Network supervision: what equipment choices are available to you?

En matière de supervision et de protection informatique, 4 familles de solutions conçues pour garantir la meilleure qualité de service sont historiquement présentes sur le marché : Firewall, Network Intrusion Detection System (NIDS), Network Intrusion Prevention System (NIPS) et outils de monitoring. Les 3 premières sont particulièrement orientées Sécurité tandis que la dernière permet de dépasser ce simple cadre pour s’inscrire dans des enjeux tels que le contrôle qualité des réseaux ou encore le billing.

Le panorama qui suit présente 4 familles de solutions actuelles et ouvrent la perspective des réponses pour l’avenir.

Firewall

En bloquant le trafic indésirable entrant et sortant, les firewalls sont destinés à :

  • Prévenir des attaques basiques ;
  • Empêcher les usagers du réseau d’accéder à certains sites ;
  • Eviter l’utilisation de protocoles dont les ports sont (généralement) fixes.

Capables de gérer de gros, voire de très gros débits (100 Gbit/s et plus), les firewalls sont limités à des règles de traitement simples. Ces dernières se basent très souvent sur une corrélation simple entre l’IP et le port, parfois une REGEX (ie. expression régulière) simple dans la donnée (payload) est également prise en compte. Cette simplicité explique leur manque de précision.

Les firewalls traditionnels ne font pas de classification protocolaire. Cependant, certains peuvent embarquer des NIDS en leur sein afin de proposer de l’écriture de règles plus précises (ex. au lieu de bloquer tout le flux web, on ne bloquera qu’un site en particulier). Néanmoins, les débits alors traités sont significativement plus faibles.

En résumé, les firewalls sont capables de prendre en compte de gros débits avec une faible empreinte, mais avec des fonctionnalités de protection limitées.

Network Intrusion Detection System (NIDS)

Généralement limité à des débits de l’ordre de 10 Gbit/s, cet outil a pour vocation d’avertir les gestionnaires du réseau d’événements d’origine malveillante. Il repose sur une analyse plus approfondie du contenu des paquets que celle du firewall. Il est généralement capable de décoder et d’utiliser les informations véhiculées par les grands protocoles (HTTP par exemple).

Ses alertes se fondent sur des règles de détection plus complexes et poussées que celles d’un firewall (très majoritairement des règles SNORT). Elles peuvent être très précises lorsqu’elles s’appuient sur les champs de protocoles connus (champ Host du protocole HTTP par exemple). Elles peuvent également être beaucoup plus généralistes et ressemblent alors très fortement à celles d’un firewall. Ces spécificités apportent à l’outil une flexibilité et une précision dont ne dispose pas le firewall.

En résumé, les NIDS sont capables d’avertir les gestionnaires du réseau de manière plus précise qu’un firewall, mais sont dans l’incapacité de bloquer le flux indésirable. A la différence des firewalls, les débits supportés par les NIDS sont fortement réduits.

Network Intrusion Prevention System (NIPS)

Cet outil n’est rien d’autre qu’une fusion entre un firewall et un NIDS. Il permet donc de bloquer le trafic de manière plus précise qu’un firewall. Malgré ces caractéristiques fonctionnelles particulièrement intéressantes, les NIPS ne résolvent pas le problème du faible débit supporté par les NIDS.

Outils de monitoring

Les outils de monitoring permettent un suivi, en temps généralement différé, de l’état du réseau. Ces outils sont déclinés en deux grandes familles.

La première, dite spécialisée, est faite pour l’étude poussée de protocoles métiers spécifiques. Elle est limitée à de faibles débits (1-10 Gbit/s) et a pour but de fournir une vue exhaustive de certains pans du réseau.

La seconde, plus généraliste, est faite pour une étude globale du réseau par le biais de statistiques sommaires sur les sessions vues. Elle est généralement intégrée aux équipements réseau (principalement aux routeurs) et supporte des débits plus élevés (jusqu’à 100 Gbit/s). Elle peut également, en cas de besoin, faire un échantillonnage succinct des paquets passant sur le réseau (de l’ordre d’un paquet sur 10 000).

En résumé, les outils de monitoring sont capables, selon leur famille, de fournir une vue fine mais partielle du réseau ou une vue d’ensemble mais peu détaillée.

Un moteur commun : l’analyse de protocoles

Les outils précédemment abordés ont tous besoin d’identifier et d’extraire des informations des protocoles de communication. Il existe différentes manières d’aborder cette analyse : elle peut être succincte et rapide comme celle effectuée dans les firewalls ou plus précise et plus lente comme celle qu’on trouve dans les NIDS.

L’analyse succincte se base uniquement sur les ports afin “d’identifier” les protocoles, ce qui implique de nombreuses fausses détections. L’analyse poussée, quant à elle, plonge au cœur des paquets afin de reconnaître les signatures des protocoles ce qui offre théoriquement un très bon niveau de confiance.

Par ailleurs, cette analyse profonde implique de nombreuses opérations de calcul ce qui limite le débit supporté. De plus, pour garantir des débits convenables, elle ferme délibérément les yeux devant la complexification grandissante des réseaux et se borne à un début d’analyse à partir de la couche 3 (non-gestion du tunnelling).

En résumé, il est incontestable que l’analyse de protocoles est vitale à la supervision de réseau. Il est également indéniable que la fiabilité des solutions actuelles se heurte à l’explosion des débits et de la complexification des réseaux.

NANO Corp : des solutions de nouvelle génération pour la supervision de vos réseaux

Grâce à une technologie d’analyse de protocole révolutionnaire, les solutions NANO Corp viennent compléter et améliorer les outils actuels en place sur vos systèmes.

Leave a comment

Your email address will not be published. Required fields are marked *