La mise en œuvre de cette fonctionnalité est très simple, elle dépend évidemment des commutateurs utilisés. L’exemple suivant montre les commandes nécessaires pour configurer des commutateurs CISCO (dans les deux cas l’interface Fa0/11 reçoit un duplicata du trafic des ports Fa0/12 et Fa0/13) :
– Commutateurs 2950
monitor session 1 source interface Fa0/11
monitor session 1 destination interface Fa0/12
monitor session 1 destination interface Fa0/13
– Commutateurs 3500
!
interface FastEthernet0/11
port monitor FastEthernet0/12
port monitor FastEthernet0/13
switchport access vlan x
!
- utiliser un dispositif qui duplique le signal (network tap) pour permettre de réaliser une dérivation du réseau sur laquelle la sonde pourra être installée.
Cette solution autorise de placer des sondes totalement furtives (invisibles du reste du réseau), elle est à privilégier dans les environnements très sensibles.
2.3 Quelques exemples d’utilisation de ntop
Les figures suivantes montrent les résultats obtenus par une sonde placée à l’extrémité d’un réseau (juste avant le pare-feu). Le niveau de détail obtenu permet d’atteindre l’objectif d’une meilleure connaissance des usages.
Les figures 2.1 et 3.1 montrent le trafic avec des machines distantes caractérisé par protocoles. Les figures 3.2 et 3.3 illustrent le détail qui est obtenu lorsqu’un administrateur s’intéresse particulièrement à l’activité (présente et passée) d’une machine. La figure 3.4 permet de constater si l’activité est conforme aux prévisions, notamment la nuit.
Figure 2.1: ntop caractérise les protocoles utilisés
3 - Déployer ntop
Figure 3.1: ntop caractérise les protocoles applicatifs utilisés
Figure 3.2: ntop détaille l’activité d’une machine (1)
Figure 3.3: ntop détaille l’activité d’une machine (2)
Figure 3.4: ntop présente des statistiques d’utilisation
>>> CHAPITRE IV : Détecter les vulnérabilités
Aucun commentaire:
Enregistrer un commentaire