Les meilleurs outils d’analyse du trafic réseau de 2020

Galaxie : Voie lactée. Planète : Terre, système solaire. Date : Année du Rat, numéro 4718 de Huangdi, l’Empereur jaune. Nef : Pandora FMS Enterprise. Voyager 2 rapporte que sa sœur jumelle aînée est à 20 heures, 46 minutes et 19 secondes de la planète bleue à la vitesse de la lumière. Les ondes radio voyagent presque à cette vitesse, et bien que sa réserve de plutonium soit épuisée et que les composants électroniques soient presque gelés, malgré tout cela, nous en recevons des signaux. En attendant, nous utilisons ici la fibre optique et ce fichu fichier au format ISO de près de 5 gigaoctets ne se télécharge pas complètement. Que se passe-t-il ?

Si nous sommes administrateurs réseau ou programmeurs, les utilisateurs nous demandent de temps en temps – et en toute confiance – pourquoi le téléchargement prend autant de temps. Inutile de leur expliquer que leur ancien disque plat ne parvient pas à saisir les 600 Mbit/s du nouveau modem… le problème doit être sur le réseau et non sur leurs ordinateurs.

Et pour être honnête, seulement en partie, ils ont raison. Nous pouvons avoir les débits les plus impressionnants avec la technologie de dernière génération, mais si un grand nombre d’utilisateurs se connectent à notre serveur de base de données, alors que dans notre réseau local, nous effectuons des sauvegardes de données ou des déplacements d’ordinateurs avec plusieurs pétaoctets dansant et bourdonnant sur nos routeurs et hubs privés, oui, le retard fera des ravages.

Avec la dépendance croissante aux services réseau pour les applications métier critiques, le moindre changement dans l’utilisation du réseau peut affecter les performances et la fiabilité du réseau. Cela a un impact direct sur la capacité à exécuter des fonctions clés d’un point de vue commercial et le coût de maintenance des services réseau.

Que peut faire Pandora FMS Enterprise pour nous, mammifères terrestres ? Aujourd’hui, je vais vous en parler, les pieds fermement sur la planète Terre.

Commutateurs Ethernet dans une armoire de 19 pouces de large
https://commons.wikimedia.org/wiki/File:19-inch_rackmount_Ethernet_switches_and_patch_panels.jpg

Principes de base

Dans ce blog, nous partageons constamment nos connaissances, et bien que vous sachiez probablement déjà ce qu’est la bande passante et les outils pour la mesurer ou ce qu’est exactement la supervision réseau, il est toujours une bonne idèe de revoir un peu.

Il est également nécessaire de revoir les instruments qui sont, au moins en partie, des outils d’analyse du trafic réseau : les syslog générés par routeurs, hubs et pare-feu (par matériel ou par logiciel selon la norme RFC 3164 via UDP via le port 514). Ceux-ci vous informent des connexions et déconnexions des services et appareils WAN, de l’état des Réseaux privés virtuels (Virtual Private Network ou VPN), quelles connexions réseau étaient autorisées et quelles ont été éliminées dans le pare-feu, etc.

Et d’autres concepts ont changé ou même sont morts… Par exemple, avec l’immense multitude de sites Web qui utilisent des certificats numériques gratuits de Let’s Encrypt, l’ Inspection Profonde de Paquets est devenu difficile, et cela sans tenir compte de :

  • Le nouveau protocole DNS over HTTPS (DoH), qui empêche vos Fournisseurs d’Accès à Internet (FAI) de savoir quels domaines vous allez visiter.
  • Chiffrement même du nom de domaine lui-même que vous demandez.

ESNI: A Privacy-Protecting Upgrade to HTTPS
https://www.eff.org/deeplinks/2018/09/esni-privacy-protecting-upgrade-https

Dans un autre ordre d’idées, au sein des outils d’analyse du trafic réseau se trouve le Simple Network Management Protocol (SNMP), une technologie très bien maîtrisée par Pandora FMS Enterprise. Pandora FMS a enregistré une grande Managed Information Base (MIB), car chaque fabricant inclut ses propres définitions, qui sont incompatibles avec les autres. Je le vois comme le manuel d’utilisation de chaque machine à laver : il en existe de nombreux types et, bien qu’ils servent le même objectif, chacun le fait à sa manière. Mais le plus gros inconvénient de SNMP est qu’il contribue peu à l’analyse du trafic réseau ; c’est pourquoi un outil qui aille plus loin était nécessaire.

Tout comme Nagios a été le père putatif de nombreux programmes de supervision, NetFlow® a de nombreux successeurs du type x-Flow. Alors que la version 9 a fait son chemin en tant que norme publique, c’est la version 10 qui a fait le saut avec le Internet Protocol Flow Information Export (IPFIX) pour ajouter de la flexibilité aux utilisateurs et ainsi pouvoir inclure plus de champs sur lesquels rapporter (inclure plus de types de métriques).

Pour cela, des modèles sont utilisés qui décrivent bien les données encapsulées et ne sont transmis qu’au début de chaque session. Bien que Cisco®, la société qui a créé le protocole d’autrefois, ait attribué un code à chaque fabricant et / ou partenaire pour identifier leurs modèles, cela n’empêche pas quelqu’un d’autre de numéroter leurs propres modèles. Bien que cela ne semble pas être un problème majeur, cette possibilité de répéter le code est là, sous-jacent.

Vous souvenez-vous de l’exemple des machines à laver ? Eh bien, ici ça ne vaut pas la peine de lire le manuel et de le mémoriser, il faut bien lire le manuel (template) à chaque session pour être sûr que toutes les métriques qu’ils vous ont envoyées pour collecter sont là (sinon pour cela vous avez les alertes Pandora FMS) et s’il y a un excès d’informations, supprimez-les. Ou, si vous avez beaucoup de disques durs, alors enregistrez-les juste au cas où… Je pense que lorsque vous réussissez quelque chose de ceci appelé Intelligence Artificielle, il sera capable de digérer ces champs supplémentaires et de vous envoyer une alerte dans la console Pandora FMS : « Votre nouveau tableau de bord de NetFlow® (ouX-Flow) est prêt à fonctionner. »

Un autre inconvénient de NetFlow® est qu’il est présent dans le matériel réseau de grande valeur, car ces périphériques font quelque chose de vraiment incroyable : tout le trafic réseau qui passe par un routeur ou un concentrateur peut être « copié » et envoyé à l’un des ports, où vous connecterez à votre tour une sonde qui peut collecter tout ce trafic. Si vous ne disposez pas de ce type de matériel réseau, tout autre peut toujours être connecté à un Terminal Access Point (TAP réseau), ce qui fonctionne au niveau de couche 1 du modèle Open System Interconnection (OSI).


Modèle OSI
https://commons.wikimedia.org/wiki/File:Osi-model-jb.svg

Mais le dire c’est plus facile que de le faire. Avant, ce type de gadget n’affectait pas du tout les connexions réseau, mais à partir d’aujourd’hui :

  • Les hubs ont pratiquement disparu ; ces périphériques qui transmettent tous les paquets à tous les ports Ethernet, de sorte que votre réseau TAP fonctionnerait sans problème majeur. La plupart sont maintenant commutateurs non gérés qui peuvent discerner à qui transférer et ils même ont le protocole Quality of Signal (QoS), qui donne essentiellement la priorité aux connexions qui transportent l’audio et la vidéo en temps réel. Nos utilisateurs qui travaillent à distance apprécient vraiment cette technologie (même s’ils ignorent son existence).
  • Dans le cas des commutateurs gérés, l’inconvénient est que leur configuration peut être effacée et que vous devrez la réinitialiser ; cependant, les équipements Cisco® et certaines autres marques utilisant NetFlow® n’ont pas ce problème (et vous n’avez pas besoin de TAP réseau pour eux).
  • Avec les connexions modernes Gigabit Ethernet (1000 Mbps), vous aurez besoin de puces spécialisées pour discerner les signaux qu’elles reçoivent puis les transmettre au port de supervision, et pour cela, vous avez besoin d’électricité : en cas de panne de courant dans le TAP, cela affectera l’ensemble du réseau auquel il est connecté (comportement indésirable).
  • Avec les connexions à fibre optique, un pourcentage des photons sera simplement dévié, ce qui pourrait diminuer la distance maximale de la connexion (besoin de répéteurs sous tension).

Mais ne vous fâchez pas avec NetFlow® : j’atteste de sa sage décision de déplacer leurs données au format binaire et par UDP, cela réduit le trafic réseau (même si vous avez votre propre réseau local cela vous fera toujours gagner du temps et de l’argent).

Mon avis tombe alors sur sFlow® (abréviation de sampled flow), qui, à mon avis, a gagné du terrain au fil des ans et est soutenu par de nombreux fabricants (et solutions logicielles qu’on verra bientôt). L’essentiel est qu’il ait une compatibilité ascendante et qu’il puisse fonctionner de la couche 2 à la couche 5 du modèle OSI. Cela apporte de nombreux avantages et sans compter que vous pouvez même utiliser le format de sérialisation binaire « Cap’n proto » (pas par défaut) pour envoyer vos métriques aussi efficacement que NetFlow®. La version 4 de sFlow® a été spécifiée dans la norme RFC 3176 (désormais obsolète) et la norme actuelle est en version 5. Cette norme est gérée par le consortium d’organisation sFlows®.

Neuf outils d’analyse du trafic réseau

  • nTop: Qualifié comme essentiel par l’équipe Pandora FMS. Ai-je besoin d’en dire plus ? Oh oui, vous pouvez prendre des données sFlow® (et d’autres X-Flow) avec l’outil nProbe et les présenter comme NetFlow® pour générer vos rapports. Il est en tête de notre liste car, en plus, il apparaît indirectement dans l’élément suivant.
  • Pandora NTA: Dont le nom vient de « Network Traffic Analyzer ». Il résulte de la saisie du code nTop et de l’ajout d’algorithmes en langage Perl afin que votre serveur Pandora FMS puisse recevoir le XML avec les données collectées avec X-Flow. Pandora NTA est un outil d’analyse du trafic réseau conçu pour les environnements dans lesquels Netflow ne peut pas être utilisé pour effectuer une analyse réseau. Pandora NTA est un moyen simple de superviser un réseau à un bas niveau, sans investir dans du matériel spécialisé ou des outils tiers, et en incorporant ces informations dans une plate-forme de supervision existante. Pandora NTA offre :

    -Consommation détaillée par trafic, entrant et sortant de chaque IP locale d’un réseau local.

    -Détection des problèmes réseau (en générant des événements).

    -Rapports spécifiques sur la consommation du réseau, par IP source.

    -Une liste des adresses IP de destination avec plus de trafic par IP source dans le réseau.

    -Rapports de consommation du réseau local par origine, cartes dynamiques et options de recherche et de filtrage avec les données accumulées.

    -Avec les données de trafic individuelles de chaque ordinateur sur le réseau, Pandora NTA pourra générer des alertes, des rapports de type TopN et utiliser toute autre fonction de Pandora FMS, puisqu’ils sont enregistrés en tant que modules d’agent.

    Je recommande de lire l’intégralité du chapitre dédié à cet outil et n’hésitez pas à demander si vous souhaitez une démo gratuite de Pandora FMS Enterprise..

  • Wireshark: Un autre must-have open source capable de collecter plusieurs X-Flows, disponibles pour différents systèmes d’exploitation. Ses nombreuses autres fonctionnalités le font basculer vers la zone de test de sécurité, entre autres.
  • sflowtool: À utiliser en ligne de commande (bien qu’il dispose également d’une interface graphique pour le temps réel, sFlowTrend), cet outil open source est désigné par sFlow Org., et son code source repose sur GitHub. Il utilise également nTop accompagné de Snort et tcpdump pour analyser des pertes de paquets sur le réseau.
  • ManageEngine Flow Analyzer: Solution commerciale qui est disponible en deux versions : basique mais limitée (Essentiel) et payante (Entreprise). Il dispose de fonctions d’alerte et de notification, de tableaux de bord graphiques personnalisés, de regroupement du personnel (leurs machines et applications) et d’une curieuse fonctionnalité de facturation de la consommation d’octets.
  • Nfsen: Bien qu’une lectrice ait souligné que nous l’avons laissé de côté dans une compilation précédente, nous l’incluons cette année car il peut traiter sFlow®, IPFIX (les bases) et certaines versions de NetFlow®. Il fait une tentative louable de gérer Network Event Security Logging (NSEL) et NAT Event Logging (NEL), deux technologies propriétaires de Cisco®. En fait, Nfsen est la partie graphique de nfdump, qui est celui qui s’occupe vraiment des tâches ci-dessus. Les deux sont open source et Nfsen est utilisé en complément de LibreNMS (fork d’Observium).
  • Paessler PRTG: À travers le Sensor sFlow V5 recueille les métriques ; à une autre occasion, j’ai fait une comparaison que vous pouvez lire sur ce lien. Je dois juste ajouter que cette solution est toujours active et qu’elle propose également des notifications sur le téléphone mobile, 30 modèles de rapport pour les résultats des listes des cent premiers en utilisation du réseau, en utilisation de l’espace, en temps en ligne, etc., entre autres fonctionnalités.
  • Intermapper Flows®: Solution propriétaire qui collecte JFlow®, sFlow® et NetFlow®. Son principe est « s’il a une adresse IP, Intermapper® la supervise », nous avons donc un autre cas – mais combiné – d’interface graphique et de complément. Je déclare seulement qu’ils le proposent également pour une utilisation par la criminalistique informatique, avec les caractéristiques et les fonctionnalités que cela implique.
  • FlowViewer: Même les scientifiques de la NASA s’enfuient de peur avant d’avoir à utiliser la ligne de commande, et comme son nom l’indique, cet outil représente graphiquement le X-Flow (en particulier NetFlow®). Il fonctionne en fait avec SiLK et RRDtool et est actuellement utilisé dans plusieurs États américains qui sont connectés à EOSDIS Distributed Active Archive Centers (DAAC). Littéralement hors de ce monde, je n’en dis pas plus.

herramientas de análisis de tráfico de red 4

Carte DAAC ( fuente: NASA https://earthdata.nasa.gov/eosdis/daacs

Avant de finir, rappelez-vous que Pandora FMS est un logiciel de supervision flexible, capable de superviser des appareils, infrastructures, applications, services et processus métier.

Souhaitez-vous en savoir plus sur ce que Pandora FMS peut vous offrir ? Découvrez-le en cliquant ici .

Si vous devez surveiller plus de 100 appareils, vous pouvez profiter d’un ESSAI GRATUITE de 30 jours de Pandora FMS Enterprise. Obtenez-le ici .

Sachez également que si vous avez un petit nombre de périphériques à superviser, vous pouvez utiliser la version OpenSource de Pandora FMS. Trouvez plus d’informations ici .

Shares

Téléchargez gratuitement le rapport le plus complet sur la surveillance sécurisée d'IDG research.