Surveillance bande passante

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Surveillance bande passante

Message par led0b » 01 Mars 2012 11:19

Bonjour,

J'administre un parc informatique et je rencontre un problème avec un site distant.

La consommation de la bande passante explose littéralement à certain moment de la journée.
Je souhaiterais avoir une vision du traffic sur ce lien.
Ce site est relié au site principale via un intranet Corporate Orange. Nous ne pouvons donc avoir accès au routeur.
Le switch sur lequel est connecté ce routeur n'a pas de port mirroir.
J'aimerai donc intercallé entre ce switch et le routeur un serveur linux avec deux interfaces réseaux qui ferait transiter tout le traffic entrant sur une interface vers le routeur connecté à l'autre interface en me permettant d'analyser celui ci.

Avez vous des pistes à m'indiquer concernant la configuration à apporter ? voir une autre idée ?

D'avance merci !
led0b
 
Message(s) : 4
Inscription : 01 Mars 2012 11:09

Re: Surveillance bande passante

Message par jdh » 01 Mars 2012 11:58

(Le problème est clair mais il manque un schéma même simplifié.)

1er point :
Orange est capable de fournir un accès SNMP en lecture sur son routeur (si on lui demande gentillement et fermement).
Cela permet de mettre en place une machine (centrale) qui affichera l'état des liens avec le trafic avec un outil type Cacti, Mrtg (un peu ancien) ou Nagios.
=> C'est simple à réaliser et cela permet d'avoir (enfin) des stats de flux sur les liens.
NB : cela donne juste une idée du volume : c'est donc une idée long terme avec la possibilité d'alerte.

2me point :
Une machine, configurée en bridge, avec un outil de type ntop peut faire l'affaire.
Il existe le package ntop pour le firewall pfsense qui peut être configuré en bridge, cela peut permettre de mettre en place plus vite.
(cf le site www.ntop.org )


Il est probable que vous allez découvrir que le flux http est largement sur-utilisé (et juste par quelques uns).
La voie normale est alors de penser 'proxy' et filtrage d'url/utilisateur ... un grand classique !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Surveillance bande passante

Message par Franck78 » 01 Mars 2012 12:02

Salut,

Le logiciel, ce sera probablement wireshark. Mais là n'est pas le problème.

Intercaler ta machine est très compliqué. Bien plus que de brancher une dérivation qui écoute 'simplement'.

1/ Si tu as un switch avec un minimum de fonction, il y a certainement de prévu la fonction de recopie (ou debug) d'un port vers un autre, ou tous vers un.

2/ Tu peux bricoler facilement un pont ethernet avec un fer à souder:
http://www.adamsinfoserv.com/AISTWiki/b ... TapArticle
http://blog.stoked-security.com/2009/11 ... -just.html

bye
Franck78
 
Message(s) : 525
Inscription : 11 Sep 2011 16:04
Localisation : France

Re: Surveillance bande passante

Message par jdh » 01 Mars 2012 12:13

Franck78: +1 pour la fonction recopie d'un switch manageable

Mais Whireshark n'est pas vraiment prévu pour faire des stats (ou alors faut que je révise ...).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Surveillance bande passante

Message par jibe » 01 Mars 2012 21:51

Salut,

Franck78 a écrit :2/ Tu peux bricoler facilement un pont ethernet avec un fer à souder:
http://www.adamsinfoserv.com/AISTWiki/b ... TapArticle
http://blog.stoked-security.com/2009/11 ... -just.html

Au vu des prises utilisées dans le second lien, il n'y a même pas besoin de fer à souder ;)

J'adore ce genre de petit bricolage simple et efficace, utilisable dans tous les cas de figure ! Image
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: Surveillance bande passante

Message par sibsib » 01 Mars 2012 21:54

Bonjour,

@jdh :oui, il va faloir réviser un peu :-) (Même si dans ce cas précis, vu les volumes potentiels en jeu, je n'opterais pas forcément pour wireshark).

Bref, il y a (il y avait déjà dans Ethereal) un onglet qui permet de faire des stats sur
les volumes échangés par machines au niveau mac
les volumes échangés au niveau Ip
les volumes échangés au niveau des applications (plus exactement par ports)
les top conversations...

Souvent très utile pour trouver vite la partie à analyser plus finement.

Sinon, je vote aussi pour le port mirroring, en connaissant les limites (si deux équipements échangent à fond (en full duplex), il n'est pas possible d'envoyer une copie des deux flux sur un seul port en sortie qui serait à la même vitesse que les deux ports surveillés) A noter que dans le cas d'une saturation d'un lien WAN, cette situation a peu de risque de se produire (Ou alors, c'est du WAN comme chez nous, en gigabit !)

A+,
Pascal
sibsib
 
Message(s) : 188
Inscription : 20 Oct 2011 21:08

Re: Surveillance bande passante

Message par Cool34000 » 01 Mars 2012 22:10

Salut,

Pas besoin d'un switch qui permette de faire du mirroring de ports : un hub est parfait pour ça (à condition d'en avoir un sous la main !)
Quelques remarques en vrac :
- Cacti est parfait pour faire des graphes du débit IN/OUT mais ne sert pas à autre chose (impossible de voir qui ou quoi sature le lien Internet)
- Smokeping permet de faire des graphes sur la latence (et la gigue), mais a les mêmes défauts que Cacti !

Perso, je commencerai par mettre un hub entre le réseau local et la connexion Internet + un ntop pour voir qui ou quoi en est la cause...
Si tu n'a pas de hub sous la main, un ntop en coupure fera l'affaire... Mais c'est plus compliqué !
In a world without walls and fences, who needs windows and gates?
Cool34000
 
Message(s) : 199
Inscription : 12 Sep 2011 19:02
Localisation : Nimes, France

Re: Surveillance bande passante

Message par jdh » 01 Mars 2012 23:32

@Franck78, @sibsib : je vais ajouter whireshark à ma liberkey (clé usb portable).
Sous Windows, c'est pas mal. Mais j'étais un peu resté sur une utilisation "très locale".

En ligne de commande, tcpdump fait aussi l'affaire mais les stats sont à réaliser à la mano (p.e. avec awk), d'où ntop.
Sur pfSense, le module permet vraiment de trouver en 1' le gus qui a lancé un gros téléchargement.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
jdh
 
Message(s) : 731
Inscription : 02 Nov 2011 00:36
Localisation : Nantes - Angers

Re: Surveillance bande passante

Message par jibe » 01 Mars 2012 23:47

Cool34000 a écrit :un hub est parfait pour ça (à condition d'en avoir un sous la main !)

Ce n'est pas toi qui me parlais d'"une autre époque" (dans un tout autre contexte, lieu compris) ? :lol:

Bon, ok, je sors !
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: Surveillance bande passante

Message par ccnet » 02 Mars 2012 14:45

ccnet
 
Message(s) : 113
Inscription : 02 Nov 2011 08:51
Localisation : Paris

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron