Analyse comportementale gratuite des réseaux avec NetFlow et FlowMatrix

Par Xavier Poli, secuobs.com
Le 07/02/2009

---

Résumé : FlowMatrix est une solution gratuite et basée sur la collecte de sources Cisco NetFlow. Elle permet d'effectuer des analyses comportementales en vue de détecter des anomalies réseau et d'améliorer les capacités de résilience des organisations en cas de menaces directes. - Lire l'article



FlowMatrix est un outil gratuit pour faciliter l’analyse comportementale type NBA (Network Behavorial Analysis) impliquant la détection d’anomalies aussi bien au niveau du trafic réseau global que d’applications réseau données, d’utilisateurs en particulier ou de postes de travail spécifiques. On peut comparer cet outil à des solutions plus commerciales comme Mazu Profiler ( lien ) qui vient d’être rachetée par Riverbed ( lien ), eIQ SecureVue (lien ), Lancope StealthWatch ( lien ), SecurActive NSS ( lien ) et Arbor PeakFlow X ( lien ).

A partir des informations collectées et stockées par les NBA dans une base de données NID (Network Informations Database), on peut de cette façon obtenir en temps réel une visibilité globale de l’activité continue des ressources réseau en présence, le tout avec un historique portant sur des périodes très larges. Les solutions NBA quantifient en fait les comportements anormaux en réalisant une analyse comparative des paquets de données échangés vis-à-vis des statistiques habituelles des flux de la suite de protocoles TCP/IP ( lien ) qui auront pu être recensés sur les équipements réseau présents au sein de l’infrastructure.

Elles facilitent ainsi l’identification des risques liés aux menaces émergentes, certaines exploitations de vulnérabilités Zero day ( lien ) par exemple, qui ne peuvent pas être détectées par les solutions plus traditionnelles basées sur un système de signature comme les Systèmes de Détection et de Prévention d’Intrusion I[D|P]S ( voir notre dossier - lien ) et les solutions antivirales. Bien que fort utiles, les NBA sont en général trop couteux pour être implémentés au sein des entreprises et notamment les plus petites d’entre elles, le prix d’entrée tournant autour de plusieurs milliers dollars.

Après une phase préalable d’apprentissage, équivalente à une durée comprise entre sept et quatorze jours, FlowMatrix construit des modèles comportementaux multidimensionnels à la fois pour le réseau, mais également pour des applications réseaux en particulier. Ces modèles seront utilisés ultérieurement afin de détecter les anomalies présentant des risques pour la sécurité de l’infrastructure, permettant ainsi de réduire considérablement le taux de faux positifs parmi ces résultats analytiques de détection. Un enregistrement, correspondant à une alerte, sera alors inscrit dans les fichiers de journalisation des événements détectés.

FlowMatrix se présente donc apparemment comme un choix idéal si l’on considère uniquement le ratio coût/efficacité, son utilisation nécessite néanmoins l’acquisition préalable des compétences requises pour effectuer une analyse fine de ses résultats et en apprécier l'efficacité. Il offrira alors de nombreuses opportunités d’amélioration des performances du réseau en sachant à tout instant ce qu’il s’y passe globalement. Des fonctionnalités avancées d’affinage sont également prévues en vue d’isoler les communications propres à deux points en particulier, tout en identifiant les applications et les services impliqués, au même titre que les zones d’engorgement.

Pour ce faire, le système automatisé de FlowMatrix surveille de façon constante les infrastructures réseau en utilisant les enregistrements du protocole NetFlow ( lien ) qui sont issus des routeurs et des commutateurs y étant installés. Dans ce contexte, il n’est donc pas nécessaire de bouleverser toute l’infrastructure par l’addition de sondes coûteuses de détection dès lors que l’on souhaite mettre en place une solution globale de surveillance. NetFlow est en fait un protocole réseau qui a été développé par Cisco Systems afin de pouvoir centraliser les informations relatives au trafic réseau.

NetFlow est également supporté par les routeurs Juniper Networks et les systèmes d’exploitation BSD-like, il repose sur des collecteurs externes aux « routeurs » qui vont recevoir les informations via le protocole de transport UDP ( User Datagram Protocol - lien ), ou SCTP ( Stream Control Transmission Protocol - lien ). Seule la version 1.5.7 de NetFlow est pour l’instant supportée, mais il est prévu que FlowMatrix en supporte davantage à l’avenir. Il en sera peut être de même pour les protocoles J-Flow ( lien ) de Juniper Networks et Netstream ( lien ) de Huawei Technology.

A l’aide de FlowMatrix, les temps de réponse sont diminués, en termes de résilience ( lien ), à partir du moment où les administrateurs prennent connaissance de l’anomalie dans un court laps de temps, soit idéalement dès le début de l’attaque. Afin de faciliter la compréhension des événements recensés, FlowMatrix effectue si possible une classification des anomalies selon des classes d’attaques particulières comme les Dénis de Service Distribués ( lien ) et les scans automatiques réalisés par des outils comme NMAP ( lien ) ou Nessus ( voir notre dossier - lien ).

Dans l’optique de fournir l’analyse la plus pertinente possible de ces événements enregistrés dans des fichiers journalisés, FlowMatrix ( lien ) s’appuie sur un système permettant de mettre en place des règles de filtrage des informations recensées. Il est ainsi possible de créer des règles propres ayant pour objectif d’effectuer une surveillance qui sera concentrée sur des conditions bien particulières. Pour visualiser les attaques DDoS en cours, il peut par exemple être configuré de façon à n’identifier que les machines qui auront été contactées par plus d’un certain nombre de sources uniques et cela dans un intervalle de temps spécifique et variable.

Plus globalement, certaines solutions NBA peuvent également être couplées avec un produit comme Intellitactics ESM ( lien ) qui centralise en un point unique les informations issues de multiples sources de détection d’anomalies et de nature différente, permettant alors d’augmenter d'autant plus les capacités de résilience d’une organisation. En recouvrant ainsi l’exact contexte environnemental propice à l’apparition d’une anomalie, la corrélation de l’ensemble des événements multi-sources recensés pourra être à l’origine d’une réponse automatique visant à cloisonner les parties du réseau incriminées pour éviter une éventuelle propagation.

Source : Darknet The Darkside ( voir la revue de presse - lien )