Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

free

  • La sécurité pas chère : Surveillance et analyse réseau, partie I

    Voilà j'ai décidé sur mon blog de faire une petite série d'article nommée : la sécurité pas chère :).
    Le but est de prendre certains produits commerciales du marché (performant ou pas), et de voir comment mettre en place les même fonctionnalités avec du libre.
    Pour cela je ferais dans un premier temps l'analyse du produit, puis celle des équivalents libres (je mettrais aussi des articles sur mon site afin de montrer comment configurer ces équivalents).
    Je veux bien sur éviter de partir dans le troll libre/non libre, donc je m'attacherais uniquement à la partie technique.
    Donc la première série de ces articles sera sur ... Norton Antivirus ... non je troll, j'ai choisi les sondes d'analyses et de surveillance réseau, dans un premier temps je voulais citer des marques, mais il m'a été conseillé de ne pas le faire.

    Comment cela fonctionne :
    Au fait pour mettre en place une sonde de surveillance c'est assez facile, la sonde se met en "parallèle" du flux réseau (au putain la remonté des études en électrotechnique :)), en gros vous faites un port mirroring du flux que vous désirez analyser vers la sonde, et elle se charge du reste.
    Sur la sonde un OS propriétaire est installé (au fait, dans les cas que j'ai rencontré il s'agit d'un FreeBSD modifié, notamment au niveau du système de fichier afin de pouvoir enregistrer et traiter les données plus rapidement et efficacement). Ensuite un bon nombre d'outils vous donne la possibilité d'analyser, de visualiser et de rejouer le trafic qui a été enregistré par la sonde (parmi ces outils y a snort d'ailleurs).
    Le tout se fait via une interface web.
    Voilà (en gros bien sur car c'est un peu plus complexe que ça mais voilà ...).
    Je vais donc essayer de lister des outils, et de faire des docs qui vont avec, qui pourraient permettre de simuler ce produit (et vu que je parle de pas cher, on va essayer de chiffrer le tout en matos/ coût humain tant qu'on y est :)).

    Commençons :
    Tout d'abord le matériel, bon pour faire une petite sonde, il nous faut une box avec 3 cartes réseaux (une recording, une d'administration et une pour rejouer le trafic enregistré). Pour pouvoir enregistrer pas mal de chose on va aussi se prendre 2 To de DD (sans RAID hein on fait pas 
    de backup :), oui j'ai pas dis que j'allais faire tout à votre place non plus).
    En choisissant du matériel, un minimum stable, mais pas cher, on peu facilement se faire un tour pour 400€ de budget.

    Passons maintenant à l'Os, comme dit plus haut c'est un FreeBSD modifié, donc vous pouvez très bien choisir un FreeBSD ou n'importe quel *BSD, mais moi juste pour faire un peu troller je vais prendre un GNU/Linux :).

    Donc maintenant voici quelques idées d'applications à mettre en oeuvre pour analyser/surveiller le trafic réseau :
    .ntop
    .etherape
    .tcpdump
    .wireshark
    .Snort
    et d'autres ...

    Nous verrons comment mettre en place tout cela dans le prochain petit article sur le sujet (et surtout comment faire fonctionner entre eux les outils afin que ce soit pas trop borde*****), qui sait peut-être pour Noël :).

    Bonne journée à tous et à toutes.

    P.S. : Article court, car à l'origine j'avais décris plus précisément un outil existant, mais comme dit plus haut, il m'a été déconseillé de citer une marque en particulier.