L'analyse comportementale du réseau illustrée par trois témoignages

Dossier par Jean Pierre Blettner, 676 mots

L'éditeur Lancope présente une solution d'analyse de comportement du réseau ou NBA (Network Behavior Analysis), StealthWatch. Trois de ses clients responsables de grands réseaux, témoignent.

L'analyse comportementale du réseau illustrée par trois témoignages L'éditeur Lancope présente sa solution d'analyse du comportement du réseau (NBA ou Network Behavior Analysis). La société fait même beaucoup mieux puisque trois de ses clients témoignent lors du salon. Il s'agit des universités de Westminster et de Nottingham (Grande Bretagne) et de l'institut de formation au graphisme de Rotterdam (Hollande). Les cas de figure sont assez similaires. Les réseaux de trois organisations sont très importants en superficie et en nombre de machines, et les principes de fonctionnement très ouverts. L'université de Westminster représentée par son responsable réseau, Lee Rose, réunit 22 000 étudiants, 1500 employés, 5700 PC de bureau et 200 points d'accès Wifi.

Des attaques par déni de service
L'université a passé les cinq dernières années à protéger son périmètre avec des pare-feux et des IPS, ainsi que par des antispyware sur les PC et des VLans. Mais le trafic Web 2.0 ne cesse d'augmenter, de même que les échanges peer-to-peer. Des attaques par déni de service sont intervenues depuis l'intérieur du réseau vers l'extérieur et inversement. « Nous voulions passer d'une attitude réactive, à une attitude proactive, et notamment utiliser les informations venant de nos équipements réseaux d'origine Procurve de HP et Foundry Networks, au format SFlow, c'est pour cela que nous nous sommes tournés vers les solutions de type NBA, justifie Lee Rose. Le premier choix n'a pas été StealthWatch. Mais désormais, « Cet outil donne la visibilité du réseau, on comprend la différence entre comportement normal et anormal, on identifie où se trouve le problème et ce qu'il est, se félicite Lee Rose.

Des étudiants qui se comportent comme des clients
Paul Kennedy, responsable sécurité à l'université de Nottingham, fait face à un réseau encore plus important : 7 campus à Nottingham, 5 sites dans l'East Middlands, d'autres en Chine. Ce sont pas moins de 34 000 étudiants qui fréquentent l'université, 5500 personnels, 12 000 ordinateurs sur le campus, et ...


Photo : de gauche à droite, Mark Pleunes, ingénieur réseau, de l'institut de graphisme de Rotterdam, Lee Rose responsable réseau, de l'université de Westminster, et Paul Kennedy, responsable sécurité à l'université de Nottingham.

... 8000 sur le réseau des étudiants. Le réseau doit tourner en permanence, et « les étudiants se vivent de plus en plus comme des clients, qui veulent obtenir le meilleur service pour le prix qu'ils paient, détaille Paul Kennedy. Le périmètre du réseau est de plus en plus poreux. Les étudiants comme les chercheurs veulent accéder au système d'information même en étant hors du campus. Et les équipements les plus divers se connectent au réseau : équipements de conférence, terminaux sans-fil, grille de calcul à haute performance, les équipements de laboratoire, ...

Des centaines de PC contaminés
La semaine de la rentrée, ce sont 8000 PC portables appartenant aux étudiants qui veulent se connecter. Des centaines de ces PC sont contaminés. Améliorer la périphérie, durcir la protection des PC (en réunissant l'antivirus, anti spyware, et HIPS, ainsi que le NAC) sont une solution. Mais il faut également analyser le comportement du réseau. « Nous avons comparé une solution de type NIDS (Network Intrusion Detection System) et NBA. Le NIDS s'est avéré inapproprié. Il générait un million d'événements par jour. Le NBA, en revanche, capturait les paquets, et donne une visibilité complète, en instantanée des menaces sur la sécurité et aussi sur les bizarreries, on va plus vite, se réjouit Paul Kennedy.

Quatre à cinq semaines afin d'étalonner l'outil
Le témoignage de Mark Pleunes, ingénieur réseau, de l'institut de graphisme de Rotterdam, va dans le même sens. Il précise : « Il nous a fallu 4 à 5 semaines de travail intensif afin d'étalonner la plate-forme de surveillance de notre infrastructure d'origine Foundry Networks à très haut débit (dépassant le gigabit Ethernet par seconde). Il s'agissait d'établir ce qui relevait d'un comportement normal du réseau». En outre, il a mis en place une automatisation des réactions lorsqu'un comportement anormal d'une machine est détectée sur le réseau. « On coupe automatiquement les flux issus d'une machine dont le trafic est jugé anormal, affirme-t-il. Une attitude que n'ont pas adoptée ses deux collègues.

Sommaire du dossier