RAPPORT DE PROJET DE FIN D’ÉTUDE

Filière

Licence Professionnelle en Informatique (LPI)

Option

Gestion des Systèmes et Réseaux (GSR)

Elaboré par
Mohamed Es-said ELARIB
Khadija Zakraoui

Année universitaire : 2011/2012

Mise en place une solution NetFlow avec le Collecteur NfSen
 Re merc ie me nts

Une agréable occasion se présente, enfin à nous, pour exprimer nos

reconnaissances auprès de toutes les personnes, dont l‟intervention à la
réalisation de ce rapport.

Nos sincères mots de remerciements vont à l‟égard à

notre responsable de la formation qui veille au bon déroulement
des études dans des conditions favorables permettant une formation de haute
qualité, et pour son accueil chaleureux et sa bonne humeur permanente.

Notre deuxième remerciements iront à

pour les directives précieuses et les conseils avisés
qu‟il nous a prodigués afin de Réaliser ce stage. Nous aimerons leur adresser
nos plus vifs remerciements pour tout leur dynamisme, leur tolérance, leur
disponibilité, leurs compétences scientifiques et leurs exceptionnelles idées que
nous apprécier tout au long de notre stage. Ce travail n'aurait jamais pu aboutir
sans eux, qui ont toujours su nous consacrer des moments de leur temps, nous
guider et nous conseiller et nous témoigner leur soutien et leur confiance. Nous
souhaitons leur transmettre l'expression de nous plus profonde et sincère
gratitude.

Nos remerciements s‟adressent aussi à tous les professeurs du LPI -GSR

,nous tenons à exprimer notre gratitude aux membres du Jurys pour avoir
accepté de juger notre travail.

Mise en place une solution NetFlow avec le Collecteur NfSen

 Ré su mé

La gestion d‟un système d‟information est aujourd‟hui un continuel défi,

qui englobe un déploiement judicieux des logiciels et des applications à travers
le réseau administré, une surveillance permanente et une administration
rigoureuse des composants de ce réseau. Ce défi est relève grâce à de puissantes
plateformes de supervision de réseaux.

Lorsqu'il y a un nombre important d'ordinateurs dans une entreprise, cela

devient très difficile à gérer. C'est pourquoi il est utile d'utiliser un logiciel qui
aide l'administrateur à superviser tout son parc informatique.

Alors notre projet de stage consiste donc à superviser un réseau grâce à

l'outil Netflow. Ce rapport résumera les trois étapes de notre projet :
Compréhension, installation, et déploiement de Netflow.

Pour cela notre rapport est divisé en quatre chapitres le premier consiste à
présenter le contexte générale de notre stage. Le deuxième concerne l‟étude et le
critique du réseau CNRST, et la proposition d‟une solution compatible. Le
troisième présente la conception de la solution Netflow avec NfSen et la mise en
place complète de la solution. Enfin, dans le dernier chapitre nous abordons le
teste de Netflow.

Mise en place une solution NetFlow avec le Collecteur NfSen

 T ab le de mat ière

Tables des figures .............................................................................................................................. 6

Introduction Générale ...................................................................................................................... 7
Chapitre 1: Contexte générale du stage................................................................................................ 8
1. Présentation de l‟entreprise ..........................................................................................................9
1.1 Missions ..............................................................................................................................9
1.2 Administration .....................................................................................................................9
1.3 La coopération scientifique et technique .............................................................................10
1.4 Départements .....................................................................................................................10
1.5 Division « MARWAN ».....................................................................................................11
1.6 Organisation du CNRST ....................................................................................................13
2. Les objectifs du stage ................................................................................................................14
3. Planning ....................................................................................................................................14
Chapitre 2: Étude du réseau et recherche des solutions ................................................................ 15
1. Architecture du réseau CNRST..................................................................................................16
2. Problématiques ..........................................................................................................................16
3. Proposition de solution ..............................................................................................................17
3.1 Définition de la supervision d‟un réseau : ...........................................................................17
3.2 La raison d‟utiliser un outil de supervision .........................................................................18
Chapitre 3: Déroulement de projet ................................................................................................ 19
1. Collecte des données avec netflow .............................................................................................20
1.1 Mise en œuvre ...................................................................................................................25
1.2 Conclusion .........................................................................................................................27
2. Stockage et traitement des données avec NFDump.....................................................................27
1.3 Traitement des captures Netflow par NFDUMP..................................................................29
1.4 Conclusion .........................................................................................................................30
3. Présentation graphique avec NfSen ............................................................................................31
3.1 Préparation de l‟installation de Nfsen .................................................................................31
3.2 Installation et configuration ................................................................................................32
3.3 Présentation de l‟interface graphique NfSen .......................................................................35
4. Conclusion ................................................................................................................................45
Chapitre 4: Test de la solution........................................................................................................ 46
1. Utilisation de NfSen dans le réseau ............................................................................................47
2. Conclusion ................................................................................................................................51
Conclusion générale ........................................................................................................................ 52
Bilan du projet ................................................................................................................................ 53
Sitographie ...................................................................................................................................... 54

Mise en place une solution NetFlow avec le Collecteur NfSen 5

 T ab les des f igure s

Figure 1: Réseau MARWAN ....................................................................................................... 12

Figure 2: Organigramme............................................................................................................... 13
Figure 3: Réseau CNRST ............................................................................................................. 16
Figure 4: Sous réseau utilisé pour les tests .................................................................................. 20
Figure 5: Le routage classique ..................................................................................................... 23
Figure 6: Le routage accéléré, premier paquet d‟un flux............................................................ 23
Figure7: Le routage accéléré, paquets suivant ............................................................................ 24
Figure 8: Principe de NetFlow ..................................................................................................... 25
Figure 9: Principe de fonctionnement .......................................................................................... 28
Figure 10: Traitement par NFDump ............................................................................................ 29
Figure 11: Déroulement d'analyse................................................................................................ 30
Figure 12: Structure du répertoire ................................................................................................ 32
Figure 13: Les onglets de navigation ........................................................................................... 35
Figure 14: La vue détailler............................................................................................................ 36
Figure 15: Contrôles de traitement Netlow ................................................................................. 37
Figure 16: L'intervalle de temps ................................................................................................... 37
Figure 17: Choisir un intervalle de temps ................................................................................... 38
Figure 18: Frontaliers de données disponibles ............................................................................ 39
Figure 19: La fenêtre de temps ..................................................................................................... 39
Figure 20: Fenêtre temporelle choisie ......................................................................................... 40
Figure 21: Le résumé statistique .................................................................................................. 40
Figure 22: Graphique linéaire....................................................................................................... 41
Figure 23: Traitement Netflow ..................................................................................................... 42
Figure 24: Filtre par défaut ........................................................................................................... 43
Figure 25: Sélection du profil ....................................................................................................... 44
Figure 26: Home NfSen ................................................................................................................ 47
Figure 27: Graphs.......................................................................................................................... 48
Figure 28: Details .......................................................................................................................... 48
Figure 29: Option d'affichage ....................................................................................................... 49
Figure 30: Filtre ............................................................................................................................. 49
Figure 31: Création d'un profil ..................................................................................................... 50
Figure 32: Création d'alerte .......................................................................................................... 50
Figure 33: Conditions d'alerte ...................................................................................................... 51

Mise en place une solution NetFlow avec le Collecteur NfSen 6

 Intr odu ct ion Généra le

Actuellement aucune entreprise ne peut pas se passer d'outils informatiques, et très

souvent un réseau informatique de taille plus ou moins importante est mis en œuvre. Le
nombre des machines dans ces réseaux peut parfois devenir extrêmement élevé, La
maintenance ainsi que la gestion de ces parcs informatiques deviennent alors des enjeux
cruciaux, d'autant plus qu'une panne du réseau peut parfois avoir des conséquences
catastrophiques.

C'est pourquoi les administrateurs réseau font appel à des logiciels de surveillance et
de supervision de réseaux. Ces logiciels vérifient l'état du réseau ainsi que des machines
connectées et permettent à l'administrateur d'avoir une vue d'ensemble en temps réel de
l'ensemble du parc informatique sous sa responsabilité. Il peut être aussi informé par email en
cas de problème. Grâce à un tel système, les délais d'interventions sont fortement réduits.

Le CNRST, comme la majorité des entreprises ou des administrations aujourd‟hui,

s‟appuie sur un grand réseau informatique. Or il difficile pour les administrateurs d‟avoir des
informations en temps réel sur l‟activité de leur réseau.

C‟est donc dans ce contexte que Monsieur Redouane MERROUCH chef de la division
technologies, informations et de communications du CNRST nous a proposé Netflow comme
sujet de stage d‟application au sein du CNRST.

Après une brève description du réseau de CNRST, nous reviendrons sur cette
problématique puis nous présenterons le déroulement du projet avec ces trois phases : collecte
des données, stockage des données et interface de présentation. Enfin nous aborderons un test
sur le fonctionnement de cette solution.

Mise en place une solution NetFlow avec le Collecteur NfSen 7

 C ontext e généra le d u st a ge

Dans ce chapitre nous présentons le centre national de recherche

scientifique et technique, l’organisme d’accueil, ainsi le contexte général
et les principaux objectifs du stage. Et enfin, il présent un planning
prévisionnel du déroulement du stage.

Mise en place une solution NetFlow avec le Collecteur NfSen 8

 1. Présentation de l’entreprise
Le Centre National pour la Recherche Scientifique et Technique est un établissement
public doté de la personnalité morale et de l'autonomie financière. Il a été créé par Dahir
(Décret Royal) du 5 août 1976 et a démarré ses activités en 1981. Il est actuellement placé
sous la tutelle administrative du Ministère de l'Enseignement Supérieur, de la Formation des
Cadres et de la Recherche Scientifique.

1.1 Missions

Les missions du CNRST sont en relation étroite avec les nouvelles orientations qui lui
sont confiées. Il sera notamment chargé :

 de mettre en œuvre des programmes de recherche et de développement technologique dans

le cadre des choix et priorités fixés par l'autorité gouvernementale de tutelle ;
 de contribuer à la diffusion de l'information scientifique et technique, et à la publication de
travaux de recherche et d'assurer des travaux de veille technologique ;
 d'apporter son concours au renforcement de l'infrastructure national de recherche ;
 d'effectuer des prestations de services au profit des opérateurs de recherche et de contribuer
à la valorisation et au transfert des résultats de recherche ;
 d'établir des conventions ou contrats d'association, dans le cadre des activités de recherche
ou des services, avec les établissements et organismes de recherche publics ou privés ;
 de créer des synergies entre les différentes équipes de recherche qui travaillent sur des
thématiques prioritaires (réseaux, pôles de compétence) ;
 de procéder à l'évaluation et d'assurer le suivi de toutes les activités de recherche ou de
services dans lesquelles il est impliqué.

1.2 Administration

Le Centre National pour la Recherche Scientifique et Technique comprend, outre le

Conseil d'administration et le Directeur mentionnés à l'article 5 de la loi du CNRST n° 80-00,
une administration centrale et des unités de recherche propres et associées.

L'administration centrale comporte :

 Le Conseil scientifique ;
 Les Comités scientifiques ;
 Le Département des Affaires scientifiques et techniques ;

Mise en place une solution NetFlow avec le Collecteur NfSen 9

 Le Département des Affaires générales et de la Coopération.

Le Conseil scientifique, présidé par le Directeur du Centre, est placé sous l'autorité
directe du Conseil d'administration. Il est, conformément aux dispositions de l'article 10 de la
loi précitée, chargé des questions scientifiques relatives aux activités du Centre.

1.3 La coopération scientifique et technique

Le CNRST travaille en partenariat avec plusieurs autres organismes scientifiques et

techniques étrangers à savoir :

 CNRS : Centre National de Recherche Scientifique français ;

 DFG : organisme allemand de promotion de la recherche ;
 CNRI : Conseil National de Recherche italien ;
 CSIC : Conseil Supérieur de la Recherche Scientifique espagnol ;
 INSERM : Institut National de la Santé et de Recherche Médicale français ;
 ICCTI : Institut de Coopération Scientifique et Technologique International portugais.

Le bénéfice de ses accords de coopération est ouvert à l'ensemble de la communauté

scientifique marocaine. Des appels à projets sont régulièrement publiés dans la lettre
d'information du Centre.

1.4 Départements

Le Département des Affaires scientifiques et techniques a pour mission principale de

coordonner les activités de recherche et d'assister le Directeur en matière de gestion et
d'exécution des décisions du Conseil d'administration.

Le Département des Affaires scientifiques et techniques comporte plusieurs divisions et

services :

 La Division du Réseau Informatique Universitaire et de Recherche (MARWAN) ;

 La Division de l'Institut Marocain de l'Information Scientifique et Technique (IMIST) ;
 La Division des Unités d'Appui Techniques à la Recherche Scientifique (UATRS) ;
 La Division de l'Institut National de Géophysique ;
 La Division des Affaires administratives et de Coopération ;
 La Division de Gestion et Finances (D.G.F).

Mise en place une solution NetFlow avec le Collecteur NfSen 10

 1.5 Division « MARWAN »

Moroccan Academic and Research Wide Area Network, plus connu sous l'acronyme
de « MARWAN » est le réseau informatique national à but non lucratif, dédié à l'éducation, à
la formation et à la recherche. Il a pour objectif de mettre en place une infrastructure
d'information et de communication entre les établissements de formation et d'enseignement.
Depuis sa création en 1998, MARWAN a permis aux universités marocaines de développer
de nouveaux services en matière d'enseignement, de transfert de technologie et de recherche
scientifique.

Dans le cadre du lancement du programme d'urgence de l'éducation national pour la

période 2009-2012, le Centre National pour la Recherche Scientifique et Technique (CNRST)
lance une nouvelle version du réseau MARWAN. Le CNRST s'appuie sur l'évolution des
technologies de communication à l'échelle internationale pour améliorer la qualité, le service
et l'architecture du réseau de MARWAN afin qu'il réponde aux standards internationaux et
aux exigences liées à la modernisation de l'Université marocaine. Pour cela, le CNRST a
sollicité les opérateurs nationaux de télécommunication pour proposer une nouvelle version
du réseau MARWAN qui intègre les évolutions techniques de ces dernières années. L'offre de
l'opérateur Méditel a été retenue en commun accord avec les universités.

Dans sa nouvelle topologie, MARWAN 3 offre aux établissements et universités un

choix de débits entre 2 et 100 Mbps. Sa connexion avec le réseau GEANT est réservée
uniquement au trafic académique. Tout le trafic internet « commercial » est véhiculé par un
autre lien Internet à partir du cœur du réseau fourni par Méditel.

Dans sa nouvelle version, MARWAN facilitera la réalisation des actions programmées

par les universités dans leurs projets d'établissement et fournira l'infrastructure réseau aux
projets lancés par le ministère en collaboration avec les universités et le CNRST à savoir :

 Application pour l'Organisation et la Gestion des Etudiants et des Enseignements;

 Environnement Numérique de Travail ;
 Campus Virtuel Marocain ;
 Grille de Calcul National ;
 Institut Marocain de l'Information Scientifique et Technique ;
 Système d'Information Global ;
 Système de Visioconférence.

Mise en place une solution NetFlow avec le Collecteur NfSen 11

 Figure 1: Réseau MARWAN

Mise en place une solution NetFlow avec le Collecteur NfSen 12

 1.6 Organisation du CNRST

La structure du CNRST se présente comme suit :

Figure 2: Organigramme

Mise en place une solution NetFlow avec le Collecteur NfSen 13

 2. Les objectifs du stage
Le stage professionnel de Licence LPI-GSR fait partie intégrante de la formation, doit
nous permettre d‟évaluer dans quelle mesure nos attentes sont-ils adéquate avec les réalités du
monde professionnel. Il met à l‟épreuve notre capacité d‟adaptation à un nouvel
environnement humain et professionnel. Ce stage est fondamental pour notre avenir
professionnel. Le but de la réalisation de ce stage à deux grands objectifs est :

 favoriser une meilleure éducation à l‟orientation et valoriser nos acquis ;

 favoriser la découverte de nous-mêmes dans un autre environnement que la faculté.

Premièrement il faut étudier le fonctionnement du système d‟informations utilisé dans

CNRST, et émettre des critiques ou des propositions d‟amélioration repérer d‟éventuels
besoins. Ensuite dresser la conception de la solution proposée, et la mettre en place le système
conçu.

3. Planning

Mise en place une solution NetFlow avec le Collecteur NfSen 14

 É t u d e d u r é se a u et r e c her c he d e s so lut io ns

Lorsqu‟il est question de choisir une solution de gestion de l‟infrastructure

physique de réseaux informatiques, il est impératif de se pencher sur la gestion
de réseaux afin d‟avoir une bonne visibilité sur toutes les composantes assurant
un fonctionnement fiable de l‟infrastructure physique et logique de réseau
critique. Les solutions de gestion d‟éléments constituent l'approche idéale.

Mise en place une solution NetFlow avec le Collecteur NfSen 15

 1. Architecture du réseau CNRST

Figure 3: Réseau CNRST

2. Problématiques
Les meilleurs dispositifs de sécurité ne peuvent pas protéger de façon optimale un
réseau s‟ils ne sont pas correctement supervisés. Ainsi, la sécurité d‟un réseau repose d‟une
part sur l‟architecture et son adéquation aux besoins des composants qui le constituent, mais
aussi sur l‟administration et la supervision.

Aussi toute panne ou incident peut entrainer de lourdes conséquences sur le système
d'information:

 Financières ;
 Organisationnelles ;
 Crédibilité.

Et dans le cas d‟un réseau complexe, il est impossible de faire une surveillance manuelle.

Le Centre National pour la Recherche Scientifique et Technique a un besoin d‟être proactif

face aux incidents qui se produisent ou peuvent se produire.
Mettre en place une solution NetFlow avec le collecteur NfSen 16
Ceci dit que les administrateurs du réseau CNRST a besoin de :

 Connaître les usages et les applications du réseau ;

 Mesurer l‟efficacité du réseau et des ressources ;
 Détecter les incidents, les anomalies et les vulnérabilités ;
 Intervenir dans l‟urgence en cas de problème ;
 Anticiper l‟évolution du réseau, appréhender l'impact de changements ;
 Planifier l‟introduction de nouvelles applications ;
 Améliorer les performances pour les utilisateurs ;

3. Proposition de solution
Le CNRST développe une multitude d'applications liées à l'évolution croissante du
réseau informatique, qu‟il administre. Ces différentes applications font l'objet des projets
proposés aux stagiaires.

Le projet qui nous a été confié concerne la métrologie en temps réel sur le réseau Ethernet.

L‟objectif de ce projet consiste à la mise en œuvre d'une solution permettant le suivi

du réseau par la visualisation des informations sur l'occupation du réseau en temps réel. Cette
application comporte trois parties :

 Collecte des informations transitant par le routeur du CNRST ;

 Stockage de celles-ci dans un collecteur ;
 Analyse statistique et affichage en temps réel à travers une interface graphique.

3.1 Définition de la supervision d’un réseau :

D'un point de vue général, la supervision est une fonction dont l'objectif est la
surveillance du bon fonctionnement d'un système ou d'une activité. En informatique, la
supervision fait partie de l'un des cinq domaines fonctionnels de l'administration des réseaux
et des systèmes.

La supervision est un moyen indispensable et incontournable pour qui veut prétendre

remplir correctement les objectifs qui sont affectés à l'administration du réseau et des
systèmes met en œuvre un ensemble de moyens pour :

 Offrir aux utilisateurs un service de qualité ;

 Permettre l'évolution du système en incluant des nouvelles fonctionnalités ;
 Optimiser les performances des services pour les utilisateurs ;

Mise en place une solution NetFlow avec le collecteur NfSen 17

  Permettre une utilisation maximale des ressources pour un cout minimal.

Les fonctions d'administration doivent comprendre :

 L'extraction des informations des éléments du réseau au moyen d'outil. C'est la récolte
ou collecte d'un grand nombre d'information ;
 La réduction du volume d'information au moyen de filtres de façon à ne garder qu'une
sélection d'informations significatives ;
 Le stockage des informations retenues ;
 Des traitements sur ces informations ;
 Des interfaces utilisateur et d'administration sur ces informations.

la supervision fournit les informations et indicateurs nécessaires au pilotage du système

d'information de l'entreprise.

Les services offerts par une solution de supervision:

 Surveiller le système d‟information ;

 Visualiser l‟architecture du système ;
 Déclencher des alertes en cas de problèmes ;
 Effectuer des actions en fonction des alertes.

3.2 La raison d’utiliser un outil de supervision

La supervision vise à faire remonter les informations cachées du système

d'information telles que le taux d'occupation des serveurs, la congestion du réseau ou la
disponibilité des applications distantes. Ces données s'accompagnent souvent d'une démarche
de garantie. La supervision est alors au service d'une gestion globale des performances.

La supervision fournit également la direction informatique en indicateurs objectifs,

remontant les données qualitatives ou quantitatives relatives à la gestion des ressources
informatiques. Ces données permettent également de mesurer les effets de l'application de
nouvelles mesures comme le changement d'un logiciel, la priorisation de flux IP ou
l'optimisation de code. Enfin, dans le cadre de contrats de prestation de services, la
supervision s'avère indispensable pour mesurer l'efficacité du prestataire et remonter
d'éventuels problèmes.

Mise en place une solution NetFlow avec le collecteur NfSen 18

 D ér o u le me nt d e p r o jet

La récupération des données transitant par le routeur du CNRST est

réalisée grâce à NetFlow. Les données ainsi collectées sont ensuite envoyées à
un collecteur. Par intervalle de temps déterminé, les données sont chargées dans
le collecteur sont traitées en vue d'obtenir les informations relatives à cette
période de temps. Ces informations sont ensuite affichées dans une page Web.

Mise en place une solution NetFlow avec le collecteur NfSen 19

 1. Collecte des données avec netflow
Cette phase consiste à récupérer toutes les informations transitant par notre routeur. Dans
notre étude, les informations pertinentes à connaître concernant chaque flux sont :

 Heure de début ;
 Heure de fin ;
 Adresse IP source ;
 Adresse IP destination ;
 Port destination ;
 Protocole ;
 Taille des données.

Durant la phase de développement, pour ne pas perturber le fonctionnement normal du réseau

CNRST, nous avons testé les diverses solutions sur un sous réseau.

Figure 4: Sous réseau utilisé pour les tests

Mise en place une solution NetFlow avec le collecteur NfSen 20

 Grâce à sa flexibilité et à son évolutivité, NetFlow, permet l'optimisation de
l'infrastructure réseau, la réduction des coûts opérationnels, l‟amélioration de la capacité de
planification et la détection d'incidents de sécurité.

C‟est une technologie créée par Cisco, il est devenue pour de nombreux clients le standard de
fait pour collecter des données IP opérationnelles. Ceci permet de:

 Connaître l‟utilisation du réseau par les applications ;

 Comprendre qui utilise le réseau, quand et où ;
 Mesurer l‟efficacité du réseau et l‟utilisation des ressources;
 Appréhender l'impact des changements au réseau ;
 Détecter les anomalies et les vulnérabilités de sécurité de réseau ;
 Auditer la conformité et les processus business.

La technologie Netflow peut être utilisée dans une grande variété d‟applications. Les
utilisations principales sont :

 Surveillance en temps réel du réseau ;

 Profilage applicatif et utilisateur ;
 capacité de planification ;
 Détection et classification d'incidents de sécurité ;
 comptabilité et facturation ;
 Résolution des problèmes.

Netflow a la capacité de caractériser le trafic IP en identifiant pour chaque flux la

source, la destination, l'heure, la durée, la performance, et permettre aussi la résolution des
problèmes. La surveillance des flux IP permet ainsi d‟assurer l‟adéquation de l‟utilisation des
ressources avec les objectifs business de l‟entreprise. Ceci permet par exemple l‟optimisation
de l'utilisation des ressources, la capacité de planification, l‟application d‟une politique de
Qualité de Service (QoS) ou l‟amélioration de la sécurité réseau en détectant les attaques de
type Déni de Service (DOS).

Mise en place une solution NetFlow avec le collecteur NfSen 21

 Application de la technologie NetFlow Description

Analyse des nouvelles applications et de leur Identifier la charge réseau de nouvelles

impact sur le réseau applications telle que la VoIP, ou l‟ajout de
sites distants dans une application client-
serveur.

Réduction des pics de trafic WAN Utilisation des statistiques de NetFlow pour
mesurer le trafic WAN et comprendre qui
utilise le réseau (top talkers/top applications).

Détection du trafic WAN non autorisé Éviter les mises à jour coûteuses de bande
passante en identifiant les applications
responsables de la congestion.

Détection d’anomalies et d’évènements de NetFlow peut être employé pour la détection

sécurité d'anomalies, le diagnostic de problèmes de
sécurité (DoS, Worm)

Validation des paramètres de QoS Confirmer le bon dimensionnement des

paramètres des classes de service.

Le concept de flow est utilisé par Cisco pour optimiser, au sein de ses équipements de
routage, le traitement des flux de données. En effet, l'échange entre deux machines est
généralement constitué de plusieurs trames de données, et le calcul effectué pour le premier
paquet doit pouvoir être réutilisé pour les paquets suivants, afin de minimiser les temps de
calcul du routeur. Un système de cache est donc mis en œuvre, afin de mémoriser la route
calculée. Les routeurs Cisco offrent la possibilité d'exporter le contenu de ce cache, sous
forme de datagrammes UDP.

En effet, dans le routage dit « classique », lorsqu‟un paquet entre dans le routeur, celui-ci doit
le remonter jusqu‟à sa CPU et consulter sa table de routage qui lui indique vers quelle
interface rediriger le paquet et il fait cette manipulation pour tous les paquets.

Mise en place une solution NetFlow avec le collecteur NfSen 22

 Figure 5: Le routage classique

Par contre, dans le routage dit « accélérer », lorsqu‟un paquet entre dans le routeur, celui-ci
consulte son cache Netflow pour savoir si le paquet n‟appartient pas à un flux existant.

Si ce n‟est pas le cas, le paquet suit la même procédure que dans le routage « classique » et le
routeur crée dans son cache Netflow une entrée pour le flux qu‟il vient de détecter. Cette
entrée indique quel chemin doit emprunter tous les paquets appartenant à ce flux.

Parallèlement, il programme de façon hardware l‟acheminement hardware de ce flux entre les

deux interfaces.

Figure 6: Le routage accéléré, premier paquet d’un flux

Mise en place une solution NetFlow avec le collecteur NfSen 23

Dans le cas où le paquet appartient à un flux existant, celui-ci ne remonte pas jusqu‟à la CPU
mais prend le chemin hardware qui a été programmé précédemment et est acheminé
directement vers la bonne interface.

Figure7: Le routage accéléré, paquets suivant

Pour récolter les informations sur les flux en cours, il suffit donc d‟envoyer le contenu
du cache Netflow à une machine de collecte sous la forme des paquets Netflow. Cependant,
l‟envoi de ces paquets ne se fait que lorsqu‟un flux est terminé, ce qui peut poser problème
par exemple dans le cas de protocoles non orientés connexion comme UDP qui ne signale pas
quand une communication est terminée. Il existe donc différentes manières de gérer le cache :

 Terminaison d‟un flux après une période d‟inactivité (à définir), utile pour les flux UDP ;
 Terminaison d‟un flux après une période d‟activité (à définir), utile pour les longues
connexions TCP.

Ces deux options sont très utiles dans le cas où on souhaite faire de la métrologie en « temps
réel ».

Mise en place une solution NetFlow avec le collecteur NfSen 24

 Figure 8: Principe de NetFlow

1.1 Mise en œuvre

Le routeur utilisé pour ces tests est un routeur cisco 2800 .C‟est un routeur combinent
les communications voix, données, vidéo et les services sans fil dans un seul appareil
parfaitement sécurisé et fiable et offrent une modularité qui permettre d'ajouter de nouveaux
équipements pour s'adapter à l'évolution de notre besoins Il a été configuré de la manière
suivante :

 La première étape consiste à mettre en œuvre le collecteur de flow

$ telnet 192.168.5.100
Username: cisco
Password:
Router1>enable
Password:
Enter the enable password...
Configure FastEthernet0/0 to generate Netflow:
NetflowCNRST# configure terminal
NetflowCNRST(config)# ip flow-export source fastethernet 0/0
NetflowCNRST(config)# ip flow-export destination 192.168.5.101 9999
NetflowCNRST(config)# ip flow-export version 5
NetflowCNRST(config)# ip flow-cache timeout active 5
NetflowCNRST(config)# snmp-server ifindex persist
NetflowCNRST(config)#ip flow-top-talkers
NetflowCNRST(config-flow-top-talkers)#top 20
NetflowCNRST(config-flow-top-talkers)#sort-by bytes
NetflowCNRST(config-flow-top-talkers)#exit

Mise en place une solution NetFlow avec le collecteur NfSen 25

  Appliquer la configuration à l‟interface utilisée par la collecte des données

NetflowCNRST(config)# interface FastEthernet 0/0

NetflowCNRST(config-if)# ip flow ingress
NetflowCNRST(config-if)# ip flow egress
NetflowCNRST(config-if)# exit
NetflowCNRST#wr mem
NetflowCNRST#exit

 Consulter les informations collectées depuis le routeur

Netflow#show ip flow top-talkers

SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Bytes
Fa0/0 0.0.0.0 Null 255.255.255.255 11 0044 0043 12K
Fa0/0 192.168.5.7 Null 192.168.5.255 11 445C 445C 1359
Fa0/0 192.168.5.6 Null 192.168.5.255 11 445C 445C 1208
Fa0/0 192.168.5.7 Local 192.168.5.100 06 C4A6 0017 586
Fa0/0 192.168.5.6 Null 199.47.218.149 06 C01B 0050 254
5 of 20 top talkers shown. 5 flows processed.

La commande “show ip flow top-talkers” permet d‟analyser en fonction des plusieurs critères,
la volumétrie des données

 Interface source & destination ;

 IP source & destination ;
 Type de protocole (IP) ;
 Port source & destination ;
 Le volume de données.

Netflow#show ip flow export

Flow export v5 is enabled for main cache
Exporting flows to 192.168.14.242 (9999) 192.168.5.101 (9999)
Exporting using source IP address 192.168.5.100
Version 5 flow records
2643 flows exported in 323 udp datagrams
0 flows failed due to lack of export packet
2 export packets were sent up to process level
0 export packets were dropped due to no fib
0 export packets were dropped due to adjacency issues
0 export packets were dropped due to fragmentation failures
0 export packets were dropped due to encapsulation fixup failures

La commende “show ip flow export” permet de consulter différents paramètres faisant

référence à l‟émission des informations Netflow à destination du serveur de collecte.

Les paramètres sont :

 La version utilisée ;
 L‟adresse du serveur et le port d‟écoute ;
 Un ensemble de statistiques sur l‟état et l‟utilisation de protocole.

Mise en place une solution NetFlow avec le collecteur NfSen 26

Netflow#show ip flow interface
FastEthernet0/0
ip flow ingress
ip flow egress
Voir sur quelle interface et appliquée la collecte et dans quel sens sont collectées les données
dans notre cas, les deux.

1.2 Conclusion

Les paquets Netflow est envoyés à notre machine collectrice 192.168.5.101. Afin de
pouvoir stoker et visualiser le résultat de notre collecte de flux, nous procédons à installer
NFDump sur cette machine, car NFDump est une bonne solution, open source, simple a
mettre en place, et permettant un paramétrage adapté à beaucoup de situations.

2. Stockage et traitement des données avec NFDump

NFDump est un logiciel qui permet de capturer les paquets qui transitent par une
interface et d'en analyser le contenu. Il met en forme les données reçues par la carte réseau
d'une station à différents niveaux (MAC, réseau, transport). Pour réaliser cela, il doit faire
passer l‟interface réseau en mode « promiscuous » pour pouvoir la forcer à s‟occuper de tous
les paquets qui arrivent, y compris ceux qui ne lui sont pas destinés.

Pour chaque paquet, des informations sont affichées à l'écran : les machines source et
destination, les ports source et destination, le type de paquet, les données brutes du paquet,
etc… En analysant ces informations, on peut reconstituer les données transmises sur le réseau.
Comme tous les paquets ne sont pas forcément intéressants, il est possible de définir des
filtres pour ne prendre en compte que ceux qui paraissent utiles au phénomène que l‟on
étudie. On peut filtrer les adresses source ou destination Ethernet, les adresses source ou
destination IP de machines ou de réseaux, les numéros de ports, les types de protocole (dans
notre cas, seul les paquets de type TCP, UDP et ICMP sont traités).

Le principe est d'utiliser des outils qui vont construire des fichiers afin d'en exploiter
les données. Et c'est justement avec les paquets NFDump que nous allons pouvoir
travailler. De ce paquet découle plusieurs commandes dont nfcapd qui va collecter et stocker
les données toutes les cinq minutes sous un format nfcapd, nfprofile qui comme son nom
l'indique va créer des profiles en fonction d'un filtrage spécifique etc.

Toutes les données envoyées par le routeur sont stockées sur le disque, avant d'être
analysées. C'est ce qui sépare le processus de stockage et d'analyse des données. Les données

Mise en place une solution NetFlow avec le collecteur NfSen 27

sont organisées en fonction du temps. Toutes les n minutes - généralement cinq minutes -
nfcapd tourne et renomme le fichier, par exemple, nfcapd.201206081140. L'analyse des
données peut se faire pour un seul fichier, ou par la concaténation de plusieurs fichiers. La
sortie est soit du texte ASCII ou des données binaires.

Figure 9: Principe de fonctionnement

nfcapd - Capture des Netflow :

ubuntu@collector:~$ nfcapd -p 9999 -l ~/Netflow

-l /Netflow : répertoire de stockage des données reçues sous forme de fichier nfcapd.
-p en écoute sur le port 9999.

Cette commande pour lire et stocker les données provenant du réseau Netflow dans des
fichiers situés dans un répertoire qu‟on a déjà créé.

ubuntu@collector:~$ ls Netflow/
nfcapd.201206081051 nfcapd.201206081135 nfcapd.201206081220
nfcapd.201206081055 nfcapd.201206081140 nfcapd.201206081225
nfcapd.201206081100 nfcapd.201206081145 nfcapd.201206081230
nfcapd.201206081105 nfcapd.201206081150 nfcapd.201206081235
nfcapd.201206081110 nfcapd.201206081155 nfcapd.201206081240
nfcapd.201206081115 nfcapd.201206081200 nfcapd.201206081245
nfcapd.201206081120 nfcapd.201206081205 nfcapd.201206081250
nfcapd.201206081125 nfcapd.201206081210 nfcapd.201206081255
nfcapd.201206081130 nfcapd.201206081215

Mise en place une solution NetFlow avec le collecteur NfSen 28

NFDump – Traitement des enregistrements de flux : Récupère les enregistrements des flux
stockés par nfcapd pour effectuer des mesures/statistiques.

nfprofile – Création de profils de mesures : Lire les données Netflow à partir des fichiers
stockés par nfcapd. Filtres les données Netflow selon les ensembles spécifiés de filtre (profils)
et stocke les données filtrées dans des fichiers pour une utilisation ultérieure.

nfreplay – Rejoue d’enregistrements de flux : Export des enregistrements de flux stockés

par nfcapd vers d‟autres collecteurs.

1.3 Traitement des captures Netflow par NFDUMP

Les flux transformés peuvent être imprimés en format ASCII sur la sortie standard ou écrit
dans un fichier. Le fichier binaire peut être relu par NFDump pour un traitement ultérieur.

Figure 10: Traitement par NFDump

NFDump a quatre formats de sortie fixes qu'on peut déterminer avec l‟option -o :

 Le format de sortie raw qui affiche la totalité des informations contenues dans un
enregistrement de flux pour chaque flux sous forme de colonnes. C'est la vue la plus
détaillée sur un flux ;
 Le format de sortie line, c‟est le format de sortie par défaut. Il affiche les informations
sur les détails de connexion, ainsi que le nombre de paquets, d‟octets et des flux ;
 Le format de sortie long, identique au format line, et contient des informations
supplémentaires telles que les indicateurs TCP et type de service ;

Mise en place une solution NetFlow avec le collecteur NfSen 29

  Le format de sortie extended, format étendu ajoutant les informations pps (packet per
second), bps (bytes per packet).

Exemples du format par défaut :

ubuntu@collector:~$ nfdump -R ~/Netflow/192.168.0.1 -o extended

1.4 Conclusion

Après l‟analyse et le stockage des paquets Netflow envoyé par le routeur par le
collecteur avec l‟outil NFDump, nous avons constaté qu‟il est difficile d‟interpréter les
données facilement, et qu‟il faut utiliser des différentes commandes pour un affichage
spécifique des résultats d‟analyse.

C‟est donc dans ce contexte que notre encadrant nous a demandé de mettre en place la
solution NfSen, qui permet d'ajouter a l'analyseur NFDump (qui est en mode console) une
interface graphique pour retranscription des statistiques Netflow.

Figure 11: Déroulement d'analyse

Mise en place une solution NetFlow avec le collecteur NfSen 30

 3. Présentation graphique avec NfSen
NfSen collecte les enregistrements de flux à l‟aide de l‟outil NFDump et affiche des
statistiques (tableaux et graphes) sur une page Web. Grâce à cet outil Il est très simple
d‟interprété les résultats d‟analyse, parce qu‟il offre une interface graphique simple a utilisé et
a comprendre.

NfSen permet à un administrateur du réseau de gérer et de superviser son réseau

facilement, cela implique l'obligation d'assurer la disponibilité, la fiabilité et la rapidité du
réseau ainsi que l'efficacité au niveau de la mise en œuvre et l'utilisation de celui-ci.

NfSen est développé par le réseau Suisse de la recherche SWITCH et rempli les fonctions
suivantes :

 Afficher les données NetFlow: flux, paquets et les octets en utilisant RRD (Round
Robin Database) ;
 Afficher l'état du trafic réseau;
 Analyser les données NetFlow en utilisant le web;
 Naviguer facilement dans les données NetFlow;
 Isoler des statistiques dans un intervalle de temps donné ;
 Traiter les données NetFlow dans le laps de temps spécifié;
 Créer un historique ainsi que des profils d‟analyse ;
 Configurer des alertes en fonction de diverses conditions ;
 Créer des extensions pour analyser les enregistrements de flux de manière spécifique ;
 Créer un bon nombre de statistiques NTop.

3.1 Préparation de l’installation de Nfsen

Notre collecteur est une machine Ubuntu 12.04 lts server. Pour installer NfSen on doit avoir
sur cette machine les dépendances suivante :

 PHP et Perl: NfSen est écrit en PHP et Perl. Le premier « Hypertext Preprocessor » est
un langage de scripts libre, principalement utilisé pour produire des pages Web
dynamiques via un serveur HTTP, mais pouvant également fonctionner comme n'importe
quel langage interprété de façon locale, et le deuxième est un langage interprété,
polyvalent, et particulièrement adapté au traitement et à la manipulation de fichiers texte.
 Outils de RRD: Tous ce qu'est graphiques dans NfSen nécessite RRD. C‟est est un outil
de gestion de base de données RRD (round-Robin database). Il est utilisé par de nombreux
Mise en place une solution NetFlow avec le collecteur NfSen 31
 outils open source, pour la sauvegarde de données cycliques et le tracé de graphiques, de
données chronologiques. Cet outil a été créé pour superviser des données serveur, telles la
bande passante et la température d'un processeur. Le principal avantage d'une base RRD
est sa taille fixe. RRDTool inclut également un outil permettant de représenter
graphiquement les données contenues dans la base.
 Un serveur Web supportant le PHP : on a utilisé Apache qu‟est un simple logiciel libre
fourni sous la licence spécifique Apache, capable d'interpréter les requêtes HTTP arrivant
sur le port associé au protocole http.
 Les outils NFDump: sont les outils d'arrière-plan pour NfSen et permettra de recueillir et
de traiter les données NetFlowet quelques librairies.

3.2 Installation et configuration

NfSen a une structure de répertoires très flexible. Il contient un fichier de

configuration par défaut, qui nécessite quelque modification pour fonctionner.la figure ci-
dessous montre la configuration par défaut.

Toutes les données NetFlow est stocké sous PROFILEDATADIR. Donc, il faut un
espace disque suffisant pour ce répertoire. Le fichier de configuration par défaut est
nfsen.conf. Les graphiques eux-mêmes sont stockés dans un répertoire „profiles-stat‟.

Figure 12: Structure du répertoire

Mise en place une solution NetFlow avec le collecteur NfSen 32

1. Installation des plusieurs paquets supplémentaires mrtg et rrdtool :

# apt-get install rrdtool

# apt-get install librrds-perl
# apt-get install librrdp-perl
# apt-get install mrtg
# aot-get install libmailtools-perl
# apt-get install librrd-dev
2. Installation de NfSen (connecté en tant qu'utilisateur root) :

# cd /usr/local/src # wget http://source.forge/software/nfsen-

1.3.5.tar.gz
# tar xvzf nfsen-1.3.5.tar.gz
# cd nfsen-1.3.5
# cd etc
# cp nfsen-dist.conf nfsen.conf
# vi nfsen.conf
3. Configuration de NfSen (connecté en tant qu'utilisateur root) :

Pour configurer NfSen il faut Modifier le fichier de configuration nfsen.conf.

Définition de la variable $BASEDIR

$BASEDIR="/var/nfsen";

Définition correcte des utilisateurs afin qu'Apache puisse accéder aux fichiers :
$WWWUSER = 'www-data';
$WWWGROUP = 'www-data'

Modification de chemin des outils en fonction de l'endroit où se trouvent les éléments

$PREFIX = '/usr/bin';

Spécification d‟un tampon de petite taille, de façon à ce que les données soient rapidement
visibles.
$BUFFLEN = 2000;

Modification de la définition %sources comme indiqué ci-dessous:

%sources= ('rtrX'=> {'port'=>'9999','col'=>'#ffff00','type'=>'netflow'},);

Et d‟autre modification :

$BASEDIR = "/var/nfsen";
$BINDIR="${BASEDIR}/bin";
$LIBEXECDIR="${BASEDIR}/libexec";
$CONFDIR="${BASEDIR}/etc";
$HTMLDIR = "/var/www/nfsen/";
$DOCDIR="${HTMLDIR}/doc";
$VARDIR="${BASEDIR}/var";
$PROFILESTATDIR="${BASEDIR}/profiles-stat";
$PROFILEDATADIR="${BASEDIR}/profiles-data";
$BACKEND_PLUGINDIR="${BASEDIR}/plugins";
$FRONTEND_PLUGINDIR="${HTMLDIR}/plugins";

Mise en place une solution NetFlow avec le collecteur NfSen 33

$PREFIX = '/usr/bin';
$USER = "netflow";
$WWWUSER = "www-data";
$WWWGROUP = "www-data";
$BUFFLEN = 2000;
$SUBDIRLAYOUT = 1;
$ZIPcollected = 1;
$ZIPprofiles = 1;
$PROFILERS = 2;
$DISKLIMIT = 98;
$PROFILERS = 6;
%sources = (
'netflow' => { 'port' => '9999', 'col' => '#A52A2A', 'type' =>
'netflow' },
);
$low_water = 90;

$syslog_facility = 'local3';
@plugins = (
# profile # module
# [ '*', 'demoplugin' ],
['live', 'PorTracker'],
);
%PluginConf = (
# For plugin demoplugin
demoplugin => {
# scalar
param2 => 42,
# hash
param1 => { 'key' => 'value' },
},
# for plugin otherplugin
otherplugin => [
# array
'mary had a little lamb'
],
);
$MAIL_FROM = ‘mr.elarib@gmail.com’;
$SMTP_SERVER = 'localhost';
$MAIL_BODY = q{
Alert '@alert@' triggered at timeslot @timeslot@
};
1;

4. Création de l'utilisateur NetFlow sur le système

# useradd -d /var/netflow -G www-data -m -s /bin/false netflow

5. Initialisation de NfSen a chaque modification de nfsen.conf, et il faut s‟assurer que nous

sommes au bon emplacement :
# cd /usr/local/src/nfsen-1.3.5

6. Installation avec la nouvelle configuration

# perl install.pl etc/nfsen.conf

7. Démarrage de NfSen
/var/nfsen/bin./nfsen start

Mise en place une solution NetFlow avec le collecteur NfSen 34

NfSen dispose de deux interfaces utilisateur différentes :

 Interface Web ;
 Interface de ligne de commande.

8. Visualisations des flux sur le Web

Il faut installer php5 sur notre collecteur afin de pouvoir visualiser les paquets collectés en
mode graphique.
# apt-get install php5

On peut accéder à l‟interface graphique de NfSen par l‟utilisation d‟un navigateur par
exemple Mozilla firefox, et entrer comme url :
http://192.168.14.244/nfsen/nfsen.php

3.3 Présentation de l’interface graphique NfSen

Figure 13: Les onglets de navigation

Mise en place une solution NetFlow avec le collecteur NfSen 35

 La barre de navigation permet de sélectionner les points de vue différents. La vue par
défaut est Home, lorsqu‟on pointe sur le navigateur pour nfsen.php.Il donne un aperçu du
profil sélectionné. Par défaut, c'est le profil en direct.

Si le mode actuellement sélectionné est un profil, la page est automatiquement

rafraîchie toutes les cinq minutes pour mettre à jour les graphes. Cela permet d'avoir une
fenêtre de navigateur sur l‟écran, avec toujours à jour des graphes. L'onglet Graphs ajoute
une barre de sous navigateur, «Flows», «Packets», et «Bytes». En cliquant sur un des
graphes dans les deux sens, on sera automatiquement passé à la vue « Details ».

Figure 14: La vue détailler

Mise en place une solution NetFlow avec le collecteur NfSen 36

 La page est divisée en deux parties: La partie supérieure permet de naviguer à travers les données
NetFlow, ainsi que la sélection d'un intervalle de temps unique. La partie inférieure contient toutes les
commandes pour traiter les données netflow de l'intervalle du temps sélectionné.

Figure 15: Contrôles de traitement Netlow

En pouvant basculer d'avant en arrière et sélectionnez le protocole et / ou de type pour le

graphe principal, qui est approprié pour analyser la situation actuelle. Le plus grand graphe
principal est automatiquement divisé aux protocoles TCP, UDP, ICMP et d‟autres protocoles.

Le laps de temps disponible du graphe peut être changé en utilisant le menu déroulant.

Figure 16: L'intervalle de temps

Mise en place une solution NetFlow avec le collecteur NfSen 37

 Chaque graphe se compose de plusieurs tranches horaires. Quand en entrant dans la vue
« Details » l‟échelle de la fenêtre est sélectionnée afin de voir les dernières 24 heures du profil.
Le curseur de temps est placé au milieu de début et de fin de ces 24 heures, et l'horaire de
fenêtre est défini sur un créneau horaire. Le créneau horaire choisi est toujours dans le titre de
la fenêtre du navigateur, dans le titre du graphe principal ainsi qu'au-dessus des diagrammes

Il y a plusieurs façons de changer le créneau horaire actuel.

 En cliquant sur le graphique, cela permet immédiatement de déplacé le curseur à la

position sélectionnée;
 En glissent la poignée du curseur sur le graphe.

Figure 17: Choisir un intervalle de temps

La tranche de temps actuelle sélectionnée est automatiquement mise à jour en t débuts et

de tfin sur le côté droit de la courbe. En relâchent la poignée, le curseur s'aligne
automatiquement sur la fente la plus proche du temps et les valeurs dans le tableau des
statistiques sont mises à jour en conséquence.

Sélection d'un intervalle de temps en utilisant les boutons graphiques:

Mise en place une solution NetFlow avec le collecteur NfSen 38

 > Intervalle de temps suivant: le temps avance de cinq minutes.
< Intervalle de temps précédent: Retour cinq minutes.
>> Faire avancer tranche de temps par un intervalle de temps complet de la courbe.
<< Retour par un laps de temps plein du graphique.
> | Aller à la fin du profil. (Tranche de temps actuelle)
| Curseur de temps dans le graphique actuel Centre.
Placez le curseur au sommet, a trouvé dans les + / - 1 heure de vie de la position
^
actuelle du curseur.

Les graphes sont immédiatement mis à jour, lorsque en choisissant un intervalle de

temps différent. Cependant, il ya des limites pour déplacer le curseur, en ne prouvent pas
déplacer le curseur en dehors d'un intervalle de temps ou les données sont expiré. Cette limite
est marquée par la zone gris foncé sur le côté gauche du graphique.

Figure 18: Frontaliers de données disponibles

Parfois, il est souhaitable de choisir et de traiter plus d'un créneau horaire unique de cinq min,
donc il faut sélectionner Time Window.

Figure 19: La fenêtre de temps

Cela a pour effet la division de la poignée curseur en deux moitiés, qui peuvent être glissés
individuellement en fonction des besoins.

Mise en place une solution NetFlow avec le collecteur NfSen 39

 Figure 20: Fenêtre temporelle choisie

Pour revenir à un intervalle de temps unique, il faut sélectionner «Single

Timeslot» dans le menu. Le résumé statistique donne un aperçu sur les flux, paquets et
le trafic de l'intervalle de temps sélectionné. Chaque ligne correspond à une source netflow
configuré. Pour faciliter la visualisation, chaque ligne est spécifiée par un couleur qui
correspond à la même couleur qui se trouve dans le graphe.

Le résumé statistique peut être commuté entre la somme totale de l‟intervalle de temps
sélectionné, ou les valeurs de taux par seconde. Les colonnes individuelles peuvent être
réduites ou dépensé au besoin, en cliquant sur les triangles bleus. Les statistiques peuvent être
affichées ou masquées en cliquant sur le triangle jaune.

Figure 21: Le résumé statistique

Mise en place une solution NetFlow avec le collecteur NfSen 40

Un graphe peut être affiché avec des options différentes :

 Linéaire axe y
 Logarithmique axe y.

Type de graphique:

 Stacked: Toutes les sources sont tirées sur le dessus les uns des autres.
 Ligne: Toutes les sources sont tirées indépendamment.

Le changement de l'option d'affichage est réalisé en cliquant sur les boutons radio
appropriés dans le coin inférieur droit du graphe principal. On peut repérer plus facilement les
pics de quelques-unes des sources en optant pour l'option d'affichage graphique linéaire.

Figure 22: Graphique linéaire

Mise en place une solution NetFlow avec le collecteur NfSen 41

 Après la sélectionnent da la fenêtre de temps désirer, on peut traiter et filtrer les
données nettlow selon les besoins, en utilisant le formulaire processus dans la partie inférieure
de la fenêtre

Figure 23: Traitement Netflow

 Sélectionner les sources NetFlow à traiter.

 Entrer un filtre NetFlow. La syntaxe est conforme à la syntaxe NFDump filtre.
 Sélectionner les options pour l'analyse.
 Cliquer sur le «processus».

Il y a la possibilité de spécifier un filtre en utilisent des expressions. Le filtre peut

s'étendre sur plusieurs lignes. Tout ce qui suit un '#' est considéré comme un commentaire et
ignoré à la fin de la ligne. Il n'y a pratiquement pas de limite de longueur de l'expression de
filtre.

Un filtre souvent utilisé peut être enregistré et utilisé à tout moment plus tard, lors du
traitement de flux. Le filtre personnalisé est enregistré on cliquant sur le symbole de
disquette. Après avoir réussi la sauvegarde, le filtre est disponible dans la boîte de sélection.

Mise en place une solution NetFlow avec le collecteur NfSen 42

 Figure 24: Filtre par défaut
Lors du traitement des données NetFlow, il ya deux options générales, lister les flux et
la création d‟une statistique de flux. On peut basculer entre les deux options en cliquant sur le
bouton approprié et choisir les options qui convient aux filtres.

 Créer un profil

Un profil est une vue spécifique sur les données NetFlow, défini par son nom, son
type et un ou plusieurs filtres, qui sont des filtres valides acceptés par NFDump. Le profil est
toujours disponible et est utilisé pour stocker nos données NetFlow entrants sans filtrage. On
peut choisir n'importe quel profil en utilisant le menu déroulant dans le coin supérieur droit
de la page Web.

Nfsen permet de définir des profiles, c'est-à-dire de créer des filtres et d‟afficher des
graphiques selon une ou plusieurs caractéristiques. Par exemple on peut choisir de représenter
graphiquement que les flux d‟un port particulier. Le profil „live‟ représente tous les flux, sans
filtrage.

Mise en place une solution NetFlow avec le collecteur NfSen 43

 Figure 25: Sélection du profil

A partir d‟un profile particulier ou du profile „live‟, il est possible de définir des
alarmes, généralement basée sur des seuils. Dès qu‟une condition est atteinte, une alarme est
levée. Les conditions peuvent être définies à partir de l‟observation des flux dans leur totalité,
à partir d‟une caractéristique mesurée par Nfsen (nombre de paquets) ou à partir de données
renvoyées par un plug-in.

NFSen est modulaire, il est possible d‟y ajouter des plug-ins qui réalisent des calculs à
partir des flux. D‟autres plug-ins permettent d‟exécuter une action (exécution de script,
journalisation dans une base de données de l‟alerte…) .

 Alertes

L‟alerte permet d'exécuter des actions spécifiques en fonction des conditions

spécifiques. Une alerte est définie par un filtre appliqué à la «live».

un filtre appliqué à la «live»

Conditions

Déclencheurs

Actions

Mise en place une solution NetFlow avec le collecteur NfSen 44

 4. Conclusion
Après l‟installation et la configuration de NfSen on a présenté son l‟interface
graphique qu‟est simple a utilisé pour superviser le réseau. Il y a la possibilité d‟ajouter
d‟autres fonctions pour des traitements spécifique des résultats d‟analyse, et pour répondre
aux besoins supplémentaires grâce a l‟existence des plugins.

Mise en place une solution NetFlow avec le collecteur NfSen 45

 Test de la so lut ion

Après la mise en œuvre de NfSen avec son interface graphique, il faut tester le
fonctionnement de cette solution afin de le mettre en place dans le réseau réel
de CNRST.

Mise en place une solution NetFlow avec le collecteur NfSen 46

 1. Utilisation de NfSen dans le réseau
Pour ouvrir l‟interface graphique de NfSen, on a utilisé le navigateur Mozilla FireFox :

Figure 26: Home NfSen

On Testé le fonctionnent de NfSen dans un sous réseau pour n‟est pas perturbé le
réseau CNRST, et utilisé deux clients passent par notre routeur, qui envoie a son tour les
paquets a un autre routeur qu‟est connecté au réseau CNRST afin de pouvoir sortir vers
Internet. Dans notre cas on a utilisé un seule routeur donc on a dans les graphes un seule
couleur.

Les trois graphes dans la même ligne présente le même intervalle de temps avec des
échelles statistiques différentes (flux, paquets, octets), on cliquant sur un des graphes on passe
vers la vue « Graphs ».

Mise en place une solution NetFlow avec le collecteur NfSen 47

 Figure 27: Graphs
On peut passer à l‟onglet « Details » pour plus d‟information sur les flux et pour faire des
filtres selon les besoins de supervision.

Figure 28: Details

Mise en place une solution NetFlow avec le collecteur NfSen 48

Dans cette vus en peut par exemple changer l‟option d‟affichage

Figure 29: Option d'affichage

Afin de filtrer les données Netflow on utilise le formulaire processus qui offre plusieurs
options pour des traitements spécifique des informations. Par exemple l‟affichage des vingt
premiers lignes trié par flux.

Figure 30 : Filtre

Mise en place une solution NetFlow avec le collecteur NfSen 49

On a dans le profil live mais il y a la possibilité de créer un profil selon nos besoins.par
Exemple on a créé le profil WebServer dans le réseau CNRST.

Figure 31: Création d'un profil

les alertes peuvent être définies et affichées dans le cadre du «Alerts»

Figure 32: Création d'alerte

Mise en place une solution NetFlow avec le collecteur NfSen 50

Les conditions sont basées sur le résumé des flux. Les conditions peuvent être enchaînés en ajoutant des
conditions supplémentaires, en utilisant le '+' icône sur la droite.

Figure 33: Conditions d'alerte

Les conditions sont basées sur le nombre total de flux, les paquets ou d'octets qui passent le filtre. Les chiffres
peuvent être comparés à une valeur absolue, ou relative à divers basés sur le temps des valeurs moyennes, qui
sont calculés automatiquement. Cela permet de créer facilement des filtres adaptatifs.

2. Conclusion
L'interface de NfSen permet à l'utilisateur d'avoir les différents niveaux de visualisation nécessaires à
une analyse du réseau en temps réel. Elle permet aussi la configuration des données pour avoir une analyse
adaptée aux besoins des administrateurs.
L'avantage d'une interface graphique est que cela permet l'intégration des nouveaux plugins pouvant
contenir d'autres analyses statistiques développées.

Mise en place une solution NetFlow avec le collecteur NfSen 51

 Conc lu s ion gé néra l

Pendant le déroulement de ce stage, les principaux objectifs définis lors de la

présentation du projet sont atteints. En effet, la solution NetFlow est actuellement en
exploitation sur le sous réseau de test du CNRST. La mise en place sur l'ensemble du réseau
sera effectivement réalisée après une durée de test.

En effet, la premiére partie du stage au CNRST nous a permeté de savoir comment le

réseaux du CNRST fonctione et deusiément après la configuration de notre routeur Les
paquets Netflow est envoyés à notre machine collectrice. Afin de pouvoir stoker et visualiser
le résultat de notre collecte de flux NFsen, puis Après l‟analyse et le stockage des paquets
Netflow envoyé par le routeur avec l‟outil NFDump, nous avons constaté qu‟il est difficile
d‟interpréter les données facilement, et qu‟il faut utiliser des différentes commandes pour un
affichage spécifique des résultats d‟analyse. Ci pour ça après l‟installation et la configuration
de NfSen on a présenté son l‟interface graphique qu‟est simple a utilisé pour superviser le
réseau. Il y a la possibilité d‟ajouter d‟autres fonctions pour des traitements spécifique des
résultats d‟analyse, et pour répondre aux besoins supplémentaires grâce a l‟existence des
plugins.

L'interface de NfSen permet à l'utilisateur d'avoir les différents niveaux de

visualisation nécessaires à une analyse du réseau en temps réel. Elle permet aussi la
configuration des données pour avoir une analyse adaptée aux besoins des administrateurs.

Concernant la nouveauté des outils de supervision on a trouvé un outil actuelemet

nouveau appelé Flexible NetFlow est une technologie clé disponible sur les équipements
Cisco pour permettre la visibilité de l‟utilisation de l‟infrastructure réseau et comprendre le
comportement du réseau. Flexible NetFlow est une nouvelle génération de Netflow apportant
une meilleure scalabilité, une meilleure capacité d‟agrégation des données et une plus grande
souplesse dans la customisation utilisateur. Flexible NetFlow améliore la capacité à détecter
les incidents de sécurité et la compréhension du comportement du trafic réseau.

Mise en place une solution NetFlow avec le collecteur NfSen 52

 Bila n du projet

Ce stage au CNRST, sous la direction de A

nous a beaucoup apporté aussi bien d‟un point de vue professionnel que
personnel. Tout d‟abord, nous avons pu développer et parfaire nos connaissances dans
l‟utilisation de Linux, cela nous a permis aussi de nous rendre compte des points forts de
Linux pour la réalisation de cette solution. Durant ce projet nous avons aussi pu apprendre à
gérer un projet de l‟analyse à la livraison de la solution en suivant les exigences du client, et
nous a appris à gérer les difficultés de la gestion d‟une équipe, avec des problèmes tels que la
répartition des tâches.

Le stage a été une bonne opportunité d‟utiliser nos connaissances réseau pour
l‟analyse des paquets, la configuration des routeurs CISCO ainsi que pour étudier
l‟organisation du réseau du CNRST. D‟un point de vue personnel, nous sommes heureux
d‟avoir fait des recherches et mis en place une solution permettant d‟avoir des informations
en temps réel sur un réseau privé. Nous avons en plus acquis une certaine autonomie de
travail ainsi qu‟une plus grande assurance dans les choix techniques.

Ce stage à été aussi une solide expérience au niveau de travail d‟équipe et cela grâce a
la contribution dans l‟organisation des Journées Internationales d‟IPv6 organisé par MISOC
en collaboration avec le Centre National pour la Recherche Scientifique et Technique
(CNRST

En ce qui concerne la vie en entreprise, il nous a été facile de nous intégrer dans un
service composé d‟une équipe accueillante, toujours prête à répondre à nos questions.

Mise en place une solution NetFlow avec le collecteur NfSen 53

 Sito grap h ie

 http://blog.nicolargo.com/
 http://nfdump.sourceforge.net/
 http://nfsen.sourceforge.net/
 http://www.cisco.com
 doc.ubuntu-fr.org/tutoriel/apache2
 http://oss.oetiker.ch/rrdtool/
 http://www.marwan.ma/
 http://www.cnr.ac.ma/

Mise en place une solution NetFlow avec le collecteur NfSen 54