Re: [FRnOG] [TECH] Inventaire flux réseau

2018-05-08 Par sujet Jeremy 

Bonjour,

Chez nous, on a déployé Wanguard édité par Andrisoft.
https://www.andrisoft.com/

C'est, à la base, un outils de détection et de mitigation d'attaque (de 
tout type)  avec une certaine puissance puisqu'il est possible 
d'appliquer pas mal de règles et des actions scripté quand ça match.
Il est notamment très utilisé chez des ISP nationaux, ou des hébergeurs 
plus ou moins connu un peu partout. Additionné à une infra de filtrage 
comme celle basée sur Tilera (OVH) ou Arbor, ça devient particulièrement 
puissant contre un DDOS.
Les licences sont facturées selon l'utilisation de l'agent détection 
et/ou filtrage. Il faut une licence par routeur coté détection de 
trafic, et une licence par carte réseau coté filtrage (prévoir du 100G 
duplex et besoin que d'une licence pour mitiger 100G, attention aux 
ASICS et au CPU utilisé, le support aide bien à ce niveau).


C'est capable de détecter le trafic en sflow ou mirror. Il est donc aisé 
de faire remonter les trames réseaux sur le transport pour les analyser 
en un point unique, ou bien déployer des sondes locales en miroir à 
chaque POP et unifier les données dans une interface unique.


Les prix des licences sont publics, pour les flemard, compter environ 
500 € HT / routeur / an sans support spécifique. Avec un support 24h/24 
skype niveau debug, faut aligner des chèques à 5 chiffres ou plus (mais 
au moins, ils sont vraiment là à dispo).


Jérémy





Le 07/05/2018 à 09:55, Emile TOURON a écrit :

Bonjour la liste,

Connaissez-vous un outil pour faire l'inventaire exhaustif des flux réseau afin 
de connaitre tous les flux qui passe dans un routeur/switch (conversations 
ip/port, etc.) ? Ceci pour appliquer des règles de filtrage strictes.
Les outils d'analyse statistique de Wireshark font le job mais un port 
mirroring n'est pas envisageable à grande échelle.
Mes équipements réseau causent en IPFIX et sFlow, mais les collecteurs que j'ai 
trouvé proposent des dashboard plus de monitoring temps réel et de statistiques 
globales plutôt que d'inventaire exhaustif des flux.

Merci et bonne semaine !
Emile T

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Inventaire flux réseau

2018-05-08 Par sujet Fabrice DELOR 
Sur les fw checkpoint vous avez la possibilité d afficher des compteurs et/ou 
les réinitialiser pour savoir si chaque règle est « hité ».

Fabrice

> Le 7 mai 2018 à 19:15, Nicolas Girardi  a écrit :
> 
> Bonjour,
> 
> Par le passé j’ai utilisé algosec (payant) pour répondre à ce besoin.
> Overlap de règles. 
> Règle trop permissives
> Unused rules.
> Etc ..
> 
> Nicolas Girardi.
> 
>> Le 7 mai 2018 à 17:22, Joël DEREFINKO  a écrit :
>> 
>> Je m'auto réponds: désolé pour le bruit, en fait cela ne correspond pas à la 
>> demande de l'OP.
>> Mais pour les curieux, jetez-y un œil malgré tout :)
>> 
>> Joël
>> 
>> -Message d'origine-
>> De : Joël DEREFINKO 
>> Envoyé : lundi 7 mai 2018 17:21
>> À : 'Thomas Pedoussaut'; Emile TOURON
>> Cc : frnog-t...@frnog.org
>> Objet : RE: [FRnOG] [TECH] Inventaire flux réseau
>> 
>> En solution payante, on a eu une démo de DarkTrace, assez bluffant comme 
>> outil.
>> Au dela du wow-effect de l'interface (ca plait au DSI qui n'y connait pas 
>> grand-chose car ça lui chatouille les yeux), l'outil à l'air vraiment 
>> puissant.
>> 
>> Ca passe par une phase d'apprentissage du traffic, puis ca lève des alertes 
>> lorsque des évènements réseaux inhabituels sont detectés (tiens, cette 
>> machine essaye de se connecter à tous les hosts du réseau en SMB ? Tiens, 
>> cette machine tente une connexion FTP externe alors qu'elle ne le fait 
>> jamais, etc...).
>> Les critères d'alerte sont évidemment customisables, les seuils 
>> paramètrables, etc...
>> Après le pricing est en rapport : clairement inadapté pour une petite 
>> structure, mais sur un réseau plus vaste/actif, ça peut avoir plus de sens.
>> 
>> https://www.darktrace.fr/
>> 
>> Joël 
>> 
>> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
>> Thomas Pedoussaut
>> Envoyé : lundi 7 mai 2018 10:26
>> À : Emile TOURON
>> Cc : frnog-t...@frnog.org
>> Objet : Re: [FRnOG] [TECH] Inventaire flux réseau
>> 
>>> On 2018-05-07 09:55, Emile TOURON wrote:
>>> Connaissez-vous un outil pour faire l'inventaire exhaustif des flux
>>> réseau afin de connaitre tous les flux qui passe dans un
>>> routeur/switch (conversations ip/port, etc.) ? Ceci pour appliquer des
>>> règles de filtrage strictes.
>>> Les outils d'analyse statistique de Wireshark font le job mais un port
>>> mirroring n'est pas envisageable à grande échelle.
>>> Mes équipements réseau causent en IPFIX et sFlow, mais les collecteurs
>>> que j'ai trouvé proposent des dashboard plus de monitoring temps réel
>>> et de statistiques globales plutôt que d'inventaire exhaustif des
>>> flux.
>> 
>> Tu peux tout d'abord exporter ton sFlow vers une base ELK
>> https://www.elastic.co/guide/en/logstash/5.2/plugins-codecs-sflow.html
>> 
>> Et ensuite sortir des tableaux du trafic de façon assez intuitive.
>> 
>> Attention tout de même, si tu as aucun filtre actuellement, tu auras 
>> surement énormément de traffic
>> parasite (que tu voudrait filtrer) mélangé à du trafic légitime mais de 
>> très faible
>> intensité (ntp par exemple).
>> 
>> Donc bon courage.
>> 
>> -- 
>> Thomas
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/