PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en France, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
×

Avertissement

JUser::_load : impossible de charger l'utilisateur ayant l'ID 403
jeudi, 12 juillet 2012 17:09

Détection des vers avec NBAR de Cisco

Évaluer cet élément
(1 Vote)

logoRécemment, je suis tombé sur un article très intéressant à propos de NBAR qui peut classer les vers sur le réseau. Dans la plupart des cas, les vers se propagent à travers le réseau par l’intermédiaire de pièce jointe dans un mail ou d’un navigateur.

Les pièces jointes peuvent être filtrées grâce à des paramètres appropriés sur le serveur SMTP (serveur mail) mais les vers peuvent aussi se propager au travers du navigateur. Cela peut être filtré grâce à la classification de NBAR.

Qu’est-ce que NBAR ?

Network Based Application Recognition, un système de classification de l’IOS de Cisco, peut détecter un grand nombre d’applications en inspectant en profondeur les paquets grâce au PDLM (Packet Description Language Module – Le PDLM contient les règles utilisées par NBAR pour reconnaître une application).

NBAR, c’est plus qu’une classification intelligente, il a la capacité d’identifier les applications web et serveur-client qui utilisent des ports dynamiques ainsi que ceux qui utilisent des ports bien connus (comme Bit Torrent). Cela aide l’administrateur réseau à identifier ce qu’il se passe réellement sur le réseau et alors définir des politiques QoS afin d’être sûr que la bande passante est utilisée correctement (pour les applications d’affaires).

Voici quelques exemples de configuration sur les dispositifs Cisco qui peuvent vous aider à filtrer le trafic malveillant.

Router(config)#class−map match−any http−hacks
Router(config−cmap)#match protocol http url “*.ida*”
Router(config−cmap)#match protocol http url “*cmd.exe*”
Router(config−cmap)#match protocol http url “*root.exe*”
Router(config−cmap)#match protocol http url “*readme.eml*”

Une fois le routeur configuré pour filtrer les vers comme spécifié ci-dessus, le moteur NBAR effectuera une analyse en profondeur des paquets du trafic passant par l’interface du routeur et si le trafic correspond à l’une des classes ci-dessus alors l’administrateur peut les filtrer en utilisant la liste d’accès ou il peut établir une politique de routage pour surveiller les hôtes infectés.

Comment NetFlow Analyzer peut vous aider ?

NetFlow Analyzer est capable de classer les rapports générés par NBAR via le SNMP et Flexible NetFlow. Cliquez ici pour savoir comment configurer le routeur pour FNF NBAR.

NBAR peut également classer des URL HTTP spécifiques, avec la fonctionnalité NBAR de NetFlow Analyzer, vous pouvez garder une trace du trafic anonyme ainsi que surveiller le trafic provenant des hôtes infectés.

Téléchargez notre version d'évaluation de 30 jours de NetFlow Analyzer

Rejoignez-nous sur notre page Facebook

Tenez-vous au courant des dernières nouvelles du secteur grâce à notre communauté LinkedIn Bandwidth Monitoring and Traffic Analysis for Enterprises (en anglais)

Référence :
http://www.cisco.com/image/gif/paws/4615/nimda.pdf

Lu 3518 fois

Éléments similaires (par tag)

Plus dans cette catégorie : « Faille de sécurité chez LinkedIn : utilisez un gestionnaire de mot de passe ! Sécuriser son réseau et assurer un service client continu »
Retour en haut

Copyright © 2024 ManageEngine.fr - N° de dépôt 543JV4 - Conçu par NosyWeb.fr - Expert Joomla

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.