Supervision réseau

Nous sommes comme d'habitude au siège social de Zylker, la société fictive d’Anytown, USA. Il est sept heures du matin et l’ambiance est très animée dans et hors des bureaux avec la vapeur des tasses de thé et de café. Martina, l'administrateur réseau, saisit sa tasse de café et se dirige vers son bureau pour commencer sa journée. En s’installant dans son fauteuil, Martina n’a aucune idée qu'elle va bientôt découvrir une nouvelle façon d'accomplir certaines tâches quotidiennes sur son mobile. Mais laissons-la raconter son histoire ...

« Une fois connectée sur mon bureau, je prépare tout ce dont j’ai besoin pour travailler lorsque tout à coup, un écran bleu inhabituel apparaît de nulle part. Puis, mon ordinateur s’arrête ! Je tente de débrancher et de rebrancher l’alimentation principale. Mais peu importe ce que je fais, mon ordinateur ne redémarre pas. Je vois que ma journée a pris un tournant avant même d'avoir commencé ! Je sors mon téléphone mobile et génère un ticket dans l'application ServiceDesk Plus, et maintenant tout ce que je peux faire c’est attendre, non?
Normalement, à cette heure de la journée, je fais ma surveillance habituelle. Mais avec mon ordinateur qui ne fonctionne plus, je me sens impuissante. Mais aussitôt avoir fini d’enregistrer mon ticket dans l’application mobile, il m’apparait une vague d’espoir.
La première chose que je dois faire en tant qu'administrateur réseau est de scanner les adresses IP sur notre environnement Wi-Fi, afin d’obtenir une visibilité sur notre utilisation du réseau. C'est ce que je peux faire désormais avec l'outil de Ping Android sur mon téléphone. Ensuite, je compare les résultats avec les jours précédents et je cherche les périphériques indésirables. Heureusement, je n’en trouve pas. Grâce à l'outil de Ping sur Android, j’ai pu scanner le réseau Wi-Fi que mon entreprise utilise pour les appareils mobiles et la direction. Tout semble bien, jusque-là.

La qualité de service (QoS) est une technologie très tendance depuis sa création. La QoS combine plusieurs technologies qui aident dans la construction de modèles de trafic sur un réseau informatique. Pour déployer une politique de QoS simple qui privilégie les applications critiques de l'entreprise sur votre réseau, suivez ces trois étapes :

1. Classifier le trafic réseau
2. Réguler (shape) ou limiter (police) les flux
3. Appliquer la stratégie de QoS à une interface WAN

L'exemple ci-après explique le déploiement de QoS sur un réseau pour supporter la VoIP, qui est maintenant couramment utilisée sur la plupart des réseaux. Ces paquets VoIP doivent avoir un traitement approprié sur le réseau ou alors les utilisateurs connaîtront une mauvaise qualité d’appel sur le réseau.

Classifier le trafic réseau

La classification identifie le type de trafic auquel vous souhaitez donner la priorité sur le réseau, puis marque le trafic comme prioritaire. Ainsi, lorsque le trafic marqué se déplace à travers des dispositifs réseaux, ces dispositifs reconnaissent le trafic prioritaire et fournissent un traitement approprié.

Un déni de service distribué (DDoS) est en réalité un flux de données illégitime envoyé vers une ressource réseau à partir d'une adresse IP ou un groupe d'adresses IP, ce qui rend la ressource réseau indisponible. Une attaque DDoS est une menace sérieuse pour la sécurité de tous les types de réseaux, du simple réseau d'entreprise au réseau d'entreprise plus complexe. Heureusement, NetFlow Analyzer peut vous aider à détecter les attaques DDoS et atténuer les dommages qu'ils pourraient vous causer.

Comprendre les attaques DDoS

Les attaques DDoS profitent de la séquence du three-way handshake qui est effectuée pour chaque connexion établie via le protocole TCP. Sans surprise, les hackers ont trouvé un certain nombre de moyens de contourner le three-way handshake.

Dans une attaque DDoS (on parle aussi de flooding), les attaquants perturbent la séquence du three-way handshake soit en ne répondant pas au SYN-ACK du serveur ou en envoyant un paquet SYN en continu à partir d'une IP inexistante (IP usurpée).

Dans le three-way handshake, le serveur maintient une file d'attente pour l'envoi des SYN-ACK. Au cours de l'attaque, le client ne répond pas au SYN-ACK envoyé par le serveur. Ainsi, le serveur est rendu indisponible. Le serveur maintient une file d'attente de SYN-ACK pour tous les paquets SYN reçus de l'adresse IP usurpée. À un certain moment, la file d'attente déborde et le serveur devient indisponible.

Il existe différents types d'attaques DDoS, tels que les attaques DDoS basée sur le Network Time Protocol (NTP), par flood ICMP, teardrop, peer-to-peer, lecture lente, et par réflexion/usurpation.

En avril 2015, une attaque contre un serveur NTP (Network Time Protocol) non sécurisé a été signalée et déclarée comme la plus importante attaque DDoS jamais observée, avec une force d'attaque d'environ 400 Gbps. Les attaquants ont utilisé la technique dite par réflexion NTP. Ils ont usurpé l'adresse IP source de l'expéditeur, qui a envoyé périodiquement des paquets de demande à des serveurs NTP pour la synchronisation du temps. En conséquence, un grand nombre de réponses ont été envoyées par le serveur NTP à l'adresse usurpée, provoquant la congestion temporaire du réseau et la réduction de la disponibilité des ressources.

Atténuer les attaques DDoS avec NetFlow Analyzer: l'approche d'un client

James Braunegg, de Micron21, est l'un de nos clients. James a fait beaucoup de recherches sur les attaques DDoS et a écrit et publié de nombreux articles détaillant ses découvertes sur le sujet, y compris les méthodes pour identifier et atténuer une attaque DDoS. Et, pour cela, James utilise ManageEngine NetFlow Analyzer pour identifier et atténuer les anomalies sur le réseau de son datacenter et faire fonctionner ce dernier efficacement et en haute disponibilité.

Pour vous donner une appréciation de l'expertise de James, il est titulaire d'une maîtrise d'études supérieures de l'Université de Monash (MBMS) et a rejoint Micron21 en 2004 pour réaliser des opérations techniques pour la société. Durant sa carrière, James a exercé pendant 20 ans dans une très prestigieuse entreprise de matériel informatique, il a fait du support des réseaux d'entreprise et de solutions logicielles personnalisées, mettant l'accent sur un support individuel pour chaque client. Son objectif principal chez Micron21 est la gestion du Datacenter et de son infrastructure de support.

Comment James identifie les attaques DDoS

James a utilisé NetFlow Analyzer pour analyser les pics anormaux observés dans le trafic du datacenter (voir l'image ci-dessous). En utilisant le mécanisme d'alerte de NetFlow Analyzer, il était en mesure d'identifier les anomalies et d'atténuer facilement l'attaque DDoS.

En tant que spécialiste de la gestion des datacenters, le travail de James est d'assurer une haute disponibilité pour les clients de Micron21. En utilisant NetFlow Analyzer, il peut identifier une attaque DDoS NTP en cours sur un client.
Cliquez ici pour savoir comment NetFlow Analyzer a permis à James d'identifier cette anomalie.
Cliquez ici pour lire son plus récent article sur les attaques DDoS NTP. James a également documenté son expérience sur l'utilisation de NetFlow Analyzer, les analyses de sécurité, et la détection des anomalies. 
Vous pouvez télécharger l'étude de cas ici.

"En remontant le temps de 4 ou 5 ans, je me souviens avoir essayé de nombreux logiciels et évalué beaucoup d'options avec un seul objectif en tête: identifier un trafic anormal provenant d'une attaque et identifier rapidement sa source et sa destination ainsi que le protocole utilisé, le tout en temps quasi réel. Le but de cela était de réduire le temps pour faire face aux menaces. Et, s'appuyer sur des données SNMP dans ce but là était inutile", a déclaré James. "En fin de compte, nous avons choisi ManageEngine NetFlow Analyzer, qui a fourni un point de départ fantastique pour nous donner une visibilité en temps réel. Bien que nous utilisons principalement du matériel NSFOCUS pour la détection et l'atténuation des attaques DDoS, nous utilisons toujours ManageEngine NetFlow Analyzer au sein de notre NOC."

Chaque année, quel que soit le secteur professionnel, un certain nombre de sociétés connaissent une perte sèche de centaines de milliers de dollars de chiffre d'affaires, ainsi qu'une productivité réduite, en raison de réseaux peu performants ou hors-service. Selon une étude Gartner de 2014, le coût moyen par minute d'un réseau hors-service peut s'élever à 5 600 $, ce qui revient à plus de 300 000 $ par heure. Ces réseaux hors-service et leur impact sur une société sont des risques qu'il est inutile de prendre.

En tant qu'administrateur système, vous devez choisir le système de surveillance de réseau adéquat, capable de vous permettre de résoudre les problèmes de votre réseau et de surveiller les performances de celui-ci de façon proactive. Les fonctionnalités d'un système de surveillance de réseau doivent pouvoir vous aider à éviter tout désastre et à résoudre les problèmes courants.
Dans l'idéal, le système de surveillance de réseau, ou son outil de surveillance de performances, doivent proposer :

• un tableau de bord efficace, afin de fournir une visibilité instantanée de l'état de santé du réseau
• une fonctionnalité d'automatisation des tâches courantes
• une fonctionnalité d'analyse des causes premières, afin d'isoler les problèmes entre le réseau et le serveur

Les nouveautés de la version 11.0 de NetFlow Analyzer

Capacités de contrôle de trafic de l’Application:

NetFlow Analyzer peut maintenant reconfigurer ses règles QoS avec des techniques de mise en forme de trafic, afin que les applications les plus importantes soient alimentées en priorité. Il permet d’orienter le trafic via ACL ou des règles fondées sur des classes (Service Policy) pour prendre le contrôle sur les applications qui consomment des bandes passantes indésirables. Le contrôle de la bande passante se fait également au niveau de l’interface et du routeur.