Omnipeek la solution est dans les paquets !

Comment chercher dans les flux réseau rapidement ?

Comment chercher dans les flux réseau rapidement ?

Pourquoi et comment chercher dans les flux et les paquets réseau ?

 

Dans le domaine de la sécurité, les ingénieurs sont souvent amenés à devoir contrôler les flux réseaux lorsque les systèmes de protection du réseau de l’entreprise détectent une possible faille.

Omnipeek permet aux ingénieurs de chercher dans les flux facilement des indices ou des preuves et d’analyser en détail les échanges sur le réseau.

Nous avions déjà effleuré le sujet dans le billet Politique de sécurité : analyse de la sessions FTP en mars dernier.

Voici 3 nouveaux exemples dans lesquels l’analyse forensic des trames a permis de trouver des informations cruciales.

 

Faille de sécurité détectée

Une faille de sécurité a été détectée par les systèmes de protection et porte la signature « STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION! »

L’ingénieur chargé de l’analyse de ce problème fait donc une recherche avec le mot « STOP »


chercher dans les flux permet de savoir quels postes peuvent avoir été compromis
Ici la recherche trouve 71 paquets contenant le mot STOP
En isolant les paquets dans un nouvel onglet, et en affichant la PeerMap, les postes potentiellement impactés sont immédiatement identifiés.


La peermap indique les stations potentiellement impactées par la faille
4 stations sont concernées par la faille !
 

La Peermap délivre ici une information précieuse : les postes dont l’adresse IP est grisée n’ont pas répondu à la requête « STOP! … ». Les investigations de sécurité pourront donc se limiter aux 4 stations dont les IP sont affichées en noir.

 

Utilisation du login root

La chercher dans les flux du mot « root » permet d’analyser les trames contenant cet identifiant administrateur … une rapide inspection permet d’isoler les trames concernées.


Détecter l'utilisation du login administrateur Root
Recherche des flux contenant le mot root (login administrateur)
 

En sélectionnant les flux associés avec la commande Select Related Flows, Omnipeek permet aux ingénieurs de visualiser le contenu des paquets ou Payload.


L'onglet Payload d'Omnipeek permet de voir les données qui ont été visualisées/téléchargées
L’onglet Payload permet de visualiser les données consultées
 

Exposition de cartes bancaires

Une faille a été détectée et les systèmes de protection de l’entreprise indiquent qu’un serveur contenant des numéros de cartes de crédit a potentiellement été « visité ».

L’ingénieur en charge de la sécurité va rechercher si le terme « visa » est apparu dans les trames échangées.

La recherche du terme « visa » lancée, des paquets FTP contiennent des informations sur numéro des cartes bancaires qui ont été téléchargées.


chercher dans les flux le terme 'visa' indique que des numéros de cartes de crédit ont été téléchargés
Une recherche en clair dans les trames lève le doute, des données concernant des cartes bancaires ont été téléchargées

La commande Flow Visualizer permet aux ingénieurs d’afficher la liste des numéros de cartes bancaires compromises.


La liste des cartes compromises s'affiche en clair
Liste des cartes compromises
 

 

Si bien sûr chaque entreprise fait le maximum pour protéger ses données et celles de ses clients, une faille de sécurité est toujours possible. Contrôler après chaque détection de faille et chercher dans les flux est une nécessité.

Omnipeek permet aux techniciens réseau d’analyser rapidement les impacts possibles d’une faille de sécurité en accédant directement aux données contenues dans les paquets échangés sur le réseau.

Ces précieuses informations leur permettent de prendre les mesures nécessaires.

Faute d’un outil d’investigation performant, les ingénieurs passeront de longues heures à analyser les impacts des failles de sécurité au risque de négliger certaines investigations pourtant essentielles.

 

et comme toujours …
La réponse est dans les paquets !

Omnipeek est un puissant outil de diagnostic réseau

 

Omnipeek est disponible à partir de
1.800 eht

  Acheter Omnipeek  

 

Utilisés par plus de 6.000 entreprises de toutes tailles en France et dans le monde, Omnipeek et les solutions de diagnostic réseau Savvius sont distribuées en France par NetWalker et vendues en ligne sur NetWalkerStore.


  Essayer gratuitement  
 

Une question ? un devis ? Contactez-nous depuis le formulaire de contact disponible ici.
Les marques citées sont déposées par leurs propriétaires respectifs.

One thought on “Comment chercher dans les flux réseau rapidement ?

  1. Pingback: Au delà de NetFlow : identifier les flux à risque - Omnipeek | Diagnostic et sécurité réseau informatique blog | NetWalker

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *