Connaitre, comprendre et savoir interpréter rapidement la nature des trafics réseaux sont des enjeux cruciaux pour leur sécurité.
Au début des années 2000, les responsables sécurité et les administrateurs systèmes et réseaux des laboratoires de l’IN2P3 ont exprimé le besoin d’une solution de surveillance de l’activité réseau qui permette de satisfaire aux exigences légales (traçabilité des connexions, conservations des traces) et d’améliorer le niveau de leur sécurité [1].
Dans ce contexte, avec l’idée d’éviter une mise en œuvre d’outils hétérogènes dans chaque labo et de traiter l’aspect sécurité de l’outil, le LPSC a développé une première solution baptisée EXTRA (EXternal TRafic Analysis), basée sur la technologie propriétaire NetFlow v5, développée par CISCO. Bien adapté à la surveillance du trafic en entrée d’un réseau de laboratoire, EXTRA a eu le mérite de faire l’objet d’un consensus au sein de l’IN2P3, rendant possible le déploiement d’une solution commune à tous les laboratoires avec un archivage centralisé au Centre de Calcul, géré par l’équipe réseau du CC-IN2P3.
Son successeur ZNETS, « The Network Traffic Supervizor », offre des possibilités d’analyse et de contrôle améliorées et permet de gagner en performances pour faire face à la montée en puissance des réseaux. La version 1 a été déployée en 2012 dans les 21 laboratoires de l’institut. Chaque laboratoire dispose ainsi de son propre serveur ZNETS, fourni et préinstallé par le CC-IN2P3, qui traite en temps réel l’ensemble des datagrammes entrants et sortants de son réseau local. Toutes les informations sont récupérées chaque nuit pour archivage pendant 1 an au Centre de Calcul.
Le développement mené au LPSC entre 2009 et 2012 a apporté d’autres améliorations notables. ZNETS gère des flux bidirectionnels qui peuvent être agrégés sur une période de 15 minutes, ce qui diminue le volume des données utiles. La plupart des versions de NetFlow et le standard IPFIX sont désormais supportés. Enfin, la réalisation de l’interface graphique de ZNETS a fait l’objet d’un soin particulier. Elle a été prise en charge par Ismaël Zakari Touré, stagiaire en Master 2 informatique au LPSC, passionné par les technologies web (et cela se voit).
Une centaine d’autres laboratoires ou établissements du monde Education-Recherche ont également adopté ZNETS (disponible sous la forme de package standard pour les distributions linux redhat et debian), ce qui a permis de valider le bon fonctionnement sur de grands réseaux hétérogènes haut débit et en environnement IPv6.
La version 2 est en cours de développement. Elle corrige quelques faiblesses conceptuelles et implémente de nouvelles fonctionnalités :
- La traçabilité des flux réseau est assurée avec un niveau de détail plus important. Les données de flux classiques (adresse IP, ports local/externe, nombre de paquets…) sont enrichies et contiennent des informations de géolocalisation, la reconnaissance et le décodage applicatif (200 applications reconnues et stockage des URL, requête DNS, …). L’ensemble est mémorisé dans une base de données relationnelle, qui a été particulièrement optimisée. Les requêtes sont désormais très rapides et la consultation des flux sur plusieurs mois est possible, quel que soit le réseau. Les flux collectés sont agrégés sur une période plus longue (1 heure). Cela va permettre de réduire en moyenne de 98% le volume des données utiles transmises, sans perte d’information.
- La métrologie est enrichie et devient temps réel. De nouveaux graphiques permettent de suivre en temps réel l’évolution du trafic, d’avoir une résolution à la minute, une vue par semaine et d’interpréter des informations applicatives. Il est possible d’observer et d’analyser les activités du réseau local, d’un sous-réseau et d’une machine spécifique. Plusieurs niveaux de détails sont disponibles, jusqu’à la corrélation avec les flux réseau enregistrés. L’étude permet donc une compréhension complète des flux.
- La détection d’anomalies est faite en temps réel. ZNETS devient ainsi un IDS (Système de Détection d’Intrusion) avec des mécanismes de mise à jour automatique. De plus, la corrélation d’une alerte avec les informations disponibles est aisée et apporte des informations cruciales, sans équivalent, sur l’incident. Les statistiques horaires et journalières permettent l’identification immédiate d’un trafic inhabituel. ZNETS intègre un certain nombre d’heuristiques (dont la plupart sont nouvelles). Elles vont permettre de détecter entre autres : des APT (Advanced Persistent Threads), qui sont des menaces discrètes, des attaques de déni de service (DoS), scans, virus, malwares, le non-respect des chartes informatiques (téléchargements illicites, utilisation d’applications interdites...). Les administrateurs systèmes et réseaux sont informés par email.
- Un inventaire complet de toutes les machines du réseau, avec une détection du système d’exploitation, l’enregistrement des périodes de présence de chaque machine sur le réseau, ainsi que l’ensemble des services TCP et UDP locaux et externes, sont aussi réalisés en temps réel.
Aujourd’hui, ZNETS intègre toutes les fonctionnalités nécessaires à la supervision : collecte et journalisation d’informations sur les flux IP qui traversent les équipements du réseau, analyse, mais aussi détection d’anomalies, et levée d’alerte. Depuis 2012, ZNETS supervise l’ensemble des machines du LAN, et garantit la traçabilité de l’activité réseau et une réactivité maximale en cas d’incident. Il contribue ainsi à l’amélioration du niveau en sécurité informatique des laboratoires de l’IN2P3.
La version 2 de ZNETS devrait être disponible prochainement. Pour de plus amples informations, consultez cet article.
Thierry Descombes (LPSC)