Netifera une plateforme d'analyse pour des volumes élevés de captures réseau

Par Rédaction, secuobs.com
Le 28/11/2008

---

Résumé : Netifera est une plateforme de surveillance visant à analyser la sécurité des infrastructures au niveau réseau. Son développement a été axé sur des capacités à prendre en charge des volumes élevés de données. - Lire l'article



Netifera est une plate-forme consistant à fournir une interface avancée d’analyse pour la sécurité d'une infrastructure réseau via la reconnaissance des noeuds en présence. Son architecture se veut novatrice de par ses capacités à gérer des volumes élevés d’informations collectées. Cette plateforme OpenSource vise plus particulièrement à fournir un cadre flexible pour la création et l’intégration d’outils de sécurité divers et variés.

Elle se présente plus précisément sous la forme d’un plan de travail adaptatif permettant à son utilisateur de visualiser une multitude d’entités, des milliers selon les développeurs, sans pour autant avoir à rencontrer de problèmes de performance puisque c’était l’objectif principal qu’ils souhaitaient atteindre avec leur solution.

De nouveaux plans de travail peuvent être créés au sein de Netifera afin de faciliter la répartition et la visualisation des informations recueillies ; ces plans peuvent être sauvegardés individuellement en vue de leur restauration lors de prochaines sessions. Chaque plan contient des espaces multiples divisés eux-mêmes en plusieurs sous-ensembles.

Cette arborescence complexe ( voir les impressions écran - lien ) permet de mieux gérer la visualisation de la multitude d’informations disponibles et éviter les encombrements. L’ensemble de premier niveau peut être assimilé à une navigation par onglet telle que celle que l’on peut trouver dans la plupart des navigateurs Internet modernes.

Dans Netifera, on trouve la notion d’entité, une entité étant ici un objet spécifique pour un type particulier qui définit les caractéristiques de l’ensemble des informations qui vont y être recueillies. Ces entités sont visibles sous la forme d’une liste accessible depuis l’interface utilisateur, chaque entité étant présente sous la forme d’une icône et d’un intitulé descriptif ; l'ensemble est stocké dans une base de données centrale.

Il est possible d’ajouter manuellement de nouvelles entités à un plan via la barre d’outils, il suffit alors d’entrer sa description afin d’être en mesure de la visualiser dans la liste du plan de travail actif. Les entrées pour les entités peuvent être fournies dans les formats suivants : adresse IP, range d’adresses IP multiples, adresse URL HTTP, adresse email, nom de domaine qualifié et alias de nom de domaine.

Outre les entités, l’utilisation de Netifera repose également sur la notion de perspective ; une perspective associant une configuration donnée pour une tâche particulière. Cette configuration affectera de façon significative la visualisation des informations au sein de l’interface utilisateur afin d’en faciliter la lisibilité.

Deux perspectives sont par défaut disponibles, la première est contextuelle au lancement d’outils visant à lutter contre des attaques données alors que la seconde est relative à la collecte passive d’informations issues du trafic réseau ; le passage d’une perspective à une autre est facilité par la barre d’outils ainsi que par le menu de fenêtrage.

En ce qui concerne l’exécution des actions, elle s’effectue en sélectionnant une de ces entités dans la liste du plan de travail actif, une boîte de dialogue apparait alors automatiquement afin de choisir l’action souhaitée pour l’entité ; ces actions peuvent être multiples vers une même entité. L’ensemble des tâches en cours est quant à lui accessible via un gestionnaire spécifique afin de visualiser la progression de chacune d’entre elles.

Un balisage des entités peut aussi être réalisé par l’intermédiaire de mots clé spécifiques ; une entité pouvant être balisée selon plusieurs mots clé. Chaque mot clé possède alors un espace virtuel où l’ensemble des entités, qui lui sont relatives, est regroupé afin d’en faciliter la gestion. En plus des fonctions de collecte passive, les données issues d’un fichier au format PCAP sont également prises en charge par les fonctions d’analyse.

La sélection des interfaces de capture est réalisée depuis la barre d’outils principale qui permet entre autres d’activer ou de désactiver des modules spécifiques. Pour utiliser Netifira, il est initialement nécessaire que l’outil soit lancé sous un compte utilisateur présentant des droits de super-utilisateur (root).

Cependant on peut trouver dans l’archive un utilitaire, disponbile sous le nom de « backdoor », qui permet d’ouvrir la capture de paquets à partir des interfaces réseaux pour n’importe qui ; cet utilitaire ne doit néanmoins être utilisé qu’en toute connaissance de cause puisqu’il ouvre ici une faille potentielle d’élévation de privilèges sur l’infrastructure en présence pour un attaquant éventuel.

Netifera a été présentée publiquement pour la première fois à la conférence XCon2008 ( lien ) qui vient de se tenir à Beijing en Chine du 18 au 19 novembre ; les conférences XCon sont gérées par l’organisation chinoise XFocus ( lien ). Netifera est disponible au téléchargement dès à présent en version Beta sur le site officiel du projet ( lien ).

Sa compatibilité est assurée avec les systèmes d’exploitation de type GNU/Linux et Apple Mac OS X. La sortie d'une version pour les systèmes d’exploitation Microsoft Windows est prévue pour les premiers mois de l’année 2009. Les diapositives de la présentation sont disponibles sur le site officiel, précédemment cité, du projet ou ci-dessous via une iframe issue du service Google Doc :