SlideShare une entreprise Scribd logo
Animé par :
Fiad Alaa
Djediden Med
 Le métier d’administrateur
devient de plus en plus
complexe.
 Un défi majeur pour l’équipe
est de gagner en temps et en
efficacité grâce à un bon outil
de supervision.
 Les systèmes d’information
étant par nature complexes,
leur supervision est
indispensable.
 L’administrateur est prévenu rapidement
d’une situation anormale.
 Il dispose de plus d’informations pertinentes
et peut immédiatement s’atteler à la
résolution du problème.
 En outre, certaines ressources ne sont utilisées
qu’occasionnellement, sans outil de
supervision, l’erreur n’est pas remontée.
 Les systèmes étant de plus en plus imbriqués,
une simple erreur peut en produire un
nombre incalculable d’autres (effet domino).
 Simple Network Management Protocol.
 Protocole de communication entre agent et
station de gestion(NMS).
 Permet aux administrateurs réseau de
superviser, diagnostiquer et de gérer les
équipements du réseau.
 Développé par l’IETF.
 RFC 1157.
 Le protocole SNMP a commencé à émerger dans les années 1980 et
a évolué en plusieurs versions.
 SNMPv1 : c'est la première version du protocole. La sécurité de
cette version est minimale, car elle est basée sur la connaissance
entre les parties d'une chaîne de caractères appelée
"communauté" ;
 SNMPv2c : cette version du protocole est appelée "community
string based SNMPv2". Elle améliore encore les requêtes
protocolaires par rapport à SNMPv2p et utilise la sécurité par
chaîne de caractères "communauté" de SNMPv1 ;
 SNMPv3 : cette version, supportant les "proxies", est une
combinaison de la sécurité basée sur les usagers, les types et les
opérations définis dans SNMPv2p. La sécurité est basée sur les
versions SNMPv2u et SNMPv2*.
 Autres version rarement adoptées : SNMPsec , SNMPv2p,
SNMPv2u , SNMPv2*
 Les buts du protocole SNMP sont de :
 Connaître l'état global d'un équipement (actif,
inactif, partiellement opérationnel...) ;
 Gérer les évènements exceptionnels (perte d'un
lien réseau, arrêt brutal d'un équipement...) ;
 Analyser différents indicateurs afin d'anticiper les
problèmes futurs (engorgement réseau...) ;
 Agir sur certains éléments de la configuration des
équipements.
 Un agent SNMP est un logiciel implanté sur un équipement à
superviser.
 Il s'agit souvent d'un équipement réseau (switch, hub, routeur...)
mais on trouve aussi des agents sur des serveurs.
Les superviseurs SNMP
Le rôle d'un superviseur (NMS) SNMP est de :
• présenter (si possible de manière graphique), une vue de
l'infrastructure supervisée avec l'état des différents
équipements qui la composent.
• Dans les grosses infrastructures, il est courant que le
superviseur SNMP affiche son écran sur un mur d'images
dans la salle de supervision,
• communiquer avec les différents agents SNMP pour
récupérer régulièrement les différents états des équipements
Exemples de superviseurs SNMP :
HP OpenView, Nagios ,Zabbix
 Les messages envoyés par le superviseur SNMP vers l'agent
SNMP sont :
 Message "Get Request" : ce message permet au superviseur
d'interroger un agent sur les valeurs d'un ou de plusieurs objets
de la MIB ;
 Message "Get Next Request" : ce message permet au
superviseur d'interroger un agent pour obtenir la valeur de
l'objet suivant dans l'arbre des objets de l'agent. Ce message
permet de balayer des objets indexés de type tableau ;
 Message "Get Bulk Request" : introduite avec la version 2 du
protocole SNMP, ce message permet de mixer les messages "Get
Request" et "Get Next Request" pour obtenir des blocs entiers
de réponses de la part de l'agent ;
 Message "Set Request" : ce message permet au superviseur de
positionner ou modifier la valeur d'un objet dans l'agent ;
 Les messages envoyés par l'agent SNMP vers le superviseur
SNMP sont :
 Message "Get Response" : ce message est utilisé par l'agent pour
répondre aux messages envoyés par le superviseur ;
 Message "Trap" : ce message est envoyé par l'agent à son
superviseur de manière asynchrone pour signaler un
événement, un changement d'état ou un défaut.
 Message "Notification" : introduit avec la version 2 du protocole
SNMP, ce message est similaire au message "Trap".
 Message "Inform" : introduit avec la version 2 du protocole
SNMP, ce message est envoyé par l'agent à son superviseur de
manière asynchrone pour signaler un événement, un
changement d'état ou un défaut. L'agent attend un acquittement
de la part du superviseur et il y aura une retransmission en cas
de non réponse.
 Le seul message envoyé entre les agents
SNMP est :
 Message "Report" : introduit avec la version 2 du
protocole SNMP mais jamais implémenté, ce
message permet aux différents agents de
communiquer entre eux (principalement pour
remonter des problèmes de traitement des
messages SNMP).
 La MIB est la base d'informations de gestion. Il y est :
• des informations à consulter,
• des paramètres à modifier,
• des alarmes à émettre...
 SNMP permet de retrouver les informations et d'agir
sur les paramètres de façon indépendante du
matériel, comme du logiciel.
 La MIB se présente comme une base de données normalisée,
qui permettra de lire et d'écrire sur les équipements
distants, de façon également normalisée.
 L'agent quant à lui se chargera de faire la traduction
entre les informations transmises par SNMP et la plate-
forme.
 La structure de la MIB est hiérarchique.
 les informations sont regroupées en arbre.
 Chaque information a un object identifier qui est une suite
de chiffres séparés par des points, qui l'identifie de façon
unique et un nom, indiqué dans le document qui décrit la
MIB.
 Par exemple, 1.3.6.1.2.1.2.2.1.2 est l'object identifier ifDescr
qui est la chaîne de caractères décrivant une interface
réseau.
 L'arbre de la MIB, contient une branche particulière
qui est "private enterprises" (OID 1.3.6.1.4.1).
 Cette branche permet aux différentes entreprises de
gérer leurs MIB spécifiques.
 Chaque entreprise se voit attribuer un OID unique et
elles ont ensuite le droit de décrire leurs OID
spécifiques en dessous de leur OID d'entreprise.
 La gestion de la branche d'une entreprise est
entièrement laissée à cette entreprise.
 Les différents OID d'entreprises sont alloués par
l'IANA. On retrouve par exemple :
 Cisco avec un OID 1.3.6.1.4.1.9 ;
 HP avec 1.3.6.1.4.1.11 ;
 Novell avec 1.3.6.1.4.1.23 ;
SNMP Configuration basic
Router# configure terminal
Router(config)# snmp-server community [name1] ro
Router(config)# snmp-server community [name2] rw
PCdesktopMIB BROWSER
NETFLOW
Les besoins
• Différentes problématiques :
Quelles sont les machines qui parlent le plus?
Quel est le trafic par utilisateur ou groupe?
par application?
par réseau (interne, externe)?
Combien d’utilisateurs sont actifs sur le réseau à l’instant T?
D’où vient le trafic?
Vers où se dirige-t-il?
Des attaques de sécurités?
Des solutions
1.Netflow de CISCO:
Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco
(à partir de la version 12.0 de l’IOS),Mais aussi chez d’autres constructeurs (Juniper).
2.Le standard de l’IETF :
IPFIX (IP Flow Information eXport) pas encore ratifié
NETFLOW :
Principes et fonctionnement
NetFlow et les Flux
•NetFlow est une architecture de surveillance des réseaux développée par
Cisco Systems qui permet de collecter des informations sur les flux IP.
• Elle définit un format d'exportation d'informations sur les flux réseau nommé
NetFlow services export format.
• Elle permet de superviser de façon fine les ressources du réseau utilisées.
• Critères d’un flux
- Adresses source et destination
- Protocole (TCP, UDP, ICMP..)
- Type of Service (ToS)
- Ports applicatifs
- Interfaces d’entrée et de sortie du routeur
Table des flux - Cache
• Routeur utilisant NetFlow :
- Maintient en cache une table des flux actifs : Cache NetFlow
- Compte le nombres de paquets et d’octets reçus pour
chaque flux.
• Mise à Jour
A chaque paquet reçu le routeur met à jour le cache :
- Soit en créant une nouvelle entrée
- Soit en incrémentant les compteurs d’une entrée existante
adresse
src
… Time
left
Nb
pqts
Nb
Octets
192.168.0.5 5 45 3 456
192.168.0.6 23 5 258
192.168.0.2 15 90 5 789
192.168.0.1 11 1234 23 456
192.168.0.9 30 2 124
192.168.0.5 30 46 3 512
Collecte
• Lorsqu’un flux a expiré :
- Il est supprimé du Cache NetFlow.
- Il peut être exporté vers une machine de collecte au moyen de
trames NetFlow.
• Exportation et remontée d’informations
- La machine reçoit des trames NetFlow suivant un protocole
défini par Cisco (plusieurs versions existent).
- Le routeur regroupe plusieurs flux dans une trame (par économie).
Protocoles NetFlow
• Il existe plusieurs versions : 1, 5, 7, 8
- La version 5 est la plus couramment utilisée.
- La version 7 sert pour les switches Catalyst et diffère peu
de la version 5.
- La version 8 introduit les schémas d’agrégation (environ une
quinzaine).
• Chaque version apporte des changements et demande une
modification des collecteurs.
• Pas de support d’IPv6, du Multicast, MPLS…
Version 9 : Nouveaux supports :
- IPv4 Unicast
- IPv4 Multicast
- MPLS
- IPv6
UTILISER NETFLOW :
Mise en place et exploitation des flux
Evolutions prévues
L’infrastructure NetFlow
Routeur Collecteur Applications
-Création
du cache
-Agrégation
-Export
-Collecte
-Filtrage
-Agrégation
-Stockage
-Utilisation des données
-Présentation des données
Démonstration
192.168.0.254 192.168.1.254
192.168.1.1192.168.0.1
Jonathan Romain
Routeur Cisco 1751
Export NetFlow V5
Collecteur NFC
(interface Web)
Reçoit les exports
NetFlow
Reçoit le trafic
Émet le trafic
TCP:
HTTP (80)
FTP (21)
Telnet (23)
Fonctions du collecteur
• Fonctions essentielles
- Collecter les enregistrements exportés par les routeurs
- Réaliser une première phase de traitement
- Filtrage
- Agrégation
- Stocker les enregistrements
• Le collecteur Cisco: NetFlowCollector (NFC)
- Interface graphique Web
- Possibilités de traitement (tri, graphe…)
• Des outils gratuits: IPFlow, FlowTools
- Gèrent la ré-émission (dispatching)
- Pas d’interface graphique
Exemple de traitement NFC
Répartition des flux par type sur une période donnée
Évolutions futures
• Support IPV6
- Incomplet (exports IPV4)
- Prévu en évolution de la version 9 (bêta à ce jour)
• Sécurité
- Exports de nouvelles données
- @mac
- longueur des paquets
- TTL…
Commandes: configuration
• ip route-cache flow
Pour chaque interface
• ip flow-export version <version>
ex : ip flow-export version 5
• ip flow-export destination <address> <port>
ex : ip flow-export destination 10.0.0.1 65001
• ip flow-cache timeout active <minutes>
Définit le temps en minutes pendant lequel un flux
restera en cache avant expiration. 30 minutes par défaut
Commandes: Visualisation
• show ip cache [verbose] flow
Affiche les statistiques NetFlow
• show ip flow export
Affiche les statistiques d’export
• clear ip cache flow
Vide les statistiques NetFlow
• clear ip flow stats
Vide les statistiques d’Export
Exemple: show ip cache flow
Conclusion
• Un outil performant
- fiable
- évolutif
• Une stratégie à concevoir
- Utilisation CPU > 15 à 20% pour la v5 et la v9
- 2 à 5% de plus pour la v8
- 64 octets par flux en mémoire
 supervision réseau (snmp netflow)

Contenu connexe

Tendances

VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
gorguindiaye
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
Alain Ganuchaud
 
memoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagiosmemoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagios
abouaalexis
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMP
EL AMRI El Hassan
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenients
biapy
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
moussa sambe
 
Tp voip
Tp voipTp voip
Tp voip
amalouwarda
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
Erwan 'Labynocle' Ben Souiden
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagios
hindif
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Système de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans filSystème de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans fil
Samia HJ
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
nadimoc
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
cours Lunix
cours Lunixcours Lunix
cours Lunix
salmenloukil
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec Zabbix
Fourat Zouari
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Bamoussa Bamba
 
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFE
Nadir Haouari
 

Tendances (20)

VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
 
memoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagiosmemoire utilisation de Puppet et Nagios
memoire utilisation de Puppet et Nagios
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMP
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenients
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
 
Tp voip
Tp voipTp voip
Tp voip
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagios
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Système de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans filSystème de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans fil
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
cours Lunix
cours Lunixcours Lunix
cours Lunix
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec Zabbix
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
Présentation de mon PFE
Présentation de mon PFEPrésentation de mon PFE
Présentation de mon PFE
 

En vedette

Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwok
Abdessamad IDRISSI
 
Eléments d'interconnexion pour les réseaux informatiques
Eléments d'interconnexion pour les réseaux informatiquesEléments d'interconnexion pour les réseaux informatiques
Eléments d'interconnexion pour les réseaux informatiques
DJENNA AMIR
 
Cours routage inter-vlan
Cours routage inter-vlanCours routage inter-vlan
Cours routage inter-vlan
EL AMRI El Hassan
 
Concepts et configuration de base de la commutation
Concepts et configuration de base de la commutationConcepts et configuration de base de la commutation
Concepts et configuration de base de la commutation
EL AMRI El Hassan
 
4 protocole de redondance(hsrp-vrrp-glbp)
4 protocole de redondance(hsrp-vrrp-glbp)4 protocole de redondance(hsrp-vrrp-glbp)
4 protocole de redondance(hsrp-vrrp-glbp)
medalaa
 
Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco
DJENNA AMIR
 
Composants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur CiscoComposants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur Cisco
DJENNA AMIR
 
Montage d'un petit réseau
Montage d'un petit réseauMontage d'un petit réseau
Montage d'un petit réseau
DJENNA AMIR
 
3 switchport securité
3 switchport securité3 switchport securité
3 switchport securité
medalaa
 
cours le routage statique (ipv4 et ipv6)
cours le routage statique (ipv4 et ipv6)cours le routage statique (ipv4 et ipv6)
cours le routage statique (ipv4 et ipv6)
EL AMRI El Hassan
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
EL AMRI El Hassan
 
Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
Système de câblage
Système de câblageSystème de câblage
Système de câblage
DJENNA AMIR
 
Windows server 2012
Windows server 2012Windows server 2012
Windows server 2012
Ndim43
 
Cours Vlan
Cours VlanCours Vlan
Cours Vlan
EL AMRI El Hassan
 
Chapter 05 - Inter-VLAN Routing
Chapter 05 - Inter-VLAN RoutingChapter 05 - Inter-VLAN Routing
Chapter 05 - Inter-VLAN Routing
Yaser Rahmati
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCERTyou Formation
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
Aurore de Cosnac
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seauMed Ali Bhs
 

En vedette (20)

Rapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwokRapprot de satge supervision de résau par EyesOfNetwok
Rapprot de satge supervision de résau par EyesOfNetwok
 
Snmp
SnmpSnmp
Snmp
 
Eléments d'interconnexion pour les réseaux informatiques
Eléments d'interconnexion pour les réseaux informatiquesEléments d'interconnexion pour les réseaux informatiques
Eléments d'interconnexion pour les réseaux informatiques
 
Cours routage inter-vlan
Cours routage inter-vlanCours routage inter-vlan
Cours routage inter-vlan
 
Concepts et configuration de base de la commutation
Concepts et configuration de base de la commutationConcepts et configuration de base de la commutation
Concepts et configuration de base de la commutation
 
4 protocole de redondance(hsrp-vrrp-glbp)
4 protocole de redondance(hsrp-vrrp-glbp)4 protocole de redondance(hsrp-vrrp-glbp)
4 protocole de redondance(hsrp-vrrp-glbp)
 
Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco Composants et fonctionnement d'un Switch Cisco
Composants et fonctionnement d'un Switch Cisco
 
Composants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur CiscoComposants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur Cisco
 
Montage d'un petit réseau
Montage d'un petit réseauMontage d'un petit réseau
Montage d'un petit réseau
 
3 switchport securité
3 switchport securité3 switchport securité
3 switchport securité
 
cours le routage statique (ipv4 et ipv6)
cours le routage statique (ipv4 et ipv6)cours le routage statique (ipv4 et ipv6)
cours le routage statique (ipv4 et ipv6)
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
Système de câblage
Système de câblageSystème de câblage
Système de câblage
 
Windows server 2012
Windows server 2012Windows server 2012
Windows server 2012
 
Cours Vlan
Cours VlanCours Vlan
Cours Vlan
 
Chapter 05 - Inter-VLAN Routing
Chapter 05 - Inter-VLAN RoutingChapter 05 - Inter-VLAN Routing
Chapter 05 - Inter-VLAN Routing
 
Cysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatiqueCysecu formation-introduction-a-la-securite-informatique
Cysecu formation-introduction-a-la-securite-informatique
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Supervision rc3a9seau
Supervision rc3a9seauSupervision rc3a9seau
Supervision rc3a9seau
 

Similaire à supervision réseau (snmp netflow)

Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseau
adifopi
 
Administration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptxAdministration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptx
macsat2
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptxAdministration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptx
JordaniMike
 
Administration réseau snmp 2
Administration réseau snmp 2Administration réseau snmp 2
Administration réseau snmp 2Mohamed Faraji
 
Annex
AnnexAnnex
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptssssssssssssssssssssssssssssssssssssssssssssnmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
latifellatif300
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
Rapport fiifo4 snmp
Rapport fiifo4 snmpRapport fiifo4 snmp
Rapport fiifo4 snmp
Coko Mirindi Musaza
 
Cours sys 2PPT20.pdf
Cours sys 2PPT20.pdfCours sys 2PPT20.pdf
Cours sys 2PPT20.pdf
C00LiMoUn
 
Démo puppet et état du projet
Démo puppet et état du projetDémo puppet et état du projet
Démo puppet et état du projet
New Caledonian Government
 
Parinux 2009
Parinux 2009Parinux 2009
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
gorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
gorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
gorguindiaye
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)
Edouard DEBERDT
 

Similaire à supervision réseau (snmp netflow) (20)

Ft administration de réseau
Ft administration de réseauFt administration de réseau
Ft administration de réseau
 
Administration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptxAdministration des réseaux informatiques_cours3.pptx
Administration des réseaux informatiques_cours3.pptx
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
 
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptxAdministration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptx
 
Administration réseau snmp 2
Administration réseau snmp 2Administration réseau snmp 2
Administration réseau snmp 2
 
Annex
AnnexAnnex
Annex
 
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptssssssssssssssssssssssssssssssssssssssssssssnmp.pptsssssssssssssssssssssssssssssssssssssssssss
snmp.pptsssssssssssssssssssssssssssssssssssssssssss
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Rapport fiifo4 snmp
Rapport fiifo4 snmpRapport fiifo4 snmp
Rapport fiifo4 snmp
 
Cours sys 2PPT20.pdf
Cours sys 2PPT20.pdfCours sys 2PPT20.pdf
Cours sys 2PPT20.pdf
 
vpn
vpnvpn
vpn
 
Démo puppet et état du projet
Démo puppet et état du projetDémo puppet et état du projet
Démo puppet et état du projet
 
Parinux 2009
Parinux 2009Parinux 2009
Parinux 2009
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)
 

supervision réseau (snmp netflow)

  • 1. Animé par : Fiad Alaa Djediden Med
  • 2.  Le métier d’administrateur devient de plus en plus complexe.  Un défi majeur pour l’équipe est de gagner en temps et en efficacité grâce à un bon outil de supervision.  Les systèmes d’information étant par nature complexes, leur supervision est indispensable.
  • 3.  L’administrateur est prévenu rapidement d’une situation anormale.  Il dispose de plus d’informations pertinentes et peut immédiatement s’atteler à la résolution du problème.  En outre, certaines ressources ne sont utilisées qu’occasionnellement, sans outil de supervision, l’erreur n’est pas remontée.  Les systèmes étant de plus en plus imbriqués, une simple erreur peut en produire un nombre incalculable d’autres (effet domino).
  • 4.
  • 5.  Simple Network Management Protocol.  Protocole de communication entre agent et station de gestion(NMS).  Permet aux administrateurs réseau de superviser, diagnostiquer et de gérer les équipements du réseau.  Développé par l’IETF.  RFC 1157.
  • 6.  Le protocole SNMP a commencé à émerger dans les années 1980 et a évolué en plusieurs versions.  SNMPv1 : c'est la première version du protocole. La sécurité de cette version est minimale, car elle est basée sur la connaissance entre les parties d'une chaîne de caractères appelée "communauté" ;  SNMPv2c : cette version du protocole est appelée "community string based SNMPv2". Elle améliore encore les requêtes protocolaires par rapport à SNMPv2p et utilise la sécurité par chaîne de caractères "communauté" de SNMPv1 ;  SNMPv3 : cette version, supportant les "proxies", est une combinaison de la sécurité basée sur les usagers, les types et les opérations définis dans SNMPv2p. La sécurité est basée sur les versions SNMPv2u et SNMPv2*.  Autres version rarement adoptées : SNMPsec , SNMPv2p, SNMPv2u , SNMPv2*
  • 7.  Les buts du protocole SNMP sont de :  Connaître l'état global d'un équipement (actif, inactif, partiellement opérationnel...) ;  Gérer les évènements exceptionnels (perte d'un lien réseau, arrêt brutal d'un équipement...) ;  Analyser différents indicateurs afin d'anticiper les problèmes futurs (engorgement réseau...) ;  Agir sur certains éléments de la configuration des équipements.
  • 8.
  • 9.  Un agent SNMP est un logiciel implanté sur un équipement à superviser.  Il s'agit souvent d'un équipement réseau (switch, hub, routeur...) mais on trouve aussi des agents sur des serveurs. Les superviseurs SNMP Le rôle d'un superviseur (NMS) SNMP est de : • présenter (si possible de manière graphique), une vue de l'infrastructure supervisée avec l'état des différents équipements qui la composent. • Dans les grosses infrastructures, il est courant que le superviseur SNMP affiche son écran sur un mur d'images dans la salle de supervision, • communiquer avec les différents agents SNMP pour récupérer régulièrement les différents états des équipements Exemples de superviseurs SNMP : HP OpenView, Nagios ,Zabbix
  • 10.
  • 11.  Les messages envoyés par le superviseur SNMP vers l'agent SNMP sont :  Message "Get Request" : ce message permet au superviseur d'interroger un agent sur les valeurs d'un ou de plusieurs objets de la MIB ;  Message "Get Next Request" : ce message permet au superviseur d'interroger un agent pour obtenir la valeur de l'objet suivant dans l'arbre des objets de l'agent. Ce message permet de balayer des objets indexés de type tableau ;  Message "Get Bulk Request" : introduite avec la version 2 du protocole SNMP, ce message permet de mixer les messages "Get Request" et "Get Next Request" pour obtenir des blocs entiers de réponses de la part de l'agent ;  Message "Set Request" : ce message permet au superviseur de positionner ou modifier la valeur d'un objet dans l'agent ;
  • 12.  Les messages envoyés par l'agent SNMP vers le superviseur SNMP sont :  Message "Get Response" : ce message est utilisé par l'agent pour répondre aux messages envoyés par le superviseur ;  Message "Trap" : ce message est envoyé par l'agent à son superviseur de manière asynchrone pour signaler un événement, un changement d'état ou un défaut.  Message "Notification" : introduit avec la version 2 du protocole SNMP, ce message est similaire au message "Trap".  Message "Inform" : introduit avec la version 2 du protocole SNMP, ce message est envoyé par l'agent à son superviseur de manière asynchrone pour signaler un événement, un changement d'état ou un défaut. L'agent attend un acquittement de la part du superviseur et il y aura une retransmission en cas de non réponse.
  • 13.  Le seul message envoyé entre les agents SNMP est :  Message "Report" : introduit avec la version 2 du protocole SNMP mais jamais implémenté, ce message permet aux différents agents de communiquer entre eux (principalement pour remonter des problèmes de traitement des messages SNMP).
  • 14.  La MIB est la base d'informations de gestion. Il y est : • des informations à consulter, • des paramètres à modifier, • des alarmes à émettre...  SNMP permet de retrouver les informations et d'agir sur les paramètres de façon indépendante du matériel, comme du logiciel.  La MIB se présente comme une base de données normalisée, qui permettra de lire et d'écrire sur les équipements distants, de façon également normalisée.  L'agent quant à lui se chargera de faire la traduction entre les informations transmises par SNMP et la plate- forme.
  • 15.  La structure de la MIB est hiérarchique.  les informations sont regroupées en arbre.  Chaque information a un object identifier qui est une suite de chiffres séparés par des points, qui l'identifie de façon unique et un nom, indiqué dans le document qui décrit la MIB.  Par exemple, 1.3.6.1.2.1.2.2.1.2 est l'object identifier ifDescr qui est la chaîne de caractères décrivant une interface réseau.
  • 16.
  • 17.  L'arbre de la MIB, contient une branche particulière qui est "private enterprises" (OID 1.3.6.1.4.1).  Cette branche permet aux différentes entreprises de gérer leurs MIB spécifiques.  Chaque entreprise se voit attribuer un OID unique et elles ont ensuite le droit de décrire leurs OID spécifiques en dessous de leur OID d'entreprise.  La gestion de la branche d'une entreprise est entièrement laissée à cette entreprise.  Les différents OID d'entreprises sont alloués par l'IANA. On retrouve par exemple :  Cisco avec un OID 1.3.6.1.4.1.9 ;  HP avec 1.3.6.1.4.1.11 ;  Novell avec 1.3.6.1.4.1.23 ;
  • 18. SNMP Configuration basic Router# configure terminal Router(config)# snmp-server community [name1] ro Router(config)# snmp-server community [name2] rw PCdesktopMIB BROWSER
  • 20. Les besoins • Différentes problématiques : Quelles sont les machines qui parlent le plus? Quel est le trafic par utilisateur ou groupe? par application? par réseau (interne, externe)? Combien d’utilisateurs sont actifs sur le réseau à l’instant T? D’où vient le trafic? Vers où se dirige-t-il? Des attaques de sécurités?
  • 21. Des solutions 1.Netflow de CISCO: Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco (à partir de la version 12.0 de l’IOS),Mais aussi chez d’autres constructeurs (Juniper). 2.Le standard de l’IETF : IPFIX (IP Flow Information eXport) pas encore ratifié
  • 22. NETFLOW : Principes et fonctionnement
  • 23. NetFlow et les Flux •NetFlow est une architecture de surveillance des réseaux développée par Cisco Systems qui permet de collecter des informations sur les flux IP. • Elle définit un format d'exportation d'informations sur les flux réseau nommé NetFlow services export format. • Elle permet de superviser de façon fine les ressources du réseau utilisées. • Critères d’un flux - Adresses source et destination - Protocole (TCP, UDP, ICMP..) - Type of Service (ToS) - Ports applicatifs - Interfaces d’entrée et de sortie du routeur
  • 24. Table des flux - Cache • Routeur utilisant NetFlow : - Maintient en cache une table des flux actifs : Cache NetFlow - Compte le nombres de paquets et d’octets reçus pour chaque flux. • Mise à Jour A chaque paquet reçu le routeur met à jour le cache : - Soit en créant une nouvelle entrée - Soit en incrémentant les compteurs d’une entrée existante adresse src … Time left Nb pqts Nb Octets 192.168.0.5 5 45 3 456 192.168.0.6 23 5 258 192.168.0.2 15 90 5 789 192.168.0.1 11 1234 23 456 192.168.0.9 30 2 124 192.168.0.5 30 46 3 512
  • 25. Collecte • Lorsqu’un flux a expiré : - Il est supprimé du Cache NetFlow. - Il peut être exporté vers une machine de collecte au moyen de trames NetFlow. • Exportation et remontée d’informations - La machine reçoit des trames NetFlow suivant un protocole défini par Cisco (plusieurs versions existent). - Le routeur regroupe plusieurs flux dans une trame (par économie).
  • 26. Protocoles NetFlow • Il existe plusieurs versions : 1, 5, 7, 8 - La version 5 est la plus couramment utilisée. - La version 7 sert pour les switches Catalyst et diffère peu de la version 5. - La version 8 introduit les schémas d’agrégation (environ une quinzaine). • Chaque version apporte des changements et demande une modification des collecteurs. • Pas de support d’IPv6, du Multicast, MPLS… Version 9 : Nouveaux supports : - IPv4 Unicast - IPv4 Multicast - MPLS - IPv6
  • 27. UTILISER NETFLOW : Mise en place et exploitation des flux Evolutions prévues
  • 28. L’infrastructure NetFlow Routeur Collecteur Applications -Création du cache -Agrégation -Export -Collecte -Filtrage -Agrégation -Stockage -Utilisation des données -Présentation des données
  • 29. Démonstration 192.168.0.254 192.168.1.254 192.168.1.1192.168.0.1 Jonathan Romain Routeur Cisco 1751 Export NetFlow V5 Collecteur NFC (interface Web) Reçoit les exports NetFlow Reçoit le trafic Émet le trafic TCP: HTTP (80) FTP (21) Telnet (23)
  • 30. Fonctions du collecteur • Fonctions essentielles - Collecter les enregistrements exportés par les routeurs - Réaliser une première phase de traitement - Filtrage - Agrégation - Stocker les enregistrements • Le collecteur Cisco: NetFlowCollector (NFC) - Interface graphique Web - Possibilités de traitement (tri, graphe…) • Des outils gratuits: IPFlow, FlowTools - Gèrent la ré-émission (dispatching) - Pas d’interface graphique
  • 31. Exemple de traitement NFC Répartition des flux par type sur une période donnée
  • 32. Évolutions futures • Support IPV6 - Incomplet (exports IPV4) - Prévu en évolution de la version 9 (bêta à ce jour) • Sécurité - Exports de nouvelles données - @mac - longueur des paquets - TTL…
  • 33. Commandes: configuration • ip route-cache flow Pour chaque interface • ip flow-export version <version> ex : ip flow-export version 5 • ip flow-export destination <address> <port> ex : ip flow-export destination 10.0.0.1 65001 • ip flow-cache timeout active <minutes> Définit le temps en minutes pendant lequel un flux restera en cache avant expiration. 30 minutes par défaut
  • 34. Commandes: Visualisation • show ip cache [verbose] flow Affiche les statistiques NetFlow • show ip flow export Affiche les statistiques d’export • clear ip cache flow Vide les statistiques NetFlow • clear ip flow stats Vide les statistiques d’Export
  • 35. Exemple: show ip cache flow
  • 36. Conclusion • Un outil performant - fiable - évolutif • Une stratégie à concevoir - Utilisation CPU > 15 à 20% pour la v5 et la v9 - 2 à 5% de plus pour la v8 - 64 octets par flux en mémoire

Notes de l'éditeur

  1. l’utilisateur finit par se faire une meilleure opinion du service informatique qu’il appelle moins souvent. c’est le cas par exemple des applications de déclaration au trésor public. En cas de souci en période de non-utilisation.