La sécurité des systèmes d'information
Les outils de l'ingénieur réseau

1. Se prémunir des dysfonctionnements

Pour être complètement fiable, un système d'information sécurisé doit disposer de mesures permettant de détecter les incidents. La disposition de sondes et leur paramétrage doivent être soigneusement étudiés car ce type de dispositif est susceptible de générer de nombreuses fausses alertes. Pour cela, le technicien, l'administrateur ou l'ingénieur doit connaitre les outils de diagnostique réseau disponibles pour passer aux outils de supervisions. Dans cette première partie, nous allons parcourir ensemble les outils et les solutions de diagnostic, de supervision et de sauvegarde des données disponibles.

1.1. Les outils de diagnostic réseau

Ces outils et commandes de bases permettent de diagnostiquer les problèmes réseaux :

• Tester la connectivité IP avec Ping
• Tester la connectivité TCP avec NetStat
• Itinéraire avec Tracert
• Table de routage avec Route
• Informations TCP/IP avec IPconfig
• Informations statistiques NetBios avec NBTStat
• Infrastructure DNS avec Nslookup

1.1.1. Ping

Ping est la principale commande TCP/IP utilisée pour résoudre les problèmes de connectivité, d'accessibilité et de résolution de nom. Ping vérifie la connectivité IP d'un ordinateur utilisant le protocole TCP/IP en envoyant des messages ICMP (Internet Control Message Protocol). La machine source envoie un « echo request » pour rechercher sa cible. Si la machine cible existe sur le réseau, elle répond par un « echo reply ».
Utilisée sans paramètres, la commande Ping affiche l'aide.

synthaxe :
ping [-t] [-a] [-n échos] [-l taille] [-f] [-i vie] [-v TypServ] [-r NbSauts] [-s NbSauts] [[-j ListeHôtes] | [-k ListeHôtes]] [-w Délai] NomCible

Exemple :
C:\>ping www.google.com

Envoi d'une requête 'ping' sur www.l.google.com [72.14.221.104] avec 32 octets de données :

Réponse de 72.14.221.104 : octets=32 temps=50 ms TTL=244
Réponse de 72.14.221.104 : octets=32 temps=50 ms TTL=244
Réponse de 72.14.221.104 : octets=32 temps=49 ms TTL=244
Réponse de 72.14.221.104 : octets=32 temps=50 ms TTL=244

Statistiques Ping pour 72.14.221.104 :
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 49ms, Maximum = 50ms, Moyenne = 49ms

1.1.2. NetStat

NetStat affiche les connexions TCP actives et les ports sur lesquels l'ordinateur écoute, il affiche aussi la table de routage IP et les statistiques Ethernet, IPv4 et IPv6 (pour les protocoles IP, ICMP, TCP et UDP). Utilisée sans paramètre, la commande Netstat affiche les connexions TCP actives.

synthaxe :
NETSTAT [-a] [-b] [-e] [-n] [-o] [-p protocole] [-r] [-s] [-v] [intervalle]

Exemple :
C:\>netstat

Connexions actives

1.1.3. Tracert

Tracert détermine l'itinéraire vers une destination par la transmission de messages ICMP (messages Requête d'écho Internet Control Message Protocol) en augmentant de façon incrémentielle les valeurs des champs TTL (Time to Live, Durée de vie). L'itinéraire affiché correspond à la série d'interfaces de routeurs sur l'itinéraire situé entre un hôte source et une destination. Tracert envoie un « echo request » sur la machine cible avec TTL valant 1. Le premier routeur rencontré décrémente cette valeur et, constatant la valeur nulle, supprime ce paquet et envoie une notification ICMP vers l'expéditeur. Ainsi, la machine source reçoit cette notification qui contient l'adresse du routeur et le temps de propagation. Ces informations sont ajoutés à la cartographie. L'outil tracert réitère un envoi avec une valeur de TTL incrémentée... jusqu'à obtenir un « echo reply » de la machine cible. Utilisée sans paramètres, la commande tracert permet d'afficher l'aide.

synthaxe :
tracert [-d] [-h SautsMaxi] [-j ListeHôtes] [-w délai] NomCible

Exemple :
C:\>tracert www.google.fr

Détermination de l'itinéraire vers www.l.google.com [72.14.221.99]
avec un maximum de 30 sauts :

Itinéraire déterminé.

1.1.4. Route

Route affiche et modifie les entrées dans la table de routage IP locale. Utilisée sans paramètres, la commande route permet d'afficher l'aide.

synthaxe :
ROUTE [-f] [-p] [cmde [destin] [MASK MasqueRés] [passerelle] [METRIC coût] [IF interface]

Exemple :
C:\>route print
====================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0e 35 60 02 eb ...... Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
0x3 ...00 11 25 31 d8 56 ...... Intel(R) PRO/1000 MT Mobile Connection - Miniport d'ordonnancement de paquets
====================================================
====================================================
Itinéraires actifs :

Passerelle par défaut : 192.168.1.1
====================================================
Itinéraires persistants :
Aucun

1.1.5. IPconfig

IPconfig affiche toutes les valeurs de la configuration du réseau TCP/IP et actualise les paramètres DHCP (Dynamic Host Configuration Protocol) et DNS (Domain Name System). Utilisé sans paramètres, Ipconfig affiche l'adresse IP, le masque de sous-réseau et la passerelle par défaut de toutes les cartes.

synthaxe :
ipconfig [/? | /all | /renew [carte] | /release [carte] |
           /flushdns | /displaydns | /registerdns |
           /showclassid carte |
           /setclassid carte [ID de classe] ]

Exemple :
C:\>ipconfig

Configuration IP de Windows

Carte Ethernet Connexion réseau sans fil 2:

           Suffixe DNS propre à la connexion :
           Adresse IP. . . . . . . . . . . . : 192.168.1.12
           Masque de sous-réseau . . . . . . : 255.255.255.0
           Passerelle par défaut . . . . . . : 192.168.1.1

Carte Ethernet Connexion au réseau local:

           Statut du média . . . . . . . . . : Média déconnecté

1.1.6. NBTStat

NBTStat affiche les statistiques du protocole NetBIOS sur TCP/IP (NetBT), les tables de noms NetBIOS associées à l'ordinateur local et aux ordinateurs distants ainsi que le cache de noms NetBIOS. NBTStat permet d'actualiser le cache de noms NetBIOS et les noms inscrits avec le service de nom Internet Windows (WINS). Utilisée sans paramètres, la commande NBTStat affiche l'aide.

synthaxe :
NBTSTAT [-a Nom Distant] [-A adresse IP] [-c] [-n] [-r] [-R] [-RR] [-s] [S] [intervalle]

Exemple :
C:\>nbtstat -c

Connexion réseau sans fil:
Adresse IP du noeud : [192.168.1.14] ID d'étendue : []

Table de nom de cache distant NetBIOS

Connexion au réseau local:
Adresse IP du noeud : [0.0.0.0] ID d'étendue : []

Aucun nom dans le cache

1.1.7. Nslookup

Nslookup affiche des informations que vous pouvez utiliser pour diagnostiquer l'infrastructure DNS (Domain Name System). Avant d'utiliser cet outil, vous devez vous familiariser avec le fonctionnement du DNS. Sans argument, la commande retourne le nom et l'adresse IP du serveur de résolution de noms (DNS) utilisé ainsi qu'une invite de commandes afin d'interroger ce serveur.

synthaxe :
nslookup [-SousCommande ...] [{Ordinateur| [-Serveur]}]

Exemple :
C:\>nslookup www.wanadoo.fr
Server: ns0.mrs.ftci.oleane.com
Address: 62.161.120.11

Non-authoritative answer:
Name: www.wanadoo.fr
Address: 193.252.19.189

1.2. Les outils de supervision

Avec l'accroissement des LAN et des WAN, il devient indispensable de mettre en œuvre de bons moyens d'alerte et de surveillance. La supervision vise à faire remonter les informations cachées du système d'information telles que la congestion du réseau, la disponibilité des applications distantes ou le taux d'occupation des serveurs. Pour des raisons de visibilité, La supervision fournit également la direction informatique en indicateurs objectifs, remontant les données qualitatives ou quantitatives relatives à la gestion des ressources informatiques. Toutes ces données permettent de mesurer les effets de l'application de nouvelles mesures comme le changement d'un logiciel ou l'optimisation de code.

Une solution de supervision, contrairement aux outils de mesure de la performance intégrés aux applications, offre un haut niveau d'abstraction. Le monitoring s'adresse davantage aux spécialistes, techniciens et ingénieurs, tandis que la solution de supervision s'adresse au chef de projet, au directeur informatique et à la maîtrise d'ouvrage. En effet, les outils de supervision couvrent un large panel de solutions tandis qu'un outil de monitoring fourni par l'éditeur se limite à la solution pour laquelle il a été prévu. Les deux produits se complètent d'ailleurs idéalement. Un administrateur d'exploitation pourra superviser l'ensemble du système d'information à l'aide d'une solution de supervision.
De nombreuses solutions entièrement configurables, open source ou pas, permettant de répondre à ce besoin sont proposées par des editeurs : BMC, HP, IBM, Mercury Interactive, NetIQ, Computer Associates...

Voici l'étendue des possibilités de monitoring apportée par l'ensemble de ces solutions :

• surveillance des services réseaux (SMTP, POP3, HTTP, NNTP, PING, etc.)
• surveillance des ressources des hôtes (charge processeur, utilisation des disques, etc.)
• surveillance 24h 7j à intervalles réguliers
• détection des problèmes réseaux et applicatifs
• diagnostic du problème rencontré
• vérification des alertes depuis plusieurs points de contrôle
• déclenchement d'alertes et notification du rétablissement en temps réels : email, sms...
• synthèses graphiques et historique depuis une console d'administration web
• support pour l'implémentation de la surveillance des hôtes de manière redondante
• ...

Exemple de besoin :
L'administrateur d'un parc de machines distantes (par VPN) et internes (postes et serveurs) souhaite surveiller ses services réseaux et gérer la bande passante par protocoles. Il souhaite installer un outil qui pourra l'alerter en cas de problèmes et déléguer la supervision de son réseau. L'outil doit pouvoir gérer le siège social avec éventuellement des succursales distantes. Il doit pouvoir gérer les switches (cisco, 3com, nortel...), les serveurs (nt, linux), les firewalls (cisco, netasq), les logs, la voix sur ip, tous les périphériques snmp avec détection automatique et mappage du réseau ...

Avec un outil de supervision, l'administrateur pourra recevoir ses alertes par email, relever la bande passante réel, calculer le taux d'occupation, le type de données qui transitent, .... et en obtenir la synthèse avec des graphiques.

Voici une liste non exhaustive des outils de supervision disponibles :

• 3NS
• 5VIEW d' Accellent.
• Big Brother
• Big Sister
• CA unicenter
• Cacti
• ciscoworks
• Concord
• HP OpenView
• InfoVista
• LanDesk
• LANguard
• Loriot pro de Luteus
• MOM de microsoft
• MonitorMagic
• MRTG
• Nagios
• Net MRG
• NSM de Computers Associates
• Observer
• Open NMS
• OPManager
• Optiview Console (Fluke)
• Oreon
• Patrol de BMC
• RRDtool
• SNMPC de Castle Rock Computing
• SNOVIEW de PROTEGO
• Spectrum
• Synexsys
• Tivoli Netview de IBM
• Unicenter
• Websense
• WhatsUp de IPSWITCH
• Zabbix

1.2.1. Les versions payantes

Voici des exemples d'outils de supervision payants les plus rencontrés :

• Tivoli Netview de IBM

http://www-306.ibm.com/software/tivoli/products/netview/

• Patrol de BMC

http://www.bmc.com/BMC/Common/CDA

• WhatsUp de IPSWITCH

http://www.ipswitch.com/products/whatsup/professional/index.asp

• SNMPC de Castle Rock Computing

http://www.castlerock.com/products/snmpc/default.php

• HP OpenView

http://www.openview.hp.com/products/nnm/

• LanDesk

http://www.landesk.fr/Products/Overview.aspx

1.2.2. Les versions libres

Voici des exemples d'outils de supervision libres les plus rencontrés :

• RRDtool

Stocke des informatoins dans une base de données (format .rrd) et les affiche sous forme graphique. http://people.ee.ethz.ch/~oetiker/webtools/rrdtool

• Nagios

http://docs.guill.net/article.php3?id_article=2 http://www.nagios.org/download/

• Oreon

Solution Open Source qui propose un Frontend a Nagios. http://oreon-project.org/oreon---le-logiciel.html

A suivre.