PhenIXUS

[sibsib]

Bonjour ccnet, ça faisait un moment

Bien sur Netflow, mais si l'équipement réseau ne permet pas de port tapping, a-t-on une chance qu'il soit compatible netflow ?

Et s'il faut toujours rajouter un équipement en coupure, ça me parait un peu moins pertinent (dans ma "vue", netflow est génial pour de l'analyse longue durée, puisqu'on peut aisément stocker des infos sur tous les échanges dans un volume limité (Et faire de belles courbes qui plaisent tant ). Mais je trouve Netflow un peu moins percutant en mode diagnostic)

Ce n'est que mon opinion, hein

Merci,
Pascal

[jdh]

ntop ne saurait agir comme une sonde NetFlow ? (en sus d'être autonome)
NetFlow n'est pas un protocole propriétaire ?

Un lien pour installer ntop sur Debian : http://www.debiantutorials.com/installi ... ring-tool/
Pas trop compliqué ?

[led0b]

Finalement j'ai réussi à me procurer un switch administrable.
J'ai donc installé une sonde fprobe (netflow) sur un ordinateur connecté au port mirroring et configurer un serveur ntop pour pouvoir interpréter les données.
J'en ai profité pour étendre le procédé à tout les autres sites.
Merci pour tout vos précieux conseils.

[jdh]

Super, pourrais tu être un peu plus disert :
- install switch +paramétrage
- install sonde : comment ? sur quoi ? quel retour ?
- install ntop : comment ? sur quoi , quel retour ?
- réflexions générales : cela apporte quoi, est ce satisfaisant, totalement satisfaisant ?
...

Cela serait assez instructif et servir de base aux lecteurs ...

[led0b]

Ok pas de problème.

SWITCH: J'ai donc récupéré un switch administrable de niveau 2. J'ai configuré un port en mirroring du port relié au routeur FT.
SERVEUR: J'ai recyclé un vieux serveur abandonné avec une debian sur lequel j'ai installé ntop via aptitude.
SONDE: J'ai utilisé un poste bureautique avec une debian sur lequel j'ai installé le paquet fprobe via aptitude. Je l'ai paramétré pour envoyé les données vers l'ip du serveur sur le port configuré dans le plugin netflow de ntop.

Après plusieurs jours d'utilisation cela permet d'avoir une visu sur la bande passante utilisée par période , les gros consommateurs et les protocoles particulièrement utilisés. Comme j'ai lu plus haut effectivement le protocole HTTP est sur-utilisé. Bonjour les webradios. Par ailleurs cela me permet aussi de détecter une machine infectée où le traffic exotique était plutot important.

Je manque encore de recul pour pouvoir tout exploiter . J'ai du mal à appréhender certaines choses comme le fait qu'ils y aient des pics à 5Mb/s sur les graphiques alors que le lien wan est de 2Mb/s.

[led0b]

Par ailleurs j'ai du ajouter le dépot "backports" pour pouvoir bénéficier NTOP sur le serveur Debian.

J'espère avoir été assez complet.

[ccnet]

Bonjour ccnet, ça faisait un moment

Les derniers mois ont été très difficiles pour de multiples raisons cumulées. De ce fait j'ai été moins présent sur le forum. J'y reviens mais il m'arrive de manquer le suivi de certains fils. Comme sur celui ci. Par contre je suis moins motivé sur les problématiques "domestiques".

Et s'il faut toujours rajouter un équipement en coupure, ça me parait un peu moins pertinent (dans ma "vue", netflow est génial pour de l'analyse longue durée, puisqu'on peut aisément stocker des infos sur tous les échanges dans un volume limité (Et faire de belles courbes qui plaisent tant ). Mais je trouve Netflow un peu moins percutant en mode diagnostic)

Je suis globalement d'accord pour dire que Netflow est bien adapté au suivi de la prod, à la surveillance courante en exploitation. Et moins si on à un besoin très ponctuel.

Je vois que notre interlocuteur a trouvé chaussure à son pieds avec les différents éléments que nous avons fourni. C'est bien.

Netfow c'est du propriétaire devenu standard. On trouve même une sonde pour Pfsense si j'ai bien compris.