Accedian fait maintenant partie de Cisco |

SNMP : Comment intégrer Skylight avec Nagios

Comment utiliser la matrice pour identifier les comportements anormaux du réseau ?

Configurer correctement les zones

Le premier point, pour être capable de tirer le meilleur bénéfice de la matrice, est d’avoir correctement configuré ses zones. Avant toute chose, vous devez :

  • comprendre la configuration par défaut des zones
  • concevoir vos zones par rapport à votre réseau

Les zones fonctionnent comme ceci : une adresse IP ne peut faire partie que d’une seule zone… Cela signifie que la prise en compte des définitions de zone s’est basée sur le masque de sous réseau de leurs segments : plus le masque de réseau est important, plus sa priorité sera élevée.

Pour example :

10.1.0.0/16 a été déclaré dans la zone A
10.1.1.0/24 a été déclaré dans la zone B
10.1.1.1 fera partie de la zone B
10.1.2.1 fera partie de la zone A

Toutes les adresses IP référencées dans la zone B ne feront pas partie de la zone A. La configuration de la zone Internet est basée sur des segments privés comme la RFC 1918 (http://tools.ietf.org/html/rfc1918). Par défaut, quelques zones sont créées :

Multicast (224.0.0.0/8)
Broadcast (255.255.255.0)
Intranet (192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12)
Internet (tous les segments qui n’ont pas été définis dans une zone par défaut ou par l’administrateur).

Si vous configurez vos zones aussi précisément que possible, vous utiliserez des segments réseau qui sont plus petits que ceux utilisés pour définir l’intranet. En conséquence, quand toutes vos zones sont configurées, il ne devrait plus y avoir de flux actifs ayant une adresse dans la zone intranet.

Dans ce cas, vous pouvez obtenir un grand nombre d’informations de la matrice en termes de surveillance sécurité.

Rechercher les flux Intranet !
Dans la matrice, vous devez examiner avec attention les cellules représentant le trafic “en direction de” et “à partir de ” de la zone Intranet :

De la zone Intranet vers une autre zone : cela signifie que certaines machines utilisent des adresses IP qui ne font pas partie des sous-réseaux normalement utilisés dans votre organisation. Il y a de nombreux moyens d’expliquer cette situation mais cela mérite une analyse rapide. En cliquant sur une cellule pour identifier le nombre de machines, le type d’application utilisée, et la direction du trafic, vous serez capable de trouver une explication sur ce qu’il se passe sur le réseau. Un sous-réseau fantôme est utilisé par quelques utilisateurs (vous n’en avez évidemment pas connaissance) ces adresses correspondent à un segment résiduel qui a été entièrement migré…

Si vous ne pouvez observer les flux que dans un seul sens : certaines machines peuvent être mal configurées (appelant un serveur qui n’existe plus), certaines machines peuvent être infectées…

A partir d’une zone vers Intranet : cela peut signifier que certaines machines essayent d’accéder à des machines qui ne devraient pas exister sur votre réseau. Si le flux est observé dans les deux directions, cela veut probablement dire que des machines réelles sont installées sur votre zone intranet (voir les explications ci-dessus). Si le flux est à sens unique, l’analyse est beaucoup plus urgente. Évidemment, comme ce trafic ne reçoit jamais de réponse, cela devrait rester très limité. Cela peut aussi correspondre soit à une erreur configuration (mauvaise configuration DNS, imprimante,…) Dans ce cas, ils essayeront d’accéder à un nombre limité de machines pour un ensemble de services spécifiques) soit à une infection (comme un spyware ou un worm). Mais en quelques clics, vous serez en mesure d’identifier les machines qui pourraient être infectées et en regardant les ports, vous saurez sur lequel elles essayent de communiquer. Si elles essayent de communiquer vers un nombre important de machines avec des ports inhabituels, vous devez y prêter une grande attention et ce, dès que possible.

Internet vers Internet : Si vous voyez des flux dans une cellule venant d’Internet vers Internet, vous devriez les étudier plus en détails. Que cela signifie-t’il ?

A Un segment privé n’est pas en conformité avec RFC1918; votre entreprise a choisi d’utiliser un dispositif d’adresses distinctes, dans ce cas, nous vous conseillons de déclarer ces segments dans une zone dite privée (par conséquent, ces adresses ne devraient pas apparaître dans la zone Internet).

Certaines machines ont une étrange configuration IP : par exemple vous pourrez trouver des machine inconnues connectées sur votre réseau avec une configuration IP exotique (par exemple, peut-être une machine appartenant à une personne extérieure ou un serveur qui ne devrait pas communiquer via votre réseau mais à travers un port série.)

La configuration Ad-hoc : En fonction de votre contexte réseau, vous devez certainement pouvoir identifier le trafic, entre zones, qui ne devrait pas exister sur votre réseau.

Par exemple, Il est peut-être anormal que la station de travail dans le LAN essaye de se connecter directement à internet sans passer par le proxy). Si vous adaptez votre configuration en isolant les proxys dans une zone spécifique, vous serez en mesure de savoir, à tout moment, dans la matrice, si des machines sont en train de contourner le proxy.

Un autre exemple, les zones de postes de travail devrait uniquement communiquer avec les zones serveurs et pas entre-elles, tout comportement anormal serait facilement identifié.

Plus vous définirez vos zones précisément, plus la matrice sera performante et vous aidera à identifier les comportements anormaux.