Académique Documents
Professionnel Documents
Culture Documents
l’entreprise
Thierry Descombes
Laboratoire de Physique Subatomique et de Cosmologie
53 Avenue des Martyrs
38000 Grenoble
Résumé
Connaitre, comprendre et savoir interpréter la nature des trafics sont des enjeux cruciaux de la sécurité
des réseaux d'entreprise.
Je vais vous présenter znets2, un logiciel de supervision innovant, basé sur la collecte des flux, leur
caractérisation fine, et leur stockage. Il permet de satisfaire aux enjeux légaux tout en améliorant le
niveau en sécurité informatique de l'entreprise.
La corrélation d'une part des données de métrologie avec des flux réseau, et d'autre part des alertes avec
les flux réseau, se révèle à la fois simple (formulaires pré-remplis, richesse des informations fournies...)
et réellement pertinente. Elle permet un niveau de compréhension inégalée du réseau local..
Mots-clefs
Sécurité, métrologie réseau, interprétation flux, nids, ipfix, netflow, supervision LAN
La supervision et l’interprétation des flux du réseau local sont un enjeu majeur en matière de
cybersécurité.
Fort de ce constat, le consortium des administrateurs système et réseau des laboratoires CNRS/IN2P3, ont
exprimé un besoin: un logiciel de supervision innovant, permettant de satisfaire aux enjeux légaux tout en
améliorant le niveau en sécurité informatique des la-boratoires de l'IN2P3. Thierry Descombes gère le
projet et développe l'outil. De nom-breuses rencontres entre les participants ont permis de rédiger un
cahier de charge dé-taillé. Ismael Zakari Touré a participé au projet dès ses débuts lors d'un stage
profession-nel. Passionné par les technologies web, il a pris en charge le développement de l'interface
graphique. L'IN2P3 a ensuite financé 6 mois de CDD pour qu'il puisse finaliser les déve-loppements web.
A tous les stades du développement, les laboratoires IN2P3 ont participé aux tests et évaluations du
logiciel, et nous ont permis aujourd'hui d'avoir une version 2 du logiciel à la fois pertinente et robuste,
car testée sur des réseaux très hétérogènes (taille, technologie, débits...).
Znets permet concrètement de mettre en place une surveillance adaptée des systèmes et des réseaux,
capable de garantir une réactivité maximale en cas d’incident.
L’intégralité des flux sont stockés, et disponibles pour analyse pendant plusieurs mois.
Une centaine de graphiques sont présents et permettent l’étude de la métrologie du ré-seau.
Znets génère également des alertes fiables lorsqu’une anomalie est détectée (la majorité des alertes étant
levées en temps réel).
Les flux sont stockés dans une base de données relationnelle, partitionnée. Ils restent ainsi consultables
plusieurs mois, quelque soit le réseau.
3 Principe de fonctionnement
Znets fonctionne sur toutes les architectures réseau, IPv4 ou IPv6. Les données néces-saires au
fonctionnement doivent être collectées depuis les équipements réseaux périphé-riques. Les protocole
Netflow et Ipfix sont supportés.
Anomalie
HTTP
SSL / X509
Les graphiques de métrologie permettent l’accès à plusieurs niveaux de détails (grâce à la mise en
corrélation des données statistiques avec les flux réseaux bruts enregistrés). L'étude permet donc une
compréhension complète des flux échangés. Une centaine de graphiques différents sont disponibles.
znets permet un inventaire complet en temps réel de toutes les machines du réseau, avec enregistrement
des périodes d'activité, détection du système d’exploitation.
znets permet aussi la consultation des périodes de présence de chaque machine sur le réseau, ainsi que
l’ensemble des services TCP et UDP qui ont été interrogé sur la machine.
znets apprend le comportement normal des machines supervisées et détecte également, tout changement
significatif (nouveaux services, extrapolation de la volumétrie, …)
De plus, Znets est un IDS (Intrusion Detection System) avec des mécanismes de mise à jour automatique.
De plus, Znets dispose d’une quinzaine d’euristiques fiables qui permettent d’identifier des anomalies au
niveau des flux réseaux :
« OUTGOING SCAN »
Sens: du LAN vers l’extérieur
La détection est similaire au scan entrant.
Une machine locale est compromise ou un utilisateur utilise un outil permettant le balayage de ports
« SUSPICIOUS HOSTS »
Listes de réseaux suspects configurables et uploadable…
malware, virus, streaming…
« MAIL SPAM »
Nb connections SMTP(s) sortantes > seuil
Spam Bot
« Fragmented header »
Taille du paquet < taille de ses entêtes
Fragmented packet port scan attack …
« Forbidden Application »
Lorsque une application interdite est détectée.
De plus, la facile mise en corrélation d’une alerte avec les données stockées apporte des informations
cruciales, sans équivalent, sur l’incident. Les statistiques horaires et journa-lières permettent
l’identification immédiate d’un trafic inhabituel.
Znets permet ainsi la détection de la plupart des APT, scan, malware, virus, le non respect des chartes
informatiques, téléchargements illicites…
Les experts sont informés par email ou autres. Un traitement automatisé de l’incident est possible, grâce à
l’exécution de scripts externes.
Dans la plupart des laboratoire, znets est mis en œuvre au sein d’une architecture comportant un collec-
teur unique et une ou plusieurs sondes. Le routeur périphérique exporte les flux, ou lorsque c’est possible,
une sonde znets est utilisée (sur le firewall, par exemple). Dans tous les cas, znets est configuré pour
analyser le trafic interne (côté LAN).
Le campus d’Orléans héberge 11 entités qui possèdent chacune leur propre collecteur. Des sondes znets
sont installées sur les firewalls (Linux).
Plus d’info :
https://2013.jres.org/archives/112/paper112_slides.pdf
https://2013.jres.org/archives/112/paper112_article.docx
IPFIX
L’outil de gestion des métadonnées pour l’expérience ATLAS (CERN) est installée sur 2 ma-chines
physiques et jusqu’à 10 machines virtuelles (instanciées dynamiquement en fonction de la charge). Znets
est utilisé à des fins de monitoring, d’interprétation des trafics et volumes, pour le débogage et le
dimensionnement de l’infrastructure. Toutes les machines supervisées (virtuelles et physiques) possèdent
leur propre sonde znets configurée de la même façon, qui exportent uniquement leur trafic vers un
collecteur.
Export des @mac et autres infos non Oui (export Ipfix avec champs
depuis les réseaux internes propriétaires)
9 Conclusion
Aujourd’hui, znets est largement déployé dans les établissements d'Enseignement Supé-rieur et de
Recherche. Il s’est avéré particulièrement facile à déployer et à prendre en main. Il supervise environ
15000 postes au sein du CNRS.
La corrélation d'une part des données de métrologie avec des flux réseau, et d'autre part des alertes avec
les flux réseau, se révèle simple et pertinente. Elle permet un niveau de compréhension inégalée du réseau
local.