• La sécurité des systèmes d'information
    Les outils de l'ingénieur réseau

    1. Se prémunir des dysfonctionnements

    Pour être complètement fiable, un système d'information sécurisé doit disposer de mesures permettant de détecter les incidents. La disposition de sondes et leur paramétrage doivent être soigneusement étudiés car ce type de dispositif est susceptible de générer de nombreuses fausses alertes. Pour cela, le technicien, l'administrateur ou l'ingénieur doit connaitre les outils de diagnostique réseau disponibles pour passer aux outils de supervisions. Dans cette première partie, nous allons parcourir ensemble les outils et les solutions de diagnostic, de supervision et de sauvegarde des données disponibles.

    1.1. Les outils de diagnostic réseau

    Ces outils et commandes de bases permettent de diagnostiquer les problèmes réseaux :

    • Tester la connectivité IP avec Ping
    • Tester la connectivité TCP avec NetStat
    • Itinéraire avec Tracert
    • Table de routage avec Route
    • Informations TCP/IP avec IPconfig
    • Informations statistiques NetBios avec NBTStat
    • Infrastructure DNS avec Nslookup

    1.1.1. Ping

    Ping est la principale commande TCP/IP utilisée pour résoudre les problèmes de connectivité, d'accessibilité et de résolution de nom. Ping vérifie la connectivité IP d'un ordinateur utilisant le protocole TCP/IP en envoyant des messages ICMP (Internet Control Message Protocol). La machine source envoie un « echo request » pour rechercher sa cible. Si la machine cible existe sur le réseau, elle répond par un « echo reply ».
    Utilisée sans paramètres, la commande Ping affiche l'aide.

    synthaxe :
    ping [-t] [-a] [-n échos] [-l taille] [-f] [-i vie] [-v TypServ] [-r NbSauts] [-s NbSauts] [[-j ListeHôtes] | [-k ListeHôtes]] [-w Délai] NomCible

    Exemple :
    C:\>ping www.google.com

    Envoi d'une requête 'ping' sur www.l.google.com [72.14.221.104] avec 32 octets de données :

    Réponse de 72.14.221.104 : octets=32 temps=50 ms TTL=244
    Réponse de 72.14.221.104 : octets=32 temps=50 ms TTL=244
    Réponse de 72.14.221.104 : octets=32 temps=49 ms TTL=244
    Réponse de 72.14.221.104 : octets=32 temps=50 ms TTL=244

    Statistiques Ping pour 72.14.221.104 :
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
    Durée approximative des boucles en millisecondes :
    Minimum = 49ms, Maximum = 50ms, Moyenne = 49ms

    1.1.2. NetStat

    NetStat affiche les connexions TCP actives et les ports sur lesquels l'ordinateur écoute, il affiche aussi la table de routage IP et les statistiques Ethernet, IPv4 et IPv6 (pour les protocoles IP, ICMP, TCP et UDP). Utilisée sans paramètre, la commande Netstat affiche les connexions TCP actives.

    synthaxe :
    NETSTAT [-a] [-b] [-e] [-n] [-o] [-p protocole] [-r] [-s] [-v] [intervalle]

    Exemple :
    C:\>netstat

    Connexions actives

    Proto Adresse locale Adresse distante Etat
    TCP IBM-40BD86E392D:1043 localhost:1044 ESTABLISHED
    TCP IBM-40BD86E392D:1044 localhost:1043 ESTABLISHED
    TCP IBM-40BD86E392D:1876 mx0.supinfo.com:https TIME_WAIT
    TCP IBM-40BD86E392D:1878 qb-in-f19.google.com:http ESTABLISHED
    TCP IBM-40BD86E392D:1879 mx0.supinfo.com:https TIME_WAIT
    TCP IBM-40BD86E392D:1880 mx0.supinfo.com:https ESTABLISHED

    1.1.3. Tracert

    Tracert détermine l'itinéraire vers une destination par la transmission de messages ICMP (messages Requête d'écho Internet Control Message Protocol) en augmentant de façon incrémentielle les valeurs des champs TTL (Time to Live, Durée de vie). L'itinéraire affiché correspond à la série d'interfaces de routeurs sur l'itinéraire situé entre un hôte source et une destination. Tracert envoie un « echo request » sur la machine cible avec TTL valant 1. Le premier routeur rencontré décrémente cette valeur et, constatant la valeur nulle, supprime ce paquet et envoie une notification ICMP vers l'expéditeur. Ainsi, la machine source reçoit cette notification qui contient l'adresse du routeur et le temps de propagation. Ces informations sont ajoutés à la cartographie. L'outil tracert réitère un envoi avec une valeur de TTL incrémentée... jusqu'à obtenir un « echo reply » de la machine cible. Utilisée sans paramètres, la commande tracert permet d'afficher l'aide.

    synthaxe :
    tracert [-d] [-h SautsMaxi] [-j ListeHôtes] [-w délai] NomCible

    Exemple :
    C:\>tracert www.google.fr

    Détermination de l'itinéraire vers www.l.google.com [72.14.221.99]
    avec un maximum de 30 sauts :

    1 2 ms 1 ms 2 ms 192.168.1.1
    2 * * * Délai d'attente de la demande dépassé.
    3 * * * Délai d'attente de la demande dépassé.
    4 * * * Délai d'attente de la demande dépassé.
    5 * * * Délai d'attente de la demande dépassé.
    6 51 ms 53 ms 61 ms 72.14.221.99


    Itinéraire déterminé.

    1.1.4. Route

    Route affiche et modifie les entrées dans la table de routage IP locale. Utilisée sans paramètres, la commande route permet d'afficher l'aide.

    synthaxe :
    ROUTE [-f] [-p] [cmde [destin] [MASK MasqueRés] [passerelle] [METRIC coût] [IF interface]

    Exemple :
    C:\>route print
    ====================================================
    Liste d'Interfaces
    0x1 ........................... MS TCP Loopback interface
    0x2 ...00 0e 35 60 02 eb ...... Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
    0x3 ...00 11 25 31 d8 56 ...... Intel(R) PRO/1000 MT Mobile Connection - Miniport d'ordonnancement de paquets
    ====================================================
    ====================================================
    Itinéraires actifs :

    Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.14 25
    127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
    192.168.1.0 255.255.255.0 192.168.1.14 192.168.1.14 25
    192.168.1.14 255.255.255.255 127.0.0.1 127.0.0.1 25
    192.168.1.255 255.255.255.255 192.168.1.14 192.168.1.14 25
    224.0.0.0 240.0.0.0 192.168.1.14 192.168.1.14 25
    255.255.255.255 255.255.255.255 192.168.1.14 192.168.1.14 1
    255.255.255.255 255.255.255.255 192.168.1.14 3 1

    Passerelle par défaut : 192.168.1.1
    ====================================================
    Itinéraires persistants :
    Aucun

    1.1.5. IPconfig

    IPconfig affiche toutes les valeurs de la configuration du réseau TCP/IP et actualise les paramètres DHCP (Dynamic Host Configuration Protocol) et DNS (Domain Name System). Utilisé sans paramètres, Ipconfig affiche l'adresse IP, le masque de sous-réseau et la passerelle par défaut de toutes les cartes.

    synthaxe :
    ipconfig [/? | /all | /renew [carte] | /release [carte] |
               /flushdns | /displaydns | /registerdns |
               /showclassid carte |
               /setclassid carte [ID de classe] ]

    Exemple :
    C:\>ipconfig

    Configuration IP de Windows

    Carte Ethernet Connexion réseau sans fil 2:

               Suffixe DNS propre à la connexion :
               Adresse IP. . . . . . . . . . . . : 192.168.1.12
               Masque de sous-réseau . . . . . . : 255.255.255.0
               Passerelle par défaut . . . . . . : 192.168.1.1

    Carte Ethernet Connexion au réseau local:

               Statut du média . . . . . . . . . : Média déconnecté

    1.1.6. NBTStat

    NBTStat affiche les statistiques du protocole NetBIOS sur TCP/IP (NetBT), les tables de noms NetBIOS associées à l'ordinateur local et aux ordinateurs distants ainsi que le cache de noms NetBIOS. NBTStat permet d'actualiser le cache de noms NetBIOS et les noms inscrits avec le service de nom Internet Windows (WINS). Utilisée sans paramètres, la commande NBTStat affiche l'aide.

    synthaxe :
    NBTSTAT [-a Nom Distant] [-A adresse IP] [-c] [-n] [-r] [-R] [-RR] [-s] [S] [intervalle]

    Exemple :
    C:\>nbtstat -c

    Connexion réseau sans fil:
    Adresse IP du noeud : [192.168.1.14] ID d'étendue : []

    Table de nom de cache distant NetBIOS

    Nom Type Adresse d'hôte Vie [sec]
    ------------------------------------------------------------
    MSHOME <1E> Groupe 192.168.1.12 595


    Connexion au réseau local:
    Adresse IP du noeud : [0.0.0.0] ID d'étendue : []

    Aucun nom dans le cache

    1.1.7. Nslookup

    Nslookup affiche des informations que vous pouvez utiliser pour diagnostiquer l'infrastructure DNS (Domain Name System). Avant d'utiliser cet outil, vous devez vous familiariser avec le fonctionnement du DNS. Sans argument, la commande retourne le nom et l'adresse IP du serveur de résolution de noms (DNS) utilisé ainsi qu'une invite de commandes afin d'interroger ce serveur.

    synthaxe :
    nslookup [-SousCommande ...] [{Ordinateur| [-Serveur]}]

    Exemple :
    C:\>nslookup www.wanadoo.fr
    Server: ns0.mrs.ftci.oleane.com
    Address: 62.161.120.11

    Non-authoritative answer:
    Name: www.wanadoo.fr
    Address: 193.252.19.189

    1.2. Les outils de supervision

    Avec l'accroissement des LAN et des WAN, il devient indispensable de mettre en œuvre de bons moyens d'alerte et de surveillance. La supervision vise à faire remonter les informations cachées du système d'information telles que la congestion du réseau, la disponibilité des applications distantes ou le taux d'occupation des serveurs. Pour des raisons de visibilité, La supervision fournit également la direction informatique en indicateurs objectifs, remontant les données qualitatives ou quantitatives relatives à la gestion des ressources informatiques. Toutes ces données permettent de mesurer les effets de l'application de nouvelles mesures comme le changement d'un logiciel ou l'optimisation de code.

    Une solution de supervision, contrairement aux outils de mesure de la performance intégrés aux applications, offre un haut niveau d'abstraction. Le monitoring s'adresse davantage aux spécialistes, techniciens et ingénieurs, tandis que la solution de supervision s'adresse au chef de projet, au directeur informatique et à la maîtrise d'ouvrage. En effet, les outils de supervision couvrent un large panel de solutions tandis qu'un outil de monitoring fourni par l'éditeur se limite à la solution pour laquelle il a été prévu. Les deux produits se complètent d'ailleurs idéalement. Un administrateur d'exploitation pourra superviser l'ensemble du système d'information à l'aide d'une solution de supervision.
    De nombreuses solutions entièrement configurables, open source ou pas, permettant de répondre à ce besoin sont proposées par des editeurs : BMC, HP, IBM, Mercury Interactive, NetIQ, Computer Associates...

    Voici l'étendue des possibilités de monitoring apportée par l'ensemble de ces solutions :

    • surveillance des services réseaux (SMTP, POP3, HTTP, NNTP, PING, etc.)
    • surveillance des ressources des hôtes (charge processeur, utilisation des disques, etc.)
    • surveillance 24h 7j à intervalles réguliers
    • détection des problèmes réseaux et applicatifs
    • diagnostic du problème rencontré
    • vérification des alertes depuis plusieurs points de contrôle
    • déclenchement d'alertes et notification du rétablissement en temps réels : email, sms...
    • synthèses graphiques et historique depuis une console d'administration web
    • support pour l'implémentation de la surveillance des hôtes de manière redondante
    • ...

    Exemple de besoin :
    L'administrateur d'un parc de machines distantes (par VPN) et internes (postes et serveurs) souhaite surveiller ses services réseaux et gérer la bande passante par protocoles. Il souhaite installer un outil qui pourra l'alerter en cas de problèmes et déléguer la supervision de son réseau. L'outil doit pouvoir gérer le siège social avec éventuellement des succursales distantes. Il doit pouvoir gérer les switches (cisco, 3com, nortel...), les serveurs (nt, linux), les firewalls (cisco, netasq), les logs, la voix sur ip, tous les périphériques snmp avec détection automatique et mappage du réseau ...

    Avec un outil de supervision, l'administrateur pourra recevoir ses alertes par email, relever la bande passante réel, calculer le taux d'occupation, le type de données qui transitent, .... et en obtenir la synthèse avec des graphiques.

    Voici une liste non exhaustive des outils de supervision disponibles :

    • 3NS
    • 5VIEW d' Accellent.
    • Big Brother
    • Big Sister
    • CA unicenter
    • Cacti
    • ciscoworks
    • Concord
    • HP OpenView
    • InfoVista
    • LanDesk
    • LANguard
    • Loriot pro de Luteus
    • MOM de microsoft
    • MonitorMagic
    • MRTG
    • Nagios
    • Net MRG
    • NSM de Computers Associates
    • Observer
    • Open NMS
    • OPManager
    • Optiview Console (Fluke)
    • Oreon
    • Patrol de BMC
    • RRDtool
    • SNMPC de Castle Rock Computing
    • SNOVIEW de PROTEGO
    • Spectrum
    • Synexsys
    • Tivoli Netview de IBM
    • Unicenter
    • Websense
    • WhatsUp de IPSWITCH
    • Zabbix

    1.2.1. Les versions payantes

    Voici des exemples d'outils de supervision payants les plus rencontrés :

    • Tivoli Netview de IBM
    tivoli_.jpg http://www-306.ibm.com/software/tivoli/products/netview/
    • Patrol de BMC
    patrol.gif http://www.bmc.com/BMC/Common/CDA
    • WhatsUp de IPSWITCH
    whatsUp.gif http://www.ipswitch.com/products/whatsup/professional/index.asp
    • SNMPC de Castle Rock Computing
    snmpc.jpg http://www.castlerock.com/products/snmpc/default.php
    • HP OpenView
    hpopenview.jpg http://www.openview.hp.com/products/nnm/
    • LanDesk
    landesk.gif http://www.landesk.fr/Products/Overview.aspx

    1.2.2. Les versions libres

    Voici des exemples d'outils de supervision libres les plus rencontrés :

    • RRDtool
    RRDtool.jpg Stocke des informatoins dans une base de données (format .rrd) et les affiche sous forme graphique.
    http://people.ee.ethz.ch/~oetiker/webtools/rrdtool
    • Nagios
    nagios.jpg http://docs.guill.net/article.php3?id_article=2
    http://www.nagios.org/download/
    • Oreon
    oreon.gif Solution Open Source qui propose un Frontend a Nagios.
    http://oreon-project.org/oreon---le-logiciel.html

     

    A suivre.

    Partager via Gmail Technorati Yahoo!

    2 commentaires
  • Afin d'aider nos étudiants à passer leur certification CCNA ,je reproduis ici ,dans cette rubrique ,tous les jours autant que possible des articles intéressants sur le sujet .J"ai moi meme pris le cours de certification à l'academie régionale de Cisco à Montréal (note finale 82 /100),il y'a quelques années. Je conseille vivement les étudiant(tes) à pratiquer l'anglais au maximum .L'examen est en anglais et les cours peuvent etre pris dans n'importe quelle langue.Donc bon courage et de la rigueur.

    Si vous avez des commentaires ,n'hésitez pas à les poster .J'essaierai ,dans la mesure du possible d'apporter les réponses appropriées.Merci .

    Au fur et à mesure ,je joindrai ici,des liens pour passer des tests On line gratuits,mais aussi des logiciels.Merci de m'avoir lu et du fond du ceur :bonne chance.

    Mohamed Aib.26 Mai 2009.

    Article extrait de RouterGod Online Magazine .

     

    Here at RouterGod Online Magazine we are philosophically opposed to access lists. Access lists are a sneaky, underhanded way to grant some packets special rights while denying other packets those same rights. Sometimes packets are discriminated against because “they don’t have the right address” or are from an undesirable subnet. Sometimes perfectly good packets are discriminated against because of the “wrong protocol or port” or they come from an undesirable interface. Packets that hit a repressive ACL are treated like garbage and dropped unceremoniously. This causes the network infrastructure to suffer from low self esteem and poor morale. But the harsh reality is that Cisco continues this evil practice and it is our duty to point out injustice where we find it. So to lecture on the basics of IP Extended Access Lists we present world famous boxing promoter Don King: Don King “Man I love Cisco!” My, my, my…Just look at all of you. Bright, shiny faces filled with hope and enthusiasm, wanting to learn about access lists and how they work. Well I’m here to explain how access lists work, IP extended access lists in particular. What goes on inside of a Cisco router is not always pretty and some of you may want to leave the room during the lecture and that’s OK. The inner machinations of a router can be most puzzling but I will not obfuscate, prevaricate or denigrate and you have my solemn word on that! Think of a router as a boxing ring. A boxing ring into which 2 packets will enter, with only one to leave victorious. Imagine the pugilistic majesty as 2 noble packets do battle. Which packet will win? How long will this epic struggle take? Will the winning packet, even though victorious, suffer injury and not be able to continue his journey? These brave packets enter the router knowing of how important victory is. For it is their desire to move up to bigger and more impressive routers, until they reach the core router. Each packet has it’s own unique strengths, one packet might be bigger then his opponent. One packet might have an impressive source IP address. Thousands of other packets will observe this spectacle from the safety of the input and output buffers. Another night of wonderful entertainment is on hand and many have placed bets on the outcome. But there is something that the unwitting public is unaware of. The fight is fixed! Yes, I too reel in horror at the very notion that things may not be on the “up and up”…Who would do such a thing? What vile, reprehensible, low down, no good villain would seek to alter the outcome of our noble sport? Well as God is my witness, the Network Administrator did it! Why did he do such a dastardly, despicable deed? Who can say what goes on in the dark, depraved mind of a Network Administrator? Perhaps he likes to play God and control the destinies of these fine, upstanding packets? Perhaps he simply dislikes these innocent packets and wants to do them harm…I cannot attest to his ignominious, unscrupulous and disingenuous motivation but I can tell you how he did it. He committed this atrocity with an access list! You see, every packet has unique attributes, such as where they are from and where they are going. They have other attributes such as their protocol, address and port. The router positions a big burly bouncer by the door and he remembers what interface the packet entered the router from. All of these attributes can be used to permit or deny the packet from enjoying liberty and freedom. I will show you how to configure the router to filter packets but I urge you not to take part in such nefarious shenanigans. In fact, when ever you find an access list in a router’s configuration, please remove it. It’s the decent thing to do. An IP extended access list is a series of statements that are created in global mode. Each statement is a test that each packet is subjected to. Each statement contains the keywords permit or deny. When a packet is being tested by a access list statement 3 things can happen: 1. The packet can match the exact arguments of the statement, and if the statement contains the word permit, the packet is allowed to continue on his travels. 2. The packet can match the exact arguments of the statement, and if the statement contains the word deny, the router will viciously delete the packet from his buffers and act like he never saw him. 3. If the packet does not match any of the arguments in the statement, he is passed downward to another statement in the access list where he is subjected to another test, but with different arguments. Here’s some more horrific details to keep in mind: The access list is a series of statements, the router starts from the top and works downward testing each packet, if the packet is really lucky, he will have hit a permit statement and went on his merry way. If the packet does not match the arguments on one line, he is sent downward to the next line, if he does not match any of those arguments, he is sent down to be tested by the next line. After the packet is subjected to 2 or 3 lines in an access list without a match, he starts to get worried. Just before the packet is sent to the final line in an access list something unusual happens to the packet, he starts to say his prayers… The packet is saying his prayers because he knows he’s doomed. If the last line in the access list does not match his attributes exactly and contain the word permit, he router will murder the packet and we will never hear from that packet again. This inhumane policy is what Cisco euphemistically calls the “Implied Deny Any” statement. Say you at your girlfriends place and you and she are laying in bed watching TV, She lives in one of those tall buildings in New York city and suddenly her husband comes home, you grab your clothes and haul ass down the fire escape on the outside of the building, you are climbing down the ladder at the bottom of the fire escape to alley below, one rung at a time until you realize that you are on the last rung and the street is still 50 feet below you, now you know how that packet must’ve felt! If you put at statement a the end of your access list that permits any packet from anywhere going to anywhere to be permitted to pass, that will put an end to this senseless killing: access-list 100 permit ip any any Before we get down to the actual configuration, here are some things to remember, access lists are created globally but applied to the actual interface you want to filter at. At the interface they can be applied to incoming packets or outgoing packets. Applying the access lists to incoming packets causes a little more work for the router’s processor. You can only apply 1 list per protocol per interface per direction. Access lists are often called by other IOS functions and the extended access list is most effective when applied as near as possible to the source of packets that you want to deny. Access lists can also take into account the time of day for increased functionality. All access lists start out with the term access-list followed by the group number of the access list. IP extended access lists are numbered from 100 to 199. The next term in an access list is permit or deny. The next term is the protocol the access list statement deals with. Next is the source address and wildcard mask and destination address and wildcard mask. A wildcard mask is a backwards subnet mask where, when you convert the mask to binary, the “1″ bits represent the bit positions in the address to ignore. Maybe I should show you an IP address with a wildcard mask: 192.168.45.121 0.0.0.255 The 255 in the last octet of the wildcard mask tells the access list to ignore the last 8 bits of the ip address. So this means that any number in the last octet would be acceptable by the access list. So here’s a simple IP extended access list: access-list 100 permit ip 172.16.0.0 0.0.255.255 172.17.0.0 0.0.255.255 The above line allows the 172.16 network to reach the 172.17 network using IP. If you want to be permissive and allow everybody you can substitute the word any for the IP address. Say we want to allow all clients to reach a certain network: access-list 175 permit ip any 172.28.2.0 0.0.0.255 You can also specify a specific host in your list by using the word host. Access lists are processed from top down so be careful about the order in which your statements appear. When you are writing an access list for TCP you can append the port number or service on the end of your list by using the equal or eq keyword: access-list 121 permit tcp any host 172.22.230.2 eq www The above list allows anybody to access the web server at 172.22.230.2 To apply your access list you go to the interface and use the ip access-group command and specify the direction you want the filtering to take place: ip access-group 121 in Remember the access-list and access-group commands must use the same number for it to work.

    Partager via Gmail Technorati Yahoo!

    votre commentaire


    Suivre le flux RSS des articles de cette rubrique
    Suivre le flux RSS des commentaires de cette rubrique