Module 15: Outils de

surveillance du réseau

BALLA NGA JOSE

Instructeur Cisco
Certifié CCNA, CCNA security, CyberOps Associate,
NSE4, HCIA, PCNSA

Académie Cisco Hélios

Email: [Link]@[Link] Tel : +237 694167003

CyberOps Associate v1.0

Objectifs du module
Titre du Module: Outils de surveillance du réseau

Objectif du Module: Expliquer la surveillance du trafic réseau.

Titre du Rubrique Objectif du Rubrique

Présentation de la surveillance
Expliquer l'importance de la surveillance du réseau.
du réseau
Présentation des outils de
Expliquer comment la surveillance de réseau est effectuée.
surveillance du réseau

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 8
15.1 Présentation de la
surveillance du réseau

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 9
Outils de surveillance du réseau
15.1.1 Topologie de la sécurité du réseau
• Pour réduire les menaces, tous les réseaux doivent être sécurisés et protégés.

• Le réseau nécessite d'utiliser des méthodes éprouvées et une infrastructure sécurisée

composée de pare-feu, de systèmes de détection des intrusions (IDS), de systèmes de
prévention des intrusions (IPS) et de logiciels de sécurité des terminaux.

• Ces méthodes et technologies sont utilisées pour mettre en place un système automatisé de
surveillance du réseau, de création d'alertes de sécurité ou même de blocage automatique
des appareils offensifs en cas de problème.

• Pour les grands réseaux, il convient d'ajouter une couche de protection supplémentaire.

• Les périphériques tels que les pare-feu et les IPS fonctionnent selon des règles configurées
précédemment et surveillent le trafic et le comparent aux règles configurées. En cas de
correspondance, le trafic est géré conformément à la règle.

• Une partie importante de l'analyste de cybersécurité consiste à examiner toutes les alertes
générées par les appareils du réseau et à en valider la nature.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 10
Outils de surveillance du réseau
15.1.2 Méthodes de surveillance du réseau
• L'activité quotidienne d'un réseau est composée de modèles courants de flux de trafic,
d'utilisation de la bande passante et d'accès aux ressources. Ces modèles définissent le
comportement normal du réseau.

• Pour déterminer le comportement normal du réseau, il convient d'implémenter un système

de surveillance du réseau.

• Les outils tels que IDS, analyseurs de paquets, SNMP, NetFlow, etc. sont utilisés pour la
surveillance du réseau.

• Deux méthodes permettent notamment de capturer le trafic et de l'envoyer aux appareils de

surveillance du réseau :
• Les points d'accès au réseau, parfois appelés points d'accès test (TAP)
• La mise en miroir du trafic à l'aide de la fonction Switch Port Analyzer (SPAN)

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 11
Outils de surveillance du réseau
15.1.3 Point d'accès réseau test
• Le point d'accès réseau test est un appareil de fractionnement
passif implémenté en direct entre un appareil d'intérêt et le
réseau.
• Une touche redirige tout le trafic, y compris les erreurs de
couche physique, vers un périphérique d'analyse tout en
permettant au trafic d'atteindre sa destination prévue.
• Comme vous pouvez le constater, le point d'accès test envoie
simultanément le flux de données de transmission (TX) depuis
le routeur interne et le flux de données de réception (RX) vers le
routeur interne sur des canaux dédiés séparés.
• Ainsi, toutes les données arrivent en temps réel sur l'appareil de
surveillance.
• Le point d'accès test est généralement protégé en cas de
Mettre en œuvre un point d'accès
défaillance cela signifie que la diminution ou la perte de test (TAP) dans un exemple de
puissance du point d'accès test n'affecte pas le trafic entre le réseau
pare-feu et le routeur interne.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 12
Outils de surveillance du réseau
15.1.4 Mise en miroir du trafic et fonction SPAN
• La capture de données pour la surveillance
du réseau nécessite la capture de tout le
trafic. Durée SPAN Description

• Des techniques spéciales telles que la mise Trafic qui entre dans le
Trafic entrant
en miroir des ports doivent être utilisées commutateur.
pour contourner la segmentation du réseau
Trafic sortant Trafic qui sort du commutateur
imposée par les commutateurs de réseau.
les ports sources sont surveillés, car
• La mise en miroir de ports permet à un
Port source leur trafic entrant est répliqué (mis
commutateur de copier les trames reçus (SPAN) en miroir) vers les ports de
d'un ou de plusieurs ports vers un port destination.
SPAN (Switch Port Analyzer) connecté à un
Port qui met en miroir les ports
appareil d'analyse.
Port de source. Les ports de destination
• Le tableau identifie et décrit les termes destination SPAN se connectent souvent aux
(SPAN) appareils d'analyse (analyseur de
SPAN.
paquets ou système IDS, p. ex.).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 13
Outils de surveillance du réseau
14.1.4 Mise en miroir du trafic et fonction SPAN (Suite)
• La liaison entre les ports source et le port de
destination est appelé « session SPAN ».

• Une ou plusieurs voies peuvent être surveillées

au cours d'une même session.

• Avec certains commutateurs Cisco, le trafic de

session peut être copié vers plusieurs ports de
destination.

• Un VLAN source peut être configuré de sorte que

tous ses ports deviennent une source de trafic
SPAN.

• Remarque: Une variante de la fonction SPAN (la

fonction RSPAN pour Remote SPAN) permet à un
administrateur réseau d'utiliser la flexibilité des Interconnexion de deux hôtes et mise en
VLAN pour surveiller le trafic sur des interrupteurs miroir du trafic vers un serveur IDS et
distants. serveur de gestion réseau.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 14
15.2 Présentation des outils de
surveillance du réseau

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 15
Présentation des outils de surveillance du réseau
15.2.1 Outils de surveillance de la sécurité du réseau
• Les outils fréquemment utilisés pour surveiller
la sécurité de réseau sont:

• Analyseurs de protocoles du réseau

(Wireshark et Tcpdump)

• NetFlow

• Systèmes de gestion des informations et

des événements liés à la sécurité (SIEM)

• Par ailleurs, les analystes en sécurité

s'appuient souvent sur les fichiers journaux et
sur le protocole SNMP (Simple Network
Management Protocol) pour déterminer le
comportement normal du réseau.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 16
Présentation des outils de surveillance du réseau
Analyseurs de protocoles réseau
• Les analyseurs de protocoles réseau (ou applications
« analyseur de paquets ») sont des programmes utilisés
pour capturer le trafic.

• Généralement dotés d'une interface graphique, les

analyseurs de protocoles offrent une visibilité sur ce qu'il se
passe sur le réseau.

• Non seulement utilisés à des fins d'analyse de sécurité, les

analyseurs de protocoles réseau se révèlent également
utiles au dépannage réseau, au développement de logiciels
et de protocoles et à la formation.

• Comme le montre la figure, Wireshark est utilisé dans les

environnements Windows, Linux et Mac OS. C'est un outil
très utile pour en apprendre davantage sur les
communications de protocole réseau.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 17
Présentation des outils de surveillance du réseau
Analyseurs de protocoles réseau (Suite)
• Les images capturées par Wireshark sont enregistrées dans un fichier PCAP qui contient des
informations concernant l'image, l'interface, la longueur des paquets, les horodatages et tous
les fichiers binaires envoyés sur le réseau.
• L'outil Wireshark permet également d'ouvrir des fichiers contenant un trafic capturé par
d'autres logiciels tels que l'utilitaire tcpdump .
• L'exemple dans la sortie de la commande affiche un exemple de capture tcpdump de
paquets ping .

• Remarque: windump est une variante Microsoft Windows de tcpdump. tshark est un outil de
ligne de commande Wireshark similaire à tcpdump.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 18
Présentation des outils de surveillance du réseau
NetFlow
• La fonctionnalité NetFlow est une technologie Cisco IOS qui fournit 24h/24, 7j/7 des
statistiques sur les paquets traversant un routeur ou un commutateur multicouche Cisco.

• La fonctionnalité NetFlow s'inscrit comme le standard de collecte de données

opérationnelles IP dans les réseaux IP.

• La fonctionnalité NetFlow peut être utilisée à des fins de surveillance du réseau et de la

sécurité, de planification du réseau et d'analyse du trafic. Elle fournit une piste d'audit
complète des informations de base sur chaque flux IP transmis sur un appareil.

• Bien que la fonctionnalité NetFlow stocke les informations de flux dans un cache local sur
l'appareil, elle doit toujours être configurée de sorte à transférer les données vers un
collecteur NetFlow (Cisco StealthWatch, [Link].).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 19
Présentation des outils de surveillance du réseau
NetFlow (Suite)
• Le protocole NetFlow peut contrôler la connexion de cette
application, en effectuant le suivi du nombre d'octets et de
paquets pour ce flux d'application individuel.

• Il envoie ensuite les statistiques correspondantes vers un

serveur externe appelé connecteur NetFlow.

• Cisco StealthWatch collecte les statistiques NetFlow pour

offrir également des fonctions avancées, notamment:
• Convergence des flux - cette fonction regroupe les
entrées individuelles dans les flux.
• Déduplication des flux - cette fonction filtre les entrées
entrantes dupliquées de divers clients NetFlow. PC1 connecté à PC2 en utilisant HTTPS
• Convergence des opérations de traduction
d'adresses réseau - cette fonction simplifie les flux des
entrées NAT.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 20
Présentation des outils de surveillance du réseau
SIEM et SOAR
SIEM
• La gestion des informations et des événements liés à la sécurité (SIEM) est une technologie
utilisée par les entreprises qui souhaitent instaurer un reporting en temps réel et une analyse
à long terme des événements liés à la sécurité.
• Les systèmes SIEM incluent les fonctions de base suivantes:
• Analyse médico-légale - Capacité de rechercher des journaux et des enregistrements
d'événements à partir de sources et de fournir des informations complètes pour l'analyse
médico-légale.
• Corrélation : permet d'examiner les journaux et les événements de différents systèmes
ou applications, d'accélérer la détection et de réagir en cas de menaces pour la sécurité.
• Agrégation - Réduit le volume des données d'événement en consolidant les
enregistrements d'événement en double.
• Reportage - Présente les données d'événement corrélées et agrégées avec la
surveillance en temps réel et les résumés à long terme.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 21
Présentation des outils de surveillance du réseau
SIEM et SOAR (Suite)
• Les systèmes SIEM fournissent des informations sur la source d'une activité suspecte :
• Informations sur l'utilisateur (nom d'utilisateur, statut d'authentification, emplacement,
p. ex.).
• Informations sur l'appareil (fabricant, modèle, version du système d'exploitation, adresse
MAC, méthode de connexion réseau et emplacement, p. ex.).
• Informations sur la posture telles que la conformité de l'appareil avec la politique de
sécurité et les fichiers antivirus et correctifs du système d'exploitation mis à jour.
SOAR

• L'orchestration, l'automatisation et la réponse de la sécurité (SOAR) améliorent SIEM.

• SOAR aide les équipes de sécurité à enquêter sur les incidents de sécurité et à ajouter une
collecte améliorée des données et un certain nombre de fonctionnalités qui facilitent la
réponse aux incidents de sécurité.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 22
Présentation des outils de surveillance du réseau
SIEM et SOAR (Suite)
• Solutions SOAR:
• Fournit des outils de gestion de cas qui permettent au personnel de la cybersécurité de
rechercher et d'enquêter sur les incidents, souvent en intégrant des renseignements sur
les menaces dans la plate-forme de sécurité du réseau.
• Utilisez l'intelligence artificielle pour détecter les incidents qui aide à l'analyse des incidents
et à la réponse.
• Automatisez les procédures de réponse aux incidents complexes et les enquêtes, qui sont
des tâches potentiellement exigeantes en main-d'œuvre qui sont effectuées personnel du
centre d'opérations de sécurité (SOC) en exécutant des manuels d'exécution.
• Offre des tableaux de bord et des rapports pour documenter la réponse aux incidents afin
d'améliorer les indicateurs de performance clés SOC et d'améliorer considérablement la
sécurité du réseau pour les entreprises.
• SOAR aide les analystes à réagir à la menace.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 23
Présentation des outils de surveillance du réseau
Systèmes SIEM
• Un produit open source appelé Security Onion qui inclut la suite ELK pour la fonctionnalité
SIEM.

• «ELK» est l'acronyme de trois produits open source d'Elastic:

• Elasticsearch - Moteur de recherche par texte intégral orienté document
• Logstash - Système de traitement de pipeline qui relie les « entrées » aux « sorties » à
l'aide de « filtres » facultatifs.
• Kibana - Tableau de bord de recherche et d'analytique basé sur un navigateur pour
Elasticsearch.
• Remarque: SolarWinds Security Event Manager et Splunk Enterprise Security sont deux
systèmes SIEM propriétaires populaires utilisés par les SOC.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 24
Présentation des outils de surveillance du réseau
Packet Tracer - Journalisation de l'activité réseau
Dans ce Packet Tracer, vous ferez ce qui suit:
• Vous allez intercepter les informations d'identification à l'aide d'un analyseur tout en
observant une session FTP. Vous allez également utiliser l'analyseur pour intercepter un
échange de messages Syslog.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 25
15.3 Récapitulation des outils et
de surveillance du réseau

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 26
Récapitulation des outils et surveillance réseau
Qu'est-ce que j'ai appris dans ce module?
• Pour atténuer les menaces, tous les réseaux doivent être sécurisés et protégés au moyen
d'une approche défensive en profondeur.

• Cela nécessite une infrastructure de sécurité composée de pare-feu, IDS, IPS et logiciels de
sécurité de point de terminaison.

• Un analyste de la cybersécurité doit examiner toutes les alertes générées par les
périphériques réseau et les valider.

• Les outils tels que les systèmes de détection des intrusions (IDS), les analyseurs de
paquets, SNMP ou NetFlow et d'autres sont utilisés pour déterminer le comportement
normal du réseau.

• Deux méthodes courantes sont utilisées pour capturer le trafic et l'envoyer aux périphériques
de surveillance réseau: les robinets réseau (TAP) et la mise en miroir du trafic à l'aide de
Switch Port Analyzer (SPAN) ou d'autres mises en miroir de ports.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 27
Récapitulation des outils et surveillance réseau
Qu'est-ce que j'ai appris dans ce module? (suite)
• Les outils courants utilisés pour la surveillance de la sécurité réseau incluent les analyseurs
de protocole réseau (Wireshark et Tcpdump), NetFlow et SIEM.

• Les analyseurs de protocoles réseau « analyseur de paquets» sont des programmes utilisés
pour capturer le trafic.

• La fonctionnalité NetFlow est une technologie Cisco IOS qui fournit 24h/24, 7j/7 des
statistiques sur les paquets traversant un routeur ou un commutateur multicouche Cisco.
Elle peut être utilisée à des fins de surveillance du réseau et de la sécurité, de planification
du réseau et d'analyse du trafic.

• SIEM est une technologie utilisée pour fournir des rapports en temps réel et une analyse à
long terme des événements liés à la sécurité

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 28