Jump to content

Archived

This topic is now archived and is closed to further replies.

ggbce

Outil analyse réseau trafic complet

Recommended Posts

Bonjour,

Depuis longtemps j'utilise des logiciels tel que Sarg, Cacti, NTOP, etc. pour analyser le trafic réseau sur des serveurs. Voilà que j'ai une demande un peu particulière d'un client où je ne retrouve pas l'outil idéal pour générer un résultat satisfaisant. Le concept est fort simple: J'ai un serveur en passerelle sur lequel je dois "analyser" le trafic pour savoir tout ce qui est visité par les postes clients sur le réseau local vers l'Internet (et pas uniquement le http). Je dois également savoir à quelle moment chaque visite s'est produite et pour quelle durée (si possible).

C'est un client qui a beaucoup d'employés et qu'il redoute une utilisation non autorisé de l'accès Internet par divers moyen. Il est difficile pour lui de bloquer des accès sur des ports TCP/UDP/Stream, etc. en raison que l'entreprise a besoin de ces types de communication. La base c'est de ne rien bloquer, mais pouvoir savoir ce qui est passé !

filtrage_trafic.png

Le dessin n'est qu'un exemple de ce que le client voudrait. Le principe est similaire à ce que l'on peut faire avec Sarg pour SQUID (voir le moment précis et la destination de visite par client) mais étendu à tous les ports de communications (TCP/UDP/ICMP...). Si un utlisateur est un gros consommateur de la bande passante sur un port non standard, il m'est difficile de le prouver. Des outils comme NTOP montre le trafic par utilisateur, le rapport contient en partie la quantité de trafic, l'appx. de la transaction, le port, mais pas la(les) destination(s). Cela n'est pas suffisant car ça ne permet pas d'identifier le trafic "normal" du "interdit".

Je ne vois qu'un outil qui puisse s'attacher à IPtables qui pourrait faire cela ou directement une capture de l'interface réseau. Contrairement à SQUID qui analyse des LOG. Le principe serait d'avoir un NTOP en meilleur sur lequel je conserve l'historique de visite pour tout le trafic (port, destination, heure, durée, taille par visite)

Merci pour vos suggestions.

NOTE: Le serveur qui sert de passerelle est un serveur Debian Squeeze 6.0.8.

Share this post


Link to post
Share on other sites

Ggbce,

j'ai pas particulièrement de compétence dans tout cela mais juste, une capture de l'interface réseau, ça serait pas genre méga lourd comme procédé ? Du point de vue "mise en œuvre".
Je connais juste un peu Wireshark... tu pourrais alors filtrer la capture sur des ports de communication spécifiques, enregistrer le tout dans du fichier plat puis écrire du script pour analyser cette capture. Non, j'ai bon ?
Faut coder quoi... c'est long...

Du coup, as-tu jeté un œil du côté d'outils (scripts, petit programmes) d'analyse de trames type "sortie Wireshark" qui pourraient être proposés par la communauté ? J'entends pas là des outils moins pro, qui relèvent plus "de la bidouille".

Share this post


Link to post
Share on other sites

Malheureusement j'ai pensé à Wireshark et il est un "peu trop" de bas niveau d'observation. Il dit vraiment tout, mais trop tout :fou:

Ça devient trop lourd à consulter pour de l'analyse sur plusieurs semaines/mois. C'est un entre deux que j'ai besoin, tel que je l'ai montré en dessin. Un outil qui probablement capture en direct le traffic... mais ne conserve par la donnée du traffic, uniquement la trace ! Et commule le tout dans une BDD qui peut se consulter par une interface web en live (ou données mis à jour à intervale programmée).

Le dessin était basique, mais le concept pourrait plutôt en être à monter deux trois méthode de vue: une liste par poste client, une liste par port fréquenté (facultatif), une liste par destination fréquenté (facultatif).

Et par exemple, je sélectionne le poste client, dans cette fenêtre je vois la liste des destinations visitées (adresse de destination + port, sans la date) et par exemple cette personne aurait consulté 10 fois le site facebook dans la journée, je clique sur la destination pour voir les 10 visites effectuées à une telle heure (comme on peut faire avec Sarg)...mais pour tous les types de protocole.

Évidemment pour ne pas alourdir le tout, il serait fort intéressant d'avoir un outil que l'on peut déterminer des exclusions (par exemple ne pas tenir compte du port UDP/53 pour le DNS, etc.) mais qu'en même temps le par défaut ce ne soit pas de rien capturer, mais tout capturer en ayant des exclusions.

Ça doit exister des logiciels comme ça, il y a un paquet de grandes entreprises qui ont de outils pour analyser l'ensemble du trafic et par la suite ont des preuves d'accès à des sites illégaux par leurs employés.

Bref, si un logiciel comme Sarg pourrait lire des LOG que Iptables génèrerait lorsqu'un paquet serait routé par le forwarding ou encore bloqué ce serait génial. Des boîtes comme Fortigate offrent des solutions tel que expliqué. Et on sais très bien que des boîtes noires comme ça c'est un Linux en arrière-plan. Donc les outils doivent forcément être disponible d'une manière à l'installer sur une distribution.

Merci

Share this post


Link to post
Share on other sites

Oh ok. Tu souhaites en fait l'outil sur étagère, tout le paquet quoi. Je n'avais pas saisi ;)

Du coup, même si tu écartes des outils comme Wireshark, je te partage ce que j'ai visité en 15 minutes, le temps que tu formules ton message.
Il y a pas mal d'outils qui viennent derrière Wireshark pour le rendre apparemment un peu moins bas niveau, surtout en monitoring/tracing : ici
Certains sont même équipé de GUI : .

Construire l'outil de visualisation des données qu'un assemblage d'outils comme ça peut te produire from scratch, j'imagine que c'est la galère...
Puis effectivement, j'imagine bien qu'il y a des outils clé en main qui font tout cela... là, je suis un total ignorant...

Bonne continuation.

Share this post


Link to post
Share on other sites

Je pense que tu pourrais utiliser SNORT ou SURICATA qui sont des IDS mais qui correctement configurés peuvent être des outils de monitoring puissant.Il suffit de placer ton serveur en mirroring de port sur le routeur de sortie.

Share this post


Link to post
Share on other sites

Merci pour les infos.

Dans la liste que Malock a envoyé j'ai également trouv. ces 4 logiciels: ChaosReader, Ettercap, Junkie et JustSniffer. Le plus intéressant semblerait être JustSniffer. Encore là, incluant les suggestions de Informel, est-ce que quelqu'un a déjà travaillé avec ces outils pour m'en donner des suggestions ? C'est dommage de passer des semaines de tests et finalement voir que ça ne donne rien d'intéressant. Il y a tellement de logiciels qui n'ont pas évolués et le contraire... Du genre, quelqu'un pourrait dire: "ChaosReader, toucghes pas à ça... c'est de la m****!".

Merci :)

Share this post


Link to post
Share on other sites

tu te connecte en ssh sur ton routeur :

de la tu installe tcpdump, et avec tu lance ta loupe réseau :

tcpdump -i [eth0] -ttttt and not port 22 -X -x

-i eth0 est ton interface LAN

-tttt c'est pour acctiver l'horodatage complet

and not port 22 c'est pour ne pas se manger tout le flux ssh de ta connexion, sinon ca inondera tes résultats

normalement avec le -X uniquement ca marche, mais jrajoute le -x, en gros ca permet d'afficher la trame complète (et par conséquent l'entete, tu peux voir l'objet d'une rech google, et faire plein d'aurtes bétises, etc..

good luck

Share this post


Link to post
Share on other sites

×
×
  • Create New...