Pourquoi et comment chercher dans les flux et les paquets réseau ?
Dans le domaine de la sécurité, les ingénieurs sont souvent amenés à devoir contrôler les flux réseaux lorsque les systèmes de protection du réseau de l’entreprise détectent une possible faille.
Omnipeek permet aux ingénieurs de chercher dans les flux facilement des indices ou des preuves et d’analyser en détail les échanges sur le réseau.
Nous avions déjà effleuré le sujet dans le billet Politique de sécurité : analyse de la sessions FTP en mars dernier.
Voici 3 nouveaux exemples dans lesquels l’analyse forensic des trames a permis de trouver des informations cruciales.
Faille de sécurité détectée
Une faille de sécurité a été détectée par les systèmes de protection et porte la signature « STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION! »
L’ingénieur chargé de l’analyse de ce problème fait donc une recherche avec le mot « STOP »
Ici la recherche trouve 71 paquets contenant le mot STOP
4 stations sont concernées par la faille !
La Peermap délivre ici une information précieuse : les postes dont l’adresse IP est grisée n’ont pas répondu à la requête « STOP! … ». Les investigations de sécurité pourront donc se limiter aux 4 stations dont les IP sont affichées en noir.
Utilisation du login root
La chercher dans les flux du mot « root » permet d’analyser les trames contenant cet identifiant administrateur … une rapide inspection permet d’isoler les trames concernées.
Recherche des flux contenant le mot root (login administrateur)
En sélectionnant les flux associés avec la commande Select Related Flows, Omnipeek permet aux ingénieurs de visualiser le contenu des paquets ou Payload.
L’onglet Payload permet de visualiser les données consultées
Exposition de cartes bancaires
Une faille a été détectée et les systèmes de protection de l’entreprise indiquent qu’un serveur contenant des numéros de cartes de crédit a potentiellement été « visité ».
L’ingénieur en charge de la sécurité va rechercher si le terme « visa » est apparu dans les trames échangées.
La recherche du terme « visa » lancée, des paquets FTP contiennent des informations sur numéro des cartes bancaires qui ont été téléchargées.
Une recherche en clair dans les trames lève le doute, des données concernant des cartes bancaires ont été téléchargées
La commande Flow Visualizer permet aux ingénieurs d’afficher la liste des numéros de cartes bancaires compromises.
Liste des cartes compromises
Si bien sûr chaque entreprise fait le maximum pour protéger ses données et celles de ses clients, une faille de sécurité est toujours possible. Contrôler après chaque détection de faille et chercher dans les flux est une nécessité.
Omnipeek permet aux techniciens réseau d’analyser rapidement les impacts possibles d’une faille de sécurité en accédant directement aux données contenues dans les paquets échangés sur le réseau.
Ces précieuses informations leur permettent de prendre les mesures nécessaires.
Faute d’un outil d’investigation performant, les ingénieurs passeront de longues heures à analyser les impacts des failles de sécurité au risque de négliger certaines investigations pourtant essentielles.
et comme toujours …
La réponse est dans les paquets !
Omnipeek est disponible à partir de
1.800 eht
Utilisés par plus de 6.000 entreprises de toutes tailles en France et dans le monde, Omnipeek et les solutions de diagnostic réseau Savvius sont distribuées en France par NetWalker et vendues en ligne sur NetWalkerStore.
Essayer gratuitement
Une question ? un devis ? Contactez-nous depuis le formulaire de contact disponible ici.
Les marques citées sont déposées par leurs propriétaires respectifs.
Pingback: Au delà de NetFlow : identifier les flux à risque - Omnipeek | Diagnostic et sécurité réseau informatique blog | NetWalker