THEME : ETUDE ET MISE EN PLACE D’UN OUTIL DE

SUPERVISION DE LA BANDE PASSANTE INTERNET

POUR LA COUR SUPRÊME
TELEINFORMATIQUE

Encadreur Maitre de stage Présenté et soutenu par

Cizi Eucher BASSINTSA OUEDRAOGO Mohamed Rachid

Promotion 2009 - 2012

PAGE DE GARDE 1
 DEDICACES

Je dédie ce mémoire :

A Dieu Tout Puissant qui m’a prêté vie, courage et force afin de mener à bien ce travail.

A ma famille pour tout son soutien.

 REMERCIEMENT

J’adresse mes remerciements les plus chaleureux :

 Mon père OUEDRAOGO Boukari et ma mère OUEDRAOGO Habibou, pour tous les
efforts et sacrifices, pour toutes leurs prières à mon intention, que le seigneur puisse vous
garder aussi longtemps pour qu’un jour vous puissiez récolter le fruit de votre jeune
plant,
 A la famille OUEDRAOGO et en particulier mes frères et sœurs ;
 A Mr Samuel OUYA,
 A Mon mentor Mr. Cizi Eucher BASSINTSA

Toutes les personnes qui de près ou de loin, ont contribué à la réalisation de ce document

MERCI A TOUS!
 AVANT PROPOS

PRESENTATION DE l’ESMT

L’Ecole Supérieure Multinationale des Télécommunications (ESMT) est une institution

multinationale qui accueille 17 nationalités en formation initiale et continue liée au Sénégal par un
accord de siège qui lui confère un statut diplomatique.
L’ESMT recouvre plusieurs domaines dont :

Les diplômes de Technicien Supérieur :

 diplôme de technicien supérieur en télécommunications : spécialités technique et

commerciale ;
 diplôme de technicien supérieur en téléinformatique : en partenariat avec l’Ecole
Supérieure Polytechnique de Dakar ;
 diplôme de technicien supérieur en réseaux et données ;
 Licence professionnelle ;
 Réseaux et services

Les diplômes d’Ingénieur :

 diplôme d’ingénieur des travaux télécoms (IGTT) : spécialités technique et commerciale;

 diplôme d’ingénieur téléinformatique, en partenariat avec l’ESP de Dakar ;
 diplôme d’ingénieur de conception ;

Les diplômes Master :

 master en Radiocommunications & Services
 master en Réseaux& Multimédia

Les diplômes Mastères :

 mastère en gestion des télécommunications ;

 mastère en réseaux télécoms ;
  mastère en téléinformatique en partenariat avec l’ESP de Dakar ;

Les certifications :

 CISCO ;
 GVF ;
 FOA ;
 NSOFT ;
 Alcatel-Lucent ;
Elle est en cours de le devenir pour Oracle.

PRESENTATION DE L’ESP

 le département Génie Chimique ;

 le département Génie Civil ;
 le département Génie Electrique ;
 le département de Gestion ;
 le département Génie Mécanique ;
 le département Génie Informatique.

Soucieux de la demande des entreprises évoluant dans le domaine de l’informatique et des

télécommunications, l’Ecole Supérieure Polytechnique (ESP) et l’Ecole Supérieure Multinationale
des Télécommunications (ESMT) ont mis en place une formation d’ingénieur Technologue en
Téléinformatique.

Dans le cadre de la formation qui s’étale sur deux ans, l’étudiant devra effectuer un stage dans une
entreprise ou un laboratoire où il mettra à profit ses acquis théoriques à l’issue duquel il devra
présenter un mémoire de fin de cycle qui est le fruit du travail effectué dans la structure d’accueil.

C’est dans cette optique que nous avions effectué un stage à la COURS SUPREME qui nous a
proposé le thème : Etude et mise en place d'un outil de supervision de la bande passante internet de
la COURS SUPREME de Dakar.
TABLES DES MATIERES
SIGLES ET ABREVIATIONS
TABLES DES FIGURES
 INTRODUCTION

La croissance rapide de l’outil informatique dans nos mœurs à bouleverser considérablement le

mode de fonctionnement des hommes. Pour rester compétitif sur ce nouveau marché en permanente
mutation rythmé par une concurrence agressive, il faut savoir être rapide et convaincant tout en
restant expert dans son secteur d’activité. Ainsi dans plusieurs entreprises l’ordinateur qui était au
paravent un outil de luxe est devenu un élément incontournable pour travailler. Cette croissance a
également été possible grâce à la découverte d’internet.

Internet est le réseau des réseaux. Il permet d’interconnecter plusieurs systèmes informatiques
entre eux à travers le monde et ainsi à rapprocher des personnes distantes de plusieurs kilomètres.
En effet contrairement aux systèmes téléphoniques il permet de rendre plusieurs autres services à
valeurs ajoutés tels que les services multimédia. Pour communiquer via internet chaque terminal
informatique mobilise une bande passante qui lui permet d’échanger ses données. De nos jour, le
problème souvent rencontré en entreprise est que le parc informatique croît beaucoup plus vite que
la bande passante souscrite chez le fournisseur d’accès internet. Le choix de ne pas souscrire à une
bande passante élevée est stratégique car il permet de réduire de façon considérable le coût de la
connexion internet. De ce fait le problème crucial est d’optimiser les débits de connexions même en
période de surcharge afin que tous les utilisateurs puissent profiter d’un débit raisonnable pour
travailler simultanément.
La cour suprême de Dakar n'est pas épargnée par cette problématique. C’est dans cette optique
que son responsable informatique nous a chargés de proposer une solution technique pour éradiquer
ce fléau handicapant pour la bonne marche de la structure. Pour y répondre dans un premier temps
nous éluciderons l’importance et les besoins de cette étude dans son contexte. Puis nous ferons une
étude comparative des outils de supervision existants sur le marché. Enfin nous présenterons la
solution la mieux adaptée que nous recommanderons fortement à La cour suprême
 CHAPITRE I : PRESENTATION GENERALE

Ce chapitre fera l’objet de présentation de la structure d’accueil ou nous avons effectué notre
stage. Il définira également le contexte de notre sujet, sa problématique ainsi que ses objectifs.

I.1 Présentation de la structure d’accueil

Afin de mettre en pratique mes connaissances théoriques, j’ai été amené à effectuer un stage
dans le département informatique de la cour suprême de Dakar. Cette période d’insertion
professionnelle, ma permit d’être confronté aux réalités du monde professionnel et de comprendre
ses contraintes et exigences.

I .1.1 Présentation de la cours suprême

I.1.2 Création et compétences

La cour suprême est la juridiction nationale qui se situe au sommet de la hiérarchie judiciaire au
Sénégal. Créée initialement par l’ordonnance n°60-17 du 3 septembre 1960, son fonctionnement
ainsi que ses pouvoirs actuels lui sont conférés par la loi organique du n°2008 du 7 août 2008.
Située sur la Corniche Ouest du centre-ville de Dakar, la cour occupe les locaux d’un monument
historique de la culture sénégalaise et africaine en général.
Cette haute juridiction a pour fonction principale de juger les excès de pouvoir des autorités
exécutives. L’article 2 de la loi organique n°2008 stipule que la cour suprême se prononce sur les
pourvois en cassation, pour incompétence, violation de la loi ou de la coutume, dirigés contre les
jugements et arrêts rendus en dernier ressort par les cours et tribunaux, à l’exception des affaires
relevant de la compétence d’autres juridictions. Cela signifie qu’elle apprécie en dernier ressort les
différentes décisions issues de pourvois en cassation rendues par les tribunaux et statue sur la
légalité de ces dites décisions.
Sur un total de 578 affaires durant l’exercice 2010, la cour a rendu 317 arrêts. Globalement, elle
a observé une baisse d’affaire de 13,58% par rapport à l’exercice antérieure.
 I.1.3 Formations

Pour un souci de justice et d’égalité des citoyens sénégalais par rapport à la loi, la cour suprême
organise son fonctionnement en formations auxquelles sont affectées des compétences spécifiques
en vertu des articles 2,4 et 5 de la loi organique portant sur sa création.
Ainsi, ses formations sont composées de :
-Chambres : il s’agit de la chambre criminelle compétente pour connaitre les pourvois en
cassation relevant du pénal, de la chambre civile qui statue sur les pourvois en cassation en matière
civile et commerciale, de la chambre sociale qui relève du domaine du social, de la chambre
administrative qui juge en premier et dernier ressort de l’excès de pouvoir des autorités exécutives
et des collectivités locales.
-L’assemblée générale consultative qui regroupe l’ensemble des magistrats de la cour auxquels
se joignent 20 hauts fonctionnaires appartenant à des spécialités administratives diverses et un
commissaire du gouvernement, tous désignés par le président de la république.
Des commissions juridictionnelles sont créés également : une commission juridictionnelle
chargée de statuer sur les demandes d’indemnités et une commission juridictionnelle chargée de
statuer sur les recours formés par les officiers de police judiciaire qui sont sous le coup d’une
suspension ou d’un retrait d’habilitation.

I.1.4 Organisation

La cour suprême est composée :

Du premier président, des présidents de chambre, des conseillers, des conseillers délégués ou
référendaires, du procureur général, du premier avocat général, des avocats généraux, des avocats
généraux délégués, du greffier en chef.
Le nombre de magistrats et les différents grades sont fixés par décret.

I.1.5 Organigramme du site

Le suivant organigramme nous montre l’organisation du site sur lequel se trouve la cour, qui a
un fonctionnement basé sur celui d’une entreprise classique. Il est à noter que cet organigramme
n’est pas définitif car subissant souvent des modifications.
 Figure 1 : Organigramme Cour Suprême

Après avoir expliqué le mode de fonctionnement global de la cour pénal, nous allons maintenant
nous focaliser sur le département informatique, où s’est effectuée la majeure partie de mes missions.
Avec une organisation qui peut paraitre complexe à gérer en termes de ressources (humaines et
financières), il est important pour cette haute juridiction d’opérer un certain contrôle de ses effectifs
et de leurs activités afin d’optimiser leurs rendements et veiller à une pérennité dans l’exercice de
ses activités. C’est ainsi que, sous le couvert du département informatique, ma présence dans cette
organisation se justifie.

I.2 Présentation du sujet

Le sujet est né d'un besoin de la Cour Suprême qui voulait gérer sa bande passante internet afin
d'optimiser l'utilisation de ses ressources. Il était constaté très souvent des baisses de débit de
connexion entraînant un mécontentement des usagers du réseau. C'est ainsi que le département
informatique fut dépêché afin de trouver une solution. Après concertation, afin de déceler les
causes de congestion du réseau, il a été opté pour la mise en place d'un outil pouvant superviser la
bande passante.

I.3 Problématique

De nos jours les entreprises connaissent un développement exponentiel de leur secteur

d’activité entraînant par conséquent une croissance plus forte de leur parc informatique .Il devient
alors nécessaire pour leurs administrateurs de réseau d’avoir une certaine visibilité ou transparence
dans l’utilisation de la bande passante sortante des dites entreprises. Ce qui va leur permettre
d’avoir une meilleure optimisation du rendement individuel et collectif.
Les outils de surveillance des flux fourniront à ces administrateurs un aperçu des goulots
d'étranglement potentiels et leur permettre d'agir en conséquence, et de répondre ainsi aux questions
qui surviennent le plus souvent en entreprise. Les questions essentielles qui peuvent se poser sont de
plusieurs ordres : Sait-on quel trafic circule dans le réseau ? La bande passante est-elle utilisée à des
fins bonnes ou mauvaises ? Peut-on par exemple identifier les pics de trafic causés par le transfert
de marketing autour de la dernière vidéo Youtube ou les tournois occasionnels de jeux aux heures
de pause ? Autant d’interrogations majeures qui devront guider les administrateurs dans leur quête
d’amélioration de leur réseau.

I.3.1 Objectifs
Notre travail consistera à étudier les différents outils de supervisions existants et d’identifier le
plus adapté à mettre en place.

I.3.2 Méthodologie
Dans le cas de notre étude, afin d’apporter une souplesse dans le choix des outils nous allons,
dans un premier temps effectuer un audit du réseau de l'organisation, et recenser les outils existants
permettant de pallier à ces problèmes. Ensuite nous allons étudier de manière succincte chacun
d’eux tout en ressortant leurs atouts ainsi que leurs inconvénients, pour enfin proposer l’outil le
mieux adapté que nous pourrions implémenter et tester.
 CHAPITRE II : ETUDE DE L’EXISTANT

II.1 DESCRIPTIF DU RESEAU

Le réseau informatique de la Cour Suprême est constitué de :

- Une ligne internet : ADSL 10Mega vers un opérateur (SONATEL) ;
- Une 2ieme ligne internet : ADSL 10Mega vers un opérateur (SONATEL) ;
- Une 3ieme ligne internet : ADSL 2Mega vers un opérateur (SONATEL) ;
- Un routeur cisco : de modèle Linsys WAG320N qui est également un modem ADSL2+, un
point d’accès sans fil et un commutateur 4 ports ;
- Des Switch : de type TP-link TL-SF1024 24 ports, EDIMAX ES-3124RL
24ports,OVISLINK evo-FSH24 24 ports;
- Des Point d’accès : pour l’interconnexion des terminaux sans fil uniquement ;
- Des ordinateurs : Tous sur Windows;
- Des imprimantes ;
- De serveurs : sur linux et Windows;

Éléments quantités
Routeurs 1
Switch 5
Point d’accès 5
Ordinateurs Fixe 30
Ordinateurs Portables 20
Imprimantes 4
serveurs 2
Figure 2: Tableau quantitatif des éléments du réseau.

L'infrastructure réseau de la cour suprême, est repartie sur trois (3) niveaux d’où :

- Niveau 0 (Sous-sol) :
Le département informatique abrite le cœur du réseau de la cour suprême. Il dessert toute la
structure notamment la salle des actes, la bibliothèque (Service de documentation et d'étude) et le
greffe centrale, qui se trouve être au même niveau que lui. Ainsi nous avons une répartition de trois
(3) Switchs interconnecté au département informatique, d’où sont rattachés les terminaux des
différentes salle qui constitue ce niveau. L'accès à internet ce fait via un modem routeur wi-fi
Linksys Cisco qui est également le point de routage entre les équipements du réseau et le serveur
applicatif.

- Niveau 1 (Rez de chaussez) :

Ce niveau est composé de deux (2) switchs d’où sont connectés les postes fixe. 3 point d'accès y
siège également, un dans la salle d’audience, un dans le parquet central limité uniquement à cette
salle. Un point d'accès est également accessible depuis les locaux extérieurs du bâtiment central à
savoir la salle d’accueil et de repos des employés exécutifs.

- Niveau 2 (1er étage) :

Ce niveau est composé également de deux (2) Switchs d’où sont connectés les terminaux les plus
sensibles du réseau. On peut y retrouver également un point d'accès mais uniquement accessible aux
personnel de ce niveau qui comprend les conseillés des chambres, le procureur générale et le
premier président.

Figure 3: Architecture du réseau

 II.2 AUDIT DU RESEAU

L'audit consiste à évaluer les risques encouru par le système en place actuel et préconiser des
parades si il y'a lieu d'être.
Dans le cas du réseau informatique de la cour suprême on peut apprécier :
- La bonne segmentation du réseau. Les différents groupe d'utilisateurs sont réparti selon des
Vlan, permettant ainsi d'offrir tous les avantages qu'offre ce type d'administration à savoir la
flexibilité de gestion, l'ajout de nouveaux éléments ou le déplacement d'éléments existants peut être
réalisé rapidement et simplement sans devoir manipuler les connexions physiques dans le local
technique. Les performances réseau se voient considérablement augmenté du fait que le trafic
réseau d'un groupe d'utilisateurs est confiné au sein du vlan qui lui est associé, de la bande passante
est ainsi libéré.
- Un autre des bons points de ce réseau c'est la distinction en son soin des utilisateurs internet et
les locaux. Lorsque un utilisateur veut naviguer, il se connecte sur un compte donnant accès
uniquement qu'à l'internet, dans ce cas c'est le modem routeur qui effectue l'adressage IP, et si l'on
veut accéder aux programmes applicatif propre à l'organisation, on se connecte sur un compte qui
donne accès au serveur applicatif, c'est d’ailleurs ce dernier qui est chargé d'attribuer les adresse IP
de ses utilisateurs.

Mais ce réseau n'est pas sans défaut, ceux pouvant être recensé sont :
-Il a été remarqué que bien que les utilisateurs du point d'accès externe aux bâtiments central
n'ont pas une visibilité sur les machines du réseau, il arrive fréquemment que le responsable réseau
fasse changer le mot de passe d'accès au Wi-Fi de celui-ci parce que certains des employés
partagent le mot de passe provoquant le mécontentement de certains parce que le débit du réseau est
souvent trop sollicité... Une solution de filtrage par adresse MAC pourrait éventuellement régler ce
problème, mais ce serai fastidieux pour l'ajout de nouveaux utilisateurs à chaque fois, une meilleur
solution serait de mettre en place un portail captif. Ainsi chaque employé aura son code d'accès.
Pour encore plus de sécurité, il serai préférable de masquer l'ESSID ( le nom du réseau Wi-Fi)
visible depuis l'extérieur du bâtiment, notamment celui du point d'accès externe.
Aussi la structure possède trois (3) lignes ADSL , une de 10Mega utilisé uniquement pour la
vidéo-conférence et communications VOIP , une autre de 10Mega pour l'utilisation administrative
et autres taches de la structure, et une dernière de 2Mega prévu comme secours en cas de panne sur
la ligne des 10 méga destinée aux taches de la structure. Seulement le changement de ligne avec
celle de secours se fait de façon manuelle. Il sera judicieux d'utiliser un système de load balancing
afin de mettre à contribution la ligne pour que le changement et ou répartition des charges soit
automatique

II.3 SOLUTION PROPOSEE

L'organisation n'est pas utilisé dans la production (à un but lucratif), il serait difficile de définir
qu’elles seront les sites qui pourrait constituer ou non des sources d'information pour les utilisateurs
du réseau. Ainsi une solution de quota par utilisateur ne serai pas la plus adapté. Avec le soucis
pressent de détecté les causes probable de lenteur de connexion, la solution envisageable et la plus
rapidement accessible serai dans ce cas la mise en place d'un outil permettant de d’avoir une
visibilité du trafic effectué sur le réseau.

II.3.1 Mise en place d'un outil de supervision

Les outils de supervision ne sont autre que les moyens utilisés afin de collecter et de traiter les
informations provenant des sources que l’on veut surveiller. Il existe différents types d’outils de
supervision ayan chacun leurs qualités et leurs défauts. C’est pourquoi avant de se lancer dans
l’implémentation d’un de ces outils, il est indispensable de se demander ce que l’on souhaite
superviser. En effet, le nombre d’informations supervisables est « quasi » infini.
Dans le cas de notre étude, l’outil sera le moyen utilisé pour optimiser ou avoir une certaine
visibilité sur l’utilisation de la bande passante, en collectant et analysant les différents flux de
données qui y circulent.

II.3.2 Principe de fonctionnement

II.3.2.1 Définition
Le réseau physique peut servir de source de données qui offre la plus large visibilité dans le
comportement qui affecte l’environnement opérationnel de l’entreprise. Spécifiquement, les
commutateurs, les routeurs, et les autres composants collectent et maintiennent des informations au
sujet du trafic traversant le réseau. L’information concerne les flux logiques entre les serveurs
source et destination, aussi bien que les flux physiques, point à point entre les éléments principaux
du réseau.
Ainsi, la plupart des outils se reposent en premier lieu sur la collecte des informations que ces
commutateurs, routeurs ont en leur possession. Cette collecte ce fait par l’utilisation de méthode
courante pour l’acquisition de données de la consommation du réseau tel que les protocoles SNMP,
WMI, Packet Sniffing et Netflow.
Pour ce faire, une sonde est insérée dans le réseau afin de capter ces informations. Il existe plusieurs
architectures possibles d’implémentation de la sonde mais les 3 cas les plus utilisés sont :
 La sonde reliée directement au routeur ou commutateur manageable. Grâce à la fonction de
remote monitoring, on peut dire qu’une copie des données qui traversent le commutateur
seront envoyées vers la sonde.
 Si le commutateur auquel est relié le réseau que l’on souhaite superviser n’a pas de fonction
de remote monitoring, il faudra dans ce cas utiliser un hub comme passerelle entre le routeur
et le commutateur auquel sont rattachés les terminaux. Il est connu que le hub n’est pas un
commutateur intelligent, il recopie sur chaque port la totalité du flux. Alors si la sonde est
connectée sur un de ces ports, il recevra le trafic destiné aux autres ports.
 La sonde fait office de proxy également, en d'autre terme c’est la passerelle par laquelle les
terminaux du réseau vont passer pour accéder à l’extérieur.

II.3.2.2 Les protocoles utilisés

 Protocole SNMP
Comme son nom l’indique, SNMP pour « Simple Network Management Protocol », est un
protocole qui permet aux administrateurs réseau de gérer les équipements du réseau et de
diagnostiquer les problèmes de réseau. Son système de gestion de réseau est basé sur deux éléments
principaux à savoir un superviseur et des agents. Le superviseur est la console qui permet à
l’administrateur réseau d’exécuter des requêtes de management. Les agents sont des entités qui se
trouvent au niveau de chaque interface connectant l’équipement managé au réseau et permettant de
récupérer des informations sur différents objets.
Switchs, hubs, routeurs et serveurs sont des exemples d’équipements contenant des objets
manageables. Ces objets manageables peuvent être des informations matérielles, des paramètres de
configuration, des statistiques de performance et autre objets qui sont directement liés au
comportement en cours de l’équipement en question. Ces objets sont classés dans une sorte de base
de données appelée MIB (Management Information Base). SNMP permet le dialogue entre le
superviseur et les agents afin de recueillir les objets souhaités dans le MIB.
Ainsi une architecture de gestion du réseau proposée par le protocole SNMP est sur trois principaux
éléments à savoir les équipements managés, les agents, les systèmes de management de réseau
(network management system notés NMS).

 Packet Sniffing
Le reniflage de paquets (packets sniffing) ou analyseur de protocole, est plus une technique utilisée
par les administrateurs de réseau pour capter le flux afin de diagnostiquer les problèmes liés au
réseau. Les renifleurs de paquets peuvent être également utilisés par des personnes mal
intentionnées à des fins peu nobles telles que l’espionnage sur le trafic des utilisateurs du réseau et
la collecte de mot de passe.
Il existe différent types de renifleur de paquets. C’est ainsi que certains sont utilisés par les
administrateurs réseau comme de simples solutions matérielles dédié à usage unique, alors que
d’autres renifleurs de paquets sont des applications logicielles qui s’exécutent sur des ordinateurs
standards, en utilisant le matériel de réseau fourni sur l’ordinateur hôte pour effectuer la capture de
paquets et les taches d’injection.
Son principe de fonctionnement est le suivante :
Le renifleur de paquets est chargé d’intercepter et de journaliser le trafic qu’il peut « voir » via
l’interface réseau, filaire ou sans fil, de l’ordinateur hôte auquel il a accès. Sur un réseau câblé, ce
qui peut être capturée dépend de la structure du réseau. Un renifleur de paquets pourrait être en
mesure de voir le trafic sur un réseau entier ou seulement un certain segment de celui-ci, selon la
façon dont les commutateurs de réseau sont configurés, placés etc. Sur le réseau sans fil, les
renifleurs de paquets ne peuvent généralement capter qu’un seul canal à la fois à moins que
l’ordinateur hôte dispose de plusieurs interfaces sans fil qui permettent la capture en multicanal.
Une fois les données de paquets bruts capturés, le logiciel de reniflage de paquets doit analyser et
présenter sous forme lisible par l’homme afin que la personne qui utilise le logiciel puisse lui
donner un sens. La personne pourra ainsi voir les détails de la « conversation » qui passe entre deux
ou plusieurs nœuds du réseau. Les administrateurs de réseau pourront utilisés ces informations pour
déterminer une défectuosité, tel que la non réponse à une requête du réseau.
C’est par ce principe que les pirates peuvent utiliser les renifleurs pour écouter les données non
chiffrées dans les paquets afin de voir quelles informations sont échangées entre les deux parties. Ils
peuvent également capturer des informations telles que les mots de passe et les jetons
d’authentification (si elles sont envoyées en clair). Ils peuvent également capturer des paquets pour
une lecture ultérieure en replay.
  Protocole NETFLOW
Tout d’abord nous savons que Flow veut dire flux (trafic). Les données netflow sont générées par
les terminaux réseaux comme les routeurs et parfeu. Ces flux de données contiennent en générale
des détails comme l’adresse IP source et l’adresse IP de destination, le numéro de port, le protocole
utilisé, l’application qui en fait la requête etc. Avec ce protocole c’est le réseau qui fournit
l’information des usages et même plus.
Initialement, Netflow est un mécanisme de commutation intégré aux routeurs Cisco WAN(fin des
années 90). Ce sont les ingénieurs de Cisco qui ont su profiter de la mine d’information que recelait
leur routeur pour en faire un protocole d’export. Basé sur l’inspection des entêtes des couches 3 et
4, un cache provisionnait en plus des éléments d’information comme la volumétrie en paquets et en
octets avec une granularité à la minute. Très longtemps les administrateurs furent réticents à activer
l’export Netflow sur les commutateurs en raison de la charge induite dans le cache qui impactait
directement la mémoire et le CPU. Mais de nos jours les équipements réseau possèdent leur propres
ASIC pour traiter le flux et l’envoyer sous format de ticket Netflow à destination d’un collecteur.
Dans sa dernière évolution la version Netflow v9, format flexible et extensible du protocole, qui
devient le modèle du standard réalisé par L’IETF appelé IPFIX.
Netflow étant une propriété cisco, les autres fournisseurs ont également leur propre appellation de
ce protocole. Ainsi du coté de Jupiter on dira « J-flow », et plusieurs autres fournisseurs comme HP
et Fortinet utilise le terme « S-flow ». Les détails d’implémentation varie en fonction du
fournisseur, mais la plus part des « Xflow » (pour dire que ce soit Jflow/Sflow/Netflox) fournissent
les mêmes types de données.

 Protocole WMI
Contrairement aux autres protocoles, WMI qui signifie Windows Management Instrumentation,
n'est compatible qu'avec le système d'exploitation Windows. Il permet à tout administrateur de
contrôler, gérer, d'installer, collecter des informations localement comme à distance. De manière
générale, il étend les possibilités de base d'administration de Windows. WMI qui s’appuie sur la
norme Desktop Management Task Force (DMTF), peut être perçu comme un ensemble spécifique
d’extensions pour le modèle de pilote Windows Driver Model qui propose une interface de système
d’exploitation permettant aux composants instrumentés de fournir des informations et des
notifications. Bien qu'il puisse faire office d'outil de monitoring il n'est pas recommandé pour cet
usage, ce protocole pouvant se montrer assez gourmand quand il s’agit de capturer des flux.
II.3.3 Les outils existants

II.3.3.1 L’outil PRTG :

PRTG Network Monitor est un logiciel de surveillance réseau facile à utiliser qui existe en 2
versions : l'une gratuite et l'autre payante. La version gratuite est limitée à 10 sondes.
Ses fonctionnalités contiennent : la surveillance de la disponibilité, du trafic et de la consommation,
le packet sniffing, l’analyse détaillée, des rapports précis, et plus. PRTG Network Monitor est
optimisé pour une installation, une configuration et une utilisation faciles.
Il vous permet de configurer la surveillance de votre réseau en quelques minutes :
- identification réseau automatique
- modèles préconfigurés avec des sets de sondes recommandés pour différents périphériques
- utilisation conviviale optimisée pour une surface hautement interactive et personnalisée
- configuration via une structure arborescente avec une transmission optionnelle des réglages.

L'interface conviviale permet aux utilisateurs de configurer rapidement les périphériques réseau et
les sondes. Toutes les méthodes courantes pour l'acquisition de données de la consommation du
réseau sont soutenues : SNMP, WMI, Packet Sniffing et NetFlow. PRTG Network Monitor
fonctionne avec plus de 10.000 capteurs. La surveillance LAN, WAN, WLAN et VPN des réseaux
éloignés géographiquement à l’aide de remote probes (agents) est possible. PRTG contient 30 sortes
de sondes pour tous les services communs du réseau (par exemple PING, HTTP, SMTP, POP3, FTP,
etc.) permettant aux utilisateurs de surveiller la vitesse et les pannes d’un réseau. Dès qu’une panne
survient, le logiciel vous informe immédiatement en vous envoyant un e-mail, un SMS, un message
pager ou par d’autres canaux d’information.

II.3.3.2 L’outil NTOPNG :

NTOPNG n’est autre que la dernière évolution en date de l’outil NTOP. C’est un logiciel libre
multiplate-forme de surveillance et de mesure du trafic IP. Il est complet et stable, et permet de
connaître très précisément la caractérisation de la bande passante en temps réel sur un réseau telle
que : quelle est la charge, quelles sont les stations qui consomme le plus la bande passante, les
protocoles utilisés, qui échange avec qui, et tout ceci par le biais d’une interface web. Pour capturer
les paquets sur une ou plusieurs interfaces, il utilise la bibliothèque portable « libpcap ». NTOPNG
utilise les couches 2 et 3 pour présenter par machines, une synthèse de tous les protocoles utilisés.
Dans sa nouvelle version, il vient résoudre certains problèmes de stabilité et de persistance des
données dont soufrai NTOP. En effet, à un intervalle régulier, ou lorsque le serveur redémarrai, les
données étaient effacés. Ainsi NTOPNG utilise présentement une base de données SQLite pour
stocker ses données. Une de ses nouvelles fonctionnalités est la possibilité d’exporter ses données
au format JSON pour l’analyse par des outils externes.
Comme inconvénient, seule la version Windows souffre d’une limitation de capture de 2000
paquets maximum à moins que l’on s’enregistre ou que l’on fasse un don.

II.3.3.3 L’outil NetFlow Analyzer de ManageEngine

NetFlow Analyzer est également un outil complet de collecte et d’analyse du trafic, offrant
également une visibilité en temps réel de la performance de la bande passante du réseau. Ainsi cet
outil fournit un ensemble d’information sur l’utilisation de la bande à savoir qui l’utilise et pour
quoi. Parmi ces fonctionnalités, il permet de faire un monitoring de la bande passante du réseau, de
l'allocation de la bande passante nécessaire aux applications importantes. En plus, il permet de faire
des notifications en temps réel du réseau en fonction des alarmes établies et permet de détecter les
machines et applications gourmandes en bande passante. De plus, il permet de faire une gestion de
priorité des paquets du réseau en fonction des applications utilisées, et dispose d’outils de
monitoring capable d’interagir avec des équipements cisco.
Les principaux avantages que possèdent cet outil sont qu’il est multiplateforme, ne nécessite pas de
matériel physique dédié, possèdent des outils avancés d’analyse et de gestion, et qu’il supporte les
technologies de plusieurs grands équipementiers.
Le principale inconvénient est qu’il est payant, avec une version de démonstration complète
utilisable uniquement 30 jours.

II.3.3.4 L’outil Wireshark

L e l o g i c i e l Wi r e s h a r k ( a n c i e n n e m e n t E t h e r e a l ) p e r m e t l a c a p t u r e e t l ’ a n a l ys
e d e t r a m e s s u r Ethernet.Son utilité est indéniable pour contrôler le bon
fonctionnement de réseau ou vérifier les trames transitant sur une interface d’un
commutateur ou analyser les trafics inutiles ou ceux impactant les performances du réseau. Voici un
petit récapitulatif des capacités de Wireshark :
- Décoder les trames (niveau 2 et 3)
- Calculer le débit moyen sur la durée de la capture (Mbps)
- Tracer un graphe du trafic pour tout ou partie des flux capturés
- Afficher les temps de réponses des trames TCP (basé sur les acquittements)
- Indiquer les erreurs ou les alertes détectées (paquets perdus, retransmis, dupliqués…)
- Suivre un dialogue TCP (notamment HTTP)
- Donner les statistiques sur les tailles des trames réseaux
Etc.
Pour cela, il suffit de l’installer sur un PC munit d’une inte rface réseau 100
M b p s o u p l u s e t fonctionnant sous Windows ou Linux
Limitation de la taille des paquets
L’analyse des trames se faisant généralement sur les premiers octets (les entêtes), il est utile de
limiter la taille des paquets capturés à une taille maximum : pour cela, il suffit de cocher la case«
Limit each packet to » et de choisir un nombre entre 68 octets (entête TCP) et 132 (informations
complémentaires pour des flux HTTP ou TNS par exemple).Cela n’a aucune influence sur les
statistiques concernant les tailles de trames puisque cette information est inscrite dans
l’entête des trames Ethernet.
Arrêt automatique sur seuil
Il est possible de limiter la capture sur 3 critères : nombre de paquets, taille de la capture et délai
dans le temps. Ces trois critères peuvent être combinés. Cet arrêt automatique permet de limiter le
travail d’analyse plus tard et de ne pas écraser un événement important.
Captures circulaires
C’est le mode le plus intéressant, surtout si la sonde dispose d’un espace disque suffisant.
Eneffet, les problèmes réseaux sont souvents fugitifs et lorsque un incident survient, le tempsd’activ
er une capture ne permet pas de trouver l’origine du problème. D’un autre côté, une capture linéaire
permet de remonter dans l’historique des trames capturées mais la manipulation d’un
fichier unique et souvent de taille imposante et difficile. La capture circulaire résout ces problèmes
II.3.x Comparatif des outils
Nous pouvons résumer sous forme de tableau les différents points forts et faiblesse de ces outils :

Figure 4 : Tableau comparatif des outils

II.3.4 Architecture
Etant donné que notre supervision se basera sur un outil qui collecte et analyse le flux, l’insertion
d’une sonde connectée au commutateur principale permettra d’effectuer cette tâche.
Figure 5 : Intégration de la sonde
 CHAPITRE III : CHOIX ET IMPLEMENTATION DE L’OUTIL

III.1 Critère d’un bon outil

Pour assurer une bonne gestion de la bande passante, l’outil de supervision devra entre autres, lors
de ses analyses du flux, reconnaitre la majorité des protocoles qui y sont utilisés, avoir une bonne
représentation des données de façon claire, utiliser le minimum de ressource possible , et avoir une
mise en œuvre et une utilisation des plus aisées, sans compter l’absence de client à installer sur les
terminaux que l’on veut superviser.
L’outil dans ses fonctions, devrait également comprendre les considérations suivantes :
 Compatibilité universelle : il devrait supporter la majorité des méthodes d’acquisition de
données afin que l’information puisse être recueillie de tous les éléments dans un
environnement de réseau hétérogène pour l’analyse.
 Affichage hiérarchique : en présentant les données via des rapports de plusieurs niveaux et
en facilitant le repérage en allant au flux de trafic individuel selon les besoins.
 Gestion des données précises : permettra de décider combien de temps il faudra maintenir
les données recueillies et la fréquence de collection à travers les différents périphériques de
réseau. Les délais de rétention prolongés pourront soutenir l’identification et la résolution
des problèmes intermittents. Les intervalles de collection d’une minute pour des données en
temps réel aideront à repérer des anomalies ponctuelles.
 Profondeur illimitée : ceci dans le but de voir au-delà des hôtes « Top N », des
conversations, des protocoles, ou d’autres mesures. Bien que l’examen du sommet d’une
liste classée puisse aider à l’identification des problèmes évidents, il se peut que cela ne
révèle les parties émergées de l’iceberg. Une telle approche ne reflète pas toujours ce qui se
produit vraiment sur le réseau, où d’autres anomalies plus subtiles provoquées par des virus,
des vers, et des intrus peuvent traîner sous la surface.

III.2 Choix de l’outil :

Les types de statistiques présentées par les quatre outils sont à peu près les mêmes. Mais il en
ressort deux du lot qui se démarque par leur plus large gamme de fonctionnalités, PTRG du côté
propriétaire, et NTOPNG du côté libre.
La structure ayant des perspective d’extension de leur réseau, ainsi que la mise en place d’un outil
de gestion de celui-ci, PTRG pourrai être un bon choix. Mais vu que la structure aimerait une
solution immédiate avec un outil gratuit, le choix s’est porté sur NTOPNG.
NTOPNG à d’autres avantages par rapport à PTRG. Il possède une interface web intuitif et
beaucoup plus épuré allant directement à l’information essentielle, ainsi qu’une plus grande base de
données de reconnaissance des protocoles. Un de ses atouts c’est qu’il est intégrable à des outils de
supervision du réseau tel que nagios, cacti ou pfsen, sous forme de plugins, à fin de former un
ensemble complet d’outil supervision réseau.

III.3 Fonctionnement de NTOPNG :

NTOPNG dans sa version actuelle la 1.1, est utilisé comme analyseur de flux nous permettant ainsi
de visualiser à travers son interface web le trafic du réseau en temps réel. Dans ses précédentes
versions, il pouvait être utilisé directement pour collecter les données à travers divers sondes. Mais
par soucis de clarté et de simplicité de configuration, ses développeurs ont attribué la tache de
collecte à une autre entité. Ainsi ntopng ne peut surveiller qu'un seul réseau, celui auquel il est
rattaché, si il utilise la méthode du « Packet Sniffing », ou analyser le flux à travers une autre entité
qui est chargé de collecter les données « netflow » reçu par les sondes des différents réseaux. Pour
son bon fonctionnement, ntopng utilise deux entités:

 Nprobe
C’est l’entité chargé de collecter et de mettre à disposition de ntopng, les données de mesure
envoyées par les routeurs et ou Switch. Pour ce faire, on le raccordera au cœur de l’architecture
réseau via un port miroir (port de monitoring) grâce auquel il recevra une réplication de l’ensemble
du trafic transitant via l’élément actif sur lequel le port monitoring est configuré.

 Ndpi
C’est une base de données de protocoles open-source mise à disposition par les développeurs de
ntop. C’est à travers cette base de données que ntopng est en mesure de détecter les applications
effectuant du trafic, quel que soit le port utilisé. Cela signifie qu’il sera possible de détecter des
protocoles connus sur des ports non standards (par exemple détecter http qui ne serai pas sur le port
80), et aussi le contraire (par exemple détecter le trafic Skype qui serai sur le port 80).
Figure 6 : relation entre nprobe ntopng et ndpi

III.4 Implémentation de NTOPNG

N’ayant pas un accès physique au réseau concret pour des raisons de sécurité et par la suite pour des
raisons de maintenance, nous nous somme basé sur de la simulation. Ainsi pour nos test, nous avons
pratiqué sur un réseau restreint, composé uniquement de :
- Un modem routeur wifi ;
- Deux pc sous Windows ;
- Un pc sous linux ;
- Le serveur linux sur lequel sera installé l’outil ;
 Figure 7 : architecture test

III.5 Installation et configuration

Cette partie nous montre comment installer et configurer ntopng.

[Voir annexe A.1 étapes d’installation et de configuration de ntopng]

III.6 Présentation de l’interface web de ntopng

Ici le but ne serait pas de présenter l'interface web dans son intégralité, mais les interfaces dont on a
besoin pour surveiller en temps réel l'utilisation du réseau, et avoir les informations à coup d'œil des
différents point cruciaux à savoir les terminaux présent sur le réseau, et l'utilisation qui en est faite.
On peut utiliser ntopng sous deux aspects, soit pour de la maintenance, soit pour de la surveillance.
Le but de la maintenance, c'est de déceler les problèmes qui surviennent sur le réseau, et la
surveillance a pour but d'avoir un visuel sur l'utilisation du réseau.
  Aspect maintenance
Avec ntopng on peut obtenir les informations suivantes :
-Lister les hôtes présents sur le réseau,
-avoir les informations relatives à un hôte,
-Identifier les applications ou les hôtes qui consomme le plus la bande passante

 Aspect surveillance
Lorsque l’on aborde ntopng sur un aspect surveillance, on peut obtenir les informations suivantes :
-Lister les applications présentes sur le réseau
-Lister les hôtes distants qui communiquent avec le réseau
-Connaître l'historique d'utilisation global ou par hôte au sein du réseau

Nous avons ainsi les pages ainsi les pages suivantes qui résumeront les fonctions de maintenance et
de surveillance.

III.6.1 Ecran d'accueil

Après la phase d'installation et de configuration, l'interface web de ntopng est accessible en

saisissant dans la barre d'adresse du navigateur, l'adresse du serveur sur lequel est installé ntopng
ainsi que le port d'écoute de celui-ci, soit dans notre cas une installation en local
''http://127.0.0.1:3000 ''. Un login et mot de passe seront requis afin d’accéder à l'écran d'accueil.
L'écran d’accueil nous montre à première vue sous forme graphique, le « top flow talkers », ceux
qui consomme le plus la bande passante.
 L'onglet Hosts : représente sous forme de diagramme circulaire les pourcentages des hôtes
qui émettent et reçoive le plus sur le réseau ;
 L'onglet Applications : représente sous forme de diagramme circulaire les pourcentages des
protocoles d'applications qui interagissent le plus sur le réseau ;
 L'onglet Senders : représente en temps réel sous forme de diagramme circulaire les
pourcentages des hôtes qui émettent le plus sur le réseau
Figure 8 : Ecran d’accueil de notpng

III.6.2 Les utilisateurs du réseau

Pour y accéder, on clique sur le menu « Hosts » puis « Hosts List ».
Dans cet onglet sont listé tous les hôtes communiquant à travers le réseau, répartit selon l'adresse IP,
le VLAN aux quel il appartient, sa location (indique si c'est un hôte local ou distant), le nom de la
machine hôte, sa dernière connexion, ASN (Autonomous System Number), une vue des pannes ou
échec sur l’émission ou la réception, le débit, la taille du trafic échangé. En cliquant sur une colonne
on effectue un tri croissant ou décroissant selon la nature de la colonne.
Figure 9 : Tous les hôtes du réseau

Cet onglet possède un filtre qui permet de différencier les hôtes :

 Les hôtes locaux : En cliquant sur « filter hosts » puis sur « local only », on liste
uniquement les utilisateurs locaux du réseau.

Figure 10 : Tous les hôtes locaux

  Les hôtes distants :
En cliquant sur « filter hosts » puis sur « remote only », on liste uniquement les terminaux
distants qui échangent avec le réseau.

Figure 11 : Tous les hôtes distants

III.6.3 Les informations concernant un hôte

Il est possible en cliquant sur l'adresse IP d'un hôte d'obtenir toute les informations relative à son
utilisation du réseau. Ainsi nous avons comme onglet :

-Home :
Cet onglet nous présente un résumé des informations concernant l’hôte soit son adresse MAC, son
adresse IP, le système d’exploitation qu’il utilise si c’est un ordinateur, le nom de la machine avec
indication si c’est une machine local ou distante, sa première et sa dernière apparition sur le réseau,
rapport entre le trafic total envoyé et reçu, la vitesse et le total du trafic envoyé et reçu, et pour finir
son activé sur le réseau sous forme de map.
Il est également possible d’exporter ces données pour un traitement particulier.
Figure 12 : Informations sur un hôte

-Traffic :
Cet onglet nous présente le trafic total écoulé, sous forme de diagramme circulaire et tableau, par
l'hôte en envoi comme en réception.
 Figure 13 : Trafic total écoulé d’un hôte

-Packets :
Représentation sous forme de diagramme circulaire le pourcentage des paquets émis et reçu.

Figure 14 : Pourcentage des paquets émis et reçu

-Protocols :
Représente sous forme de diagramme circulaire et tableau les protocoles utilisés par l’hôte avec le
total envoyé, reçu et global.

Figure 15 : Les protocoles d’application utilisée par un hôte.

-Flows :
Liste les échanges en temps réel entre l'hôte et les terminaux distant

Figure 16 : Liste des flux actif de l’hôte

-Historical :
Cet onglet nous présente un historique de l’utilisation du réseau faite par l’hôte

Figure 17 : Historique d’utilisation du réseau pour un hôte

III.6.4 Les informations concernant les flux échangé à travers le réseau

Grace à l’onglet « Flows », on a une liste de tous les flux échangé à travers le réseau réparti selon :
-Info : l’information
-Application : le protocole d’application de niveau 7
-L4 Proto : le protocole de niveau 4 utilisé
-Vlan : Le vlan auquel appartient le client
-Client : Le nom de l’hôte avec le numéro de port de l’application qui fait la requête
-Server : Le nom ou adresse du serveur avec numéro de port de la réponse
-Duration : La durée de l’échange
-Breakdown : les erreurs survenu lors de l’échange
-Throughput : le débit de l’échange
 -Total Bytes : Le volume de données échangé.
On peut effectuer un filtrage de l’affichage selon l’application souhaité

Figure 18 : Liste des flux actif du réseau

III.6.5 L’interface de capture

Lorsque l’on veut un aperçu global de l’utilisation du réseau, ntopng possède un bouton interface
qui permet de les avoir selon l’interface de capture choisi. Ces informations sont réparti sous forme
d’onglet :

 Overview :
Cet onglet nous renseigne sur le nom de l’interface, le type de capture effectué, le
volume de données transité à travers cette interface.
 Figure 19 : Information sur l’interface de capture

 Packets :
Représentation sous forme de diagramme circulaire des statistiques sur les paquets
échangés à travers le réseau

Figure 20 : Statistique d’échange des paquets du réseau

  Protocols :
Affiche des statistiques sous forme de diagramme circulaire et tableau, les protocoles
dialoguant à travers l’interface réseau.

Figure 21 : Statistique d’utilisation des protocoles du réseau

 Historical Activity :
Présente des statistiques périodique sous forme graphique de l’activité globale du
réseau
 Figure 22 : Statistiques des activités du réseau

III.6.6 Exportation de données

NTOPNG est en mesure d’exporter des données sous formats JSON afin d’être utilisé par d’autres
outils selon les besoins. Les données exportables sont les informations relatives à un hôte.
L’exportation se fait par indication de l’adresse IP ou de l’adresse MAC.
Figure 23 : Exportation de données de ntopng

III.6.7 Les utilisateurs

NTOPNG permet également de gérer ses utilisateurs en créent ou supprimant des comptes

Figure 24 : Gestion des utilisateurs de ntopng

III.7 AMELIORATION DE L’OUTIL

L’un des besoins majeurs d’un administrateur réseau, c’est de savoir ce qui se passe sur son réseau,
même lorsqu’il n’est pas sur place. Et pour cela, ntopng souffre d’un manque d’aide à la prévention,
un système d’alarme. En effet, l’administrateur réseau n’étant pas tout le temps devant son écran, il
lui faudrait un moyen d’être averti ne serai ce qu’un minimum si la bande passante internet est
sollicité plus qu’il n’en faut par un utilisateur.
C’est dans ce cadre que nous avons eu l’idée d’intégré, à l’aide de différent outils, un moyen
d’effectuer des taches d’alertes.

III.7.1 Intégration d’un système d’alarme

La première tâche que nous avons voulu exécuter, c’est de mettre en place un système permettant
d’envoyer une alerte au responsable informatique lorsque qu’une personne dépassait un certain seuil
de téléchargement.
Ntopng est capable d’exporter ses données sous format JSON (JavaScript Object Notation). C’est
un format de données textuelles, générique, permettant de représenter de l’information structurée et
ne comprend que deux (2) types d’éléments structurels :
 Des ensembles de paires nom/valeur
 Des listes ordonnées de valeurs
Ces mêmes éléments représentent trois (3) types de données :
 Des objets
 Des tableaux
 Des valeurs génériques de type tableau, objet, booléen, nombre, chaîne ou null

C’est ainsi que l’idée nous est venu d’exploiter ces données afin d’y extraire les informations dont
nous aurions besoin.

Le principe de l’alarme que nous avons élaboré, c’est l’affichage « pop-up » d’un message sur
l’écran indiquant qu’une personne a dépassé le seuil autorisé, ainsi que l’envoi de ce même message
par email à l’administrateur au cas où celui-ci ne serait pas sur place.
 III.7.2 Intégration d’un système de rapport

Toujours dans la volonté d’améliorer l’outil et de permettre à l’administrateur d’avoir une

vue globale sur le réseau, notre seconde tâche a été celle d’intégrer un système d’envoi
périodique, toujours par email, d’un relevé sur l’utilisation du réseau de chaque hôte. Ici
aucune contrainte n’était à relever.
La nécessité de ce genre de rapport, c’est que même en étant pas sur place, l’administrateur
peut avoir un aperçu de l’utilisation du réseau. Ainsi il lui sera permit de prendre des
mesures à distance en cas de besoin.

III.7.3 Les outils utilisés

Pour mettre en place ces systèmes il nous a fallu utiliser différents types d’outils :

 Serveur LAMP
LAMP (Linux Apache MySQL) est un acronyme désignant un ensemble de logiciels
libres. Il est composé de quatre (4) éléments :
- Linux assure l'attribution des ressources aux autres composants (Rôle d'un
Système d'exploitation dit OS (operating system)) ;
- Apache est le serveur web « frontal », il est « devant » tous les autres et répond
directement aux requêtes du client web (navigateur) ;
- MySQL est un système de gestion de bases de données (SGBD). Il permet de
stocker et d’organiser des données ;
- PHP qui est un langage de script, permet la génération de pages web dynamiques et
la communication avec le serveur MySQL.
Ce serveur nous permettra d’exécuter les différentes taches par des requêtes en PHP
utilisant la base de donnée MySQL et les données JSON.

 MSMTP
Il nous fallait un serveur de messagerie afin d’effectuer nos test d’envoi par email.
La solution la plus simple pour cela a été l’utilisation d’un client SMTP( Simple
Mail Transfert Protocole). MSMTP est un client léger, configuré avec php, il nous
sera possible d’envoyer un mail à travers la fonction Mail() de php avec un compte
mail comme gmail ou yahoo.
  LIBNOTIFY
La bibliothèque libnotify est utilisée pour envoyer des notifications de bureau. Ces
notifications peuvent être utilisées pour informer l’utilisateur sur un événement ou
afficher une certaine forme d’information sans gêner l’utilisateur. Dans notre cas il
sera utilisé pour afficher sur le bureau un message lorsqu’un utilisateur dépasse un
seuil.

 PHPmyAdmin
C’est un logiciel de gestion de bases de données MySQL open source, qui propose
de gérer nos bases de données. Grace à lui, on pourra administrer notre base de
données relative aux utilisateurs du réseau pour contrôler la fréquence d’envoie des
emails

 CRON
C’est un utilitaire permettant de planifier des taches. Grace à lui on pourra planifier
l’exécution de nos scripts à des intervalles prédéfinis.

III.7.4 Principes de fonctionnement

III.7.4.1 Alarme

Périodiquement, avec une fréquence d’exécution fixée à 10 minutes pour les alarmes, une requête
est effectuée afin de lister les terminaux présents sur le réseau. Cette requête est faite à partir de
« ping » sur les adresses IP du réseau.
Si nous avons trois (3) réponses positives de la part du terminal à cette adresse, une vérification est
alors faite sur son volume de téléchargement et d’envoi. Après vérification, si le volume de
téléchargement ou d’envoi dépasse le seuil fixé, une autre vérification est alors faite sur les alarmes
déjà émis pour cette adresse. Si le nombre d’alarmes déjà envoyé est égale à zéro (0), alors une
alerte par affichage « pop-up » et email est émis à destination de l’administrateur. Si le nombre
d’alarmes émis est supérieur à zéro (0), une vérification sur le volume actuel et le volume précédent
est effectué. En cas de changement, le nombre d’alarme émis est incrémenté de un (1). Si le nombre
d’alarme est supérieur au second seuil (seuil appliqué sur le nombre d’alarmes), une alerte est à
nouveau émise. Ces vérifications sont faites pour éviter d’émettre à tout moment des alertes.
 III.7.4.1 Rapport

Concernant le rapport, la périodicité d’émission est fixée en fonction de la fréquence d’exécution

que l’on veut effectuer. Dans notre cas, nous nous somme basé sur une fréquence d’exécution
journalière. Ainsi, à chaque fin de matinée, un rapport est effectué à l’attention de l’administrateur.
Pour ce faire, une requête est effectuée pour interroger la base de données afin de savoir la
consommation effectuée par chaque terminal qui a été présent sur le réseau. Ensuite le rapport est
enregistrer sous forme de fichier dont le contenu est par la suite envoyé à l’administrateur par email.

III.7.5 Interface d'administration

Il serait fastidieux pour l'administrateur d'avoir à chaque fois à démarrer le système par des lignes
de commandes. Aussi ,pour réinitialiser les compteurs d'alarmes émises pour les différents
utilisateurs , l'administrateur est obligé de le faire manuellement en utilisant phpmyadmin pour
effacer ces données. C'est pour ces raisons que nous aient venu l'idée de faciliter ces taches en
intégrant une interface web d'administration.

III.7.5.1 Page de connexion

Avant d’accéder à la page d'administration, il faudrait vérifier si c'est une personne autorisé. Cette
page est dédié à ce but.

Figure 25 : page de connexion pour administration

 III.7.5.2 Page d'administration
Cette page nous permet d'effectuer deux (2) tâches basic :
-Démarrer ntopng sans avoir à saisir la longue ligne de commande
-Réinitialiser la liste des alertes

Figure 26 : Page d'administration pour le démarrage de l'outil

III.7.6 Installation et configuration des différents outils d'amélioration

Cette partie nous montre comment installer et configurer les outils utilisés pour intégrer le
système d'alerte et de rapport.
[Voir annexe A.2 étapes d’installation et de configuration des outils pour le système
d'alerte et de rapport]
CONCLUSION
 ANNEXE

A.1 INSTALLATION ET CONFIGURATION DE NTOPNG

Pour nos test, ntopng fut installer sur une distribution linux « ubuntu 12.04 ». De ce fait toutes les
configurations qui s’en suivent sont effectuées sur ubuntu.

A.1.1 Les dépendances

Pour installer ntopng, certaines dépendances sont nécessaires à son bon fonctionnement. Il est
possible d’installer directement ntong en ligne de commande via un « apt-get install ntopng », mais
nous risquons d'avoir une version compilée sans certaine fonctionnalité tel que sa fonction de
persistance des données qui utilise la librairie sqlite. Dans notre cas, voulant une installation
complète nous commencerons par l’installation des dépendances :
 Glib
C’est une bibliothèque libre de manipulation de structures de données - arbres, table
de hachage et listes. Elle a commencé en tant qu'élément de GTK+, mais est utilisée
maintenant par de nombreuses applications.
Installation: « apt-get install glib-networking »

 GNU autotools/libtool
C’est un ensemble d’outils comprenant AutoGen, Autoconf, Automake, Libtool,
Make permettant l’auto configuration d’une application, il permet entre autre de
vérifier si toutes les dépendances d’un outil sont présent pour la bonne exécution de
l’outil. Lorsque l’on exécute un script de configuration (./configure), c’est autoconf
qui est chargé de pré configurer l'outil.
Installation: « apt-get install autotools-dev libtool »

 Libgeoip
C’est une bibliothèque destine à la géolocalisation. C’est grâce à cette bibliothèque
que ntopng sera en mesure de représenter sur une mappemonde la position des
différents hôtes distants qui communique avec le réseau.
Installation: « apt-get install libgeoip-dev »

 Libpcap
 C’est une bibliothèque permettant la capture de flux à travers la carte réseau. Grâce à
cette bibliothèque ntopng sera en mesure de capturer les flux échangés sur les
différentes cartes réseau du serveur sur lequel il est installé.
Installation: « apt-get install libpcap-dev »

 Wget
Permet d’effectuer des téléchargements de fichiers en ligne de commande. Ntopng
s’en servira pour télécharger les données relatives à la géolocalisation.
Installation: « apt-get install wget »

 Sqlite
C’est une bibliothèque écrite en C qui propose un moteur de base de données
relationnelle accessible par le langage SQL. SQLite implémente en grande partie le
standard SQL-92 et des propriétés ACID. Grâce à cette bibliothèque ntopng sera en
mesure de conserver ses données même après redémarrage de celui-ci.
Installation: « apt-get install sqlite3 »

 Libxml2
C'est la librairie d'analyse en c du xml développé pour le projet GNOME (mais utilisable en déhors
de la plate-forme gnome). C'est un logiciel libre disponible sous la licence MIT
Installation: “apt-get install libxml2-dev”

 G++
Compilateur language c++
Installation: “apt-get install g++”

A.1.2 Installation de ntopng

Après avoir installé toute les dépendances dont il a besoin, nous pouvons installer ntopng. Dans un
premier temps nous installerons nDPI sa bibliothèque de reconnaissance des protocoles, puis
PF_RING pour qu'il puisse capturer les flux (ici nous installons libpcap et pf_ring), ensuite
nPROBE pour la collecte des données netflow provenant du commutateur. En mode root sur le
shell nous saisiront les commandes suivantes:
  NDPI
# svn co https://svn.ntop.org/svn/ntop/trunk/nDPI
# cd nDPI
# ./configure –with-pic
# make

 PF_RING
# svn co https://svn.ntop.org/svn/ntop/trunk/PF_RING/
# cd PF_RING/kernel
# make
# insmod ./pf_ring.ko
# cd ../userland
# make

 NPROBE
Pour nprobe c'est un peu différent, il faut télécharger la dernière version sur le site à l'adresse
« http://www.nmon.net/packages/ubuntu/x64/nProbe/ » (à noter que nous téléchargeons une version
pour système 64bit, la version 32bit est également disponible) ;
On se place dans le répertoire courant de téléchargement et on fait :
dpkg -i nprobe_6.15.131203-3800_amd64.deb pour l'installer

 NTOPNG
# svn co https://svn.ntop.org/svn/ntop/trunk/ntopng/
# cd ntopng
# ./configure
# make geiop
# make install