Supervision des serveurs et du rseau

Sylvain CROUZILLAT 4 fvrier 2003

Table des matires

1 2 La supervision c'est quoi ? La supervision moindre cot
2.1 2.2 Matriel ncessaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Logiciels et licences ncessaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3 3
3 4

NetSaint
3.1 3.2 3.3 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Qu'est-ce que NetSaint ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NetSaint n'est pas... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4
4 4 4

Modes de fonctionnement de Netsaint

4.1 4.2 4.3 4.4 4.5 4.6 4.7 Mode Tactical Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode Status Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode Status Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode Status map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode trend . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autres modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NSClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4
4 5 5 6 7 8 8

Ntop
5.1 5.2 5.3 5.4 5.5 Possibilits de Ntop Mdias supports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8
8 8 9 9 9

Protocoles supports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Additional Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Autres logiciels de supervision

6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 IPtrac Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11
11 11 12 12 13 13 13 13 13 13 13 13

Cricket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Snit Dsni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Tcpdump Iptraf

Ethereal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6.10 Bronc 6.12 Prelude

6.11 Snort.org

Introduction
Ce document a pour but d'expliquer la supervision et prsenter les avantages et les possibilits d'une solution gratuite. La plupart des logiciels prsents dans ce dossier sont sous licence GPL : Cette licence permet entre autres de disposer gratuitement des sources d'un logiciel. Le premier avantage tant nancier car l'on peut se procurer gratuitement les logiciels rpondant cette licence. Mais il existe un autre avantage qui n'est pas des moindres surtout lorsqu'il s'agit de logiciels de supervision ou de surveillance et que l'on se trouve dans une grande banque. C'est l'assurance que les logiciels rpondant cette licence ne disposent pas de Back Door (porte cach) qui permettrait un pirate ou un service gouvernemental de s'introduire sans traces.

La supervision c'est quoi ?

La supervision permet de mieux grer son rseau et permet la dtection et la localisation de

pannes avant que l'utilisateur lambda ne se soit aperu du problme. Pour faire face l'augmentation exponentielle du nombre de serveurs il serait intressant de disposer d'outils permettant de surveiller le rseau et les serveurs. Ces outils permettent de minimiser le temps d'indisponibilit d'un serveur ou d'une application car il donne l'administrateur des informations prcises pour l'aider dtecter les ventuelles pannes. Les logiciels d'administration permettent galement l'administrateur d'tre inform d'un problme en premier car dans la plupart des cas c'est l'utilisateur qui apprend l'administrateur qu'il y a un problme. Sur le march il existe plusieurs solutions commerciales comme par exemple les trs connus HP OpenView, SunNet Manager ? mais les prix de ces produits dpassent 15 000 Euro. De plus, la matrise de tels produits demande galement la formation de l'administrateur, ce qui entrane encore un sur-cot. En marge de ces solutions commerciales, il existe des solutions gratuites (NetSaint, Ntop, Bronc) qui peuvent remplir pratiquement les mmes fonctions. Certains logiciels de supervision fournissent des outils qui permettent de localiser les goulots d'tranglement du rseau. On peut ainsi dtecter les routeurs ou les serveurs qui ralentissent le rseau et trouver une solution au problme. Grce la surveillance du rseau on peut obtenir des statistiques sur les protocoles utiliss. Ce qui permet de savoir quels sont les protocoles qui saturent le plus le rseau. (Tlchargement, surf sur Internet, copie ou enregistrement de chiers, Citrix, ouverture de session, broadcast ?) cela permet de savoir si l'on peut augmenter le nombre de personnes utilisant ces protocoles. Une supervision du rseau permet de dtecter les heures de pointes sur le rseau. ce qui peut permettre de dplacer certains traitements. Les outils de surveillance d'intrusion permettent la dtection d'intrusions internes comme externes (Plus de 80% des attaques informatiques commencent par une attaque internet). Cela n'vite pas les intrusions mais permet de les arrter au plus tt. La plupart des logiciels de supervision cits dans ces lignes sont des logiciels couramment utiliss par les plus grandes universits franaises. Ces logiciels ont t choisis pour surveiller de grands rseaux sur lesquels svicent beaucoup de jeunes pirates informatiques impatients de prouver leurs talents. La plupart des logiciels cits ici disposent d'une interface utilisable travers un navigateur(IE, Netscape, ...) ce qui permet de consulter ces utilitaires distance et surtout sur n'importe quel systme d'exploitation disposant d'un navigateur Internet.

La supervision moindre cot

2.1 Matriel ncessaire

Pour crer un poste de supervision il sut de disposer d'un poste de travail rcent. En eet l'achat d'un serveur ou d'une machine spcique n'est pas primordial. Un ordinateur traditionnel convient parfaitement cette tache. Pour la simple et bonne raison, que s'il tombe en panne

aucun service de production n'est aect et l'activit du rseau n'est en rien perturbe, seule la surveillance des serveurs et du rseau n'est plus en activit.

2.2 Logiciels et licences ncessaires

Pour mener bien un tel projet, l'acquisition de licences n'est pas ncessaire car le systme d'exploitation comme les logiciels proposs sont tous sous licence GNU GPL. Ils sont donc disponibles gratuitement sur internet. La seule contrainte tant le tlchargement, et la gravure des CDs d'installations.

NetSaint

3.1 Introduction
NetSaint est un produit trs puissant qui permet d'observer le bon fonctionnement de services rseau, tel que : SMTP, POP, HTTP... Il permet galement la surveillance des ressources des postes. Ce logiciel est gratuit et il est consultable travers une interface web, ce qui lui permet d'tre consultable de n'importe quel systme d'exploitation disposant d'un navigateur web.

3.2 Qu'est-ce que NetSaint ?

NetSaint est un logiciel de supervision des rseaux. Il est dvelopp sous Linux, mais il devrait aussi fonctionner sous d'autres Unix. Voici quelques-unes de ses fonctionnalits :  Supervision de services rseau (SMTP, POP3, HTTP, NNTP, PING, etc.)  Supervision des ressources des htes (charge du processeur, utilisation du disque, etc.)  Systme de plugins simple permettant des dveloppements "maison" faciles Contrle paralllis des services  Possibilit de dnir une hirarchie dans les htes grce aux htes "parents", permettant la dtection et la distinction entre les htes en panne et ceux qui ne sont plus accessibles.  Notications des contacts de l'apparition ou de la disparition de problmes sur les htes ou les services (via email, pager ou toute mthode dnie par l'utilisateur)  Possibilit de dnir des gestionnaires d'vnements qui sont lancs automatiquement lors de l'apparition d'vnements concernant les htes ou les services, pour une rsolution prventive des problmes  Rotation automatique des chiers journaux  Support de la supervision redondante  Interface web optionnelle pour visualiser l'tat du rseau, les notications et l'historique des problmes, les chiers journaux, etc.

3.3 NetSaint n'est pas...

 Prvu pour tourner sous NT - il ne l'a jamais t et ne le sera jamais.  Un gestionnaire SNMP

Modes de fonctionnement de Netsaint

Cette partie dcrit les principaux modes de fonctionnement de Netsaint.

4.1 Mode Tactical Overview

le mode Tactical Overview montre une vue d'ensemble des problmes. Toutes les informations essentielles sont aches dans une seule fentre.

4.2 Mode Status Detail

Le mode Status Detail permet de voir en dtail tous les serveurs qui sont surveills avec pour chaque serveur le dtail des services qui sont monitors.

4.3 Mode Status Overview

Dans cet exemple on peut voir que les dirents serveurs sont classs selon leur utilisation : serveur mail, Contrleur de domaine ? ce qui permet d'appliquer direntes stratgies d'alerte. En

eet lorsqu'un contrleur de domaine tombe en panne il y a beaucoup plus de personnes prvenir que lorsque qu'une imprimante bourre.

4.4 Mode Status map

Grce un mode de visualisation nomm Status map netsaint fait apparaitre tous les lements de votre rseau que vous surveillez sous la forme d'un plan. une fois congur correctement ce plan peut tre trs utile pour la rsolution d'incidents. Car grce cette vision du rseau, on peut rapidement dtecter quel est l'lment rseau dfectueux. Par exemple, si sur le schma, on voit que tous les serveurs qui se trouvent derrire un routeur sont indisponibles. On peut tre sur que le problme est li au routeur ou la liaison, et non pas aux serveurs.

4.5 Mode trend

Le mode trend est un mode qui permet de visualiser les statistiques du fonctionnement des serveurs surveills. Grce ce mode on peut facilement voir les services qui ont t interrompus.

4.6 Autres modes

Netsaint dispose galement d'autres modes de visualisation. Certains sont lis au fonctionnement de Netsaint, d'autres prsentent des informations sous d'autres formes.

4.7 NSClient
Grce un logiciel client  l'espace disque  la mmoire occupe  le bon fonctionnement de process  le bon fonctionnement de Services  la charge processeur  le temps de marche sans reboot d'un serveur (Uptime)  l'ge d'un chier L'installation de ce client permet de surveiller des applications qui tournent sur le serveur. Par exemple on peut surveiller les process  sqlsrv.exe  pour tre sur que le serveur SQLSERVER 2000 marche bien. On peut galement surveiller que le service  mssqlserver  fonctionne. Connatre l'age d'un chier ne parait pas au premier abord d'un intert extraordinaire. Mais cette fonction peut se rvler trs utile. Par exemple si le chers setup.exe du rpertoire McAfee date de plus de 15 jours on peut rmonter une alerte l'administrateur, pour qu'il tlcharge une nouvelle version des chers d'antivirus.

1 que l'on peut installer sur tous les serveurs surveiller. Netsaint

peut remonter de nombreuses informations supplmentaires qui permettent de surveiller :

Ntop

Introduction
Ntop est un logiciel de supervision grce lui vous pourrez contrler le trac qui circule sur votre rseau. Cette application permet grce un mode nomm matrix de voir quelle machine discute avec qui. Ce mode ache galement la taille totale des trames qui sont changes. Lors d'une de mes expriences professionnelles cela m'a permis (en voyant un transfert de 1.9 giga sur le rseau interne) de dtecter une sauvegarde qui tait plani en pleine journe alors qu'elle aurait du tourner la nuit lorsqu'il n'y a plus de trac sur le rseau.

5.1 Possibilits de Ntop

 Classer le trac de rseau selon le protocole  Montrer le trac de rseau selon divers critres  Montrer les statistiques du trac  Montrer la distribution du trac IP parmi les divers protocoles  Analyser le trac IP source/destination  Matrice de sous rseau du trac IP (qui parle qui ?)

5.2 Mdias supports

 Loopback  Ethernet  Token Ring  PPP  Raw IP  FDDI

disponible pour de pour Windows NT4, 2000 et XP

8

5.3 Protocoles supports

 IP  IPX  DecNet  AppleTalk  Netbios  OSI  DLC

5.4 Additional Features

 Serveur HTTP incorpor  Network Flows / coulements De Rseau  Analyse De Trac Local  Multithread  Identications sur le rseau (Systme De Dtection D'Intrusion)  Possibilit d'accs distance  Statistique des domaines Internet les plus utiliss  Protection de l'interface par mots de passe Crypts  Support de SQL pour le stockage des statistiques dans une base de donnes  Identication des OS des serveurs distance (via nmap)  HTTPS (Secure HTTP via OpenSSL)  libwrap support  Virtual/multiple network interfaces support  Diagrammes graphiques (via gdchart)  Perl Interface  WAP support

5.5 Exemple
Protocole utilis sur le rseau
On peut voir sur la capture d'cran ci-dessous la rpartition globale du trac. Sur le graphique on voit que le Broadcast (interrogation) occupe une petite partie du trac rseau. Cette proportion de broadcast peut tre beaucoup plus importante et saturer le trac rseau sans que l'on s'en aperoive.

Mode  Stats Network Load 

Ce mode permet de gnrer des graphiques indiquant le dbit du rseau. Le premier graphique donne la bande passante utilise pendant les 60 dernires minutes. Grce ce graphique on voit, la minute prs, si le rseau est surcharg ou non. Un deuxime graphique indique la charge rseau des dernires vingt quatre heures. Ce graphique est trs utile pour voir les heures de pointe sur le rseau. Sur l'exemple ci-dessous on voit nettement une priode o le rseau est beaucoup plus utilis.

Mode Stats Hosts 

A l'aide de mode Stats > Hosts on peut savoir quelles sont les machines qui consomment le plus de bande passante du rseau. Comme on peut le voir ci-desous

Pour chaque machine, on peut mme acher son trac au cours des dernieres 24 heures. Cela peut tre trs utiles pour savoir si un serveur n'est pas surcharg certaines heures de la journe.

10

Dans l'exemple ci-dessous il n'y a aucune tranche horaire dans le rouge donc la charge du serveur est plus ou moins constante sur la journe.

Autres logiciels de supervision

Vous trouverez dans ce chapitre d'autres logiciels de supervision. Ils ne sont pas traits plus

en dtail faute de temps. Mais ils ont bien videmment leur place sur un serveur de supervision.

6.1 IPtrac
Cet outil comme son nom l'indique permet de faire une analyse du trac IP

6.2 Nmap
Nmap est un scanner de ports. Cette application interroge tous les ports d'une machine donne. Puis elle fait un rapport informant l'utilisateur sur les ports ouverts sur la machine qu'il a scann. Cet utilitaire permet un administrateur de savoir quels sont les ports ouverts. Certains ports sont laisss ouverts sur des serveurs alors qu'ils ne sont plus utiliss. Comme ils ne sont plus utiliss Cet utilitaire est galement utilis par les pirates pour les mme raisons . Nmap peut tre utilis comme une application indpendante, ou il peut tre inclus sous forme de plugin dans une autre application de supervision comme par exemple Netsaint.

2 Ne vous amusez pas scanner les ports d'une adresse IP au hasard. Car cela peut tre considr comme une attaque. Cela risquerait vous poser des problmes.

11

6.3 Cricket
C'est un logiciel qui permet de surveiller la bande passante de routeur. Ce logiciel pourrait tre utilis pour surveiller la bande passante entre le sige de Chteauroux et le sige de Limoges. Il pourrait galement tre utilis pour surveiller les lignes entre les agences et les siges.

6.4 Nessus
Nessus est un utilitaire gratuit qui permet de scanner un rseau pour le scuriser. Pour chaque faille de scurit trouve, il donne des solutions pour y remdier.

12

6.5 Snit
Snit

3 est un snier de trame qui fonctionne sous LINUX, SunOS, Solaris, FreeBSD et IRIX.

Il permet de voir ce qui circule sur le rseau.

6.6 Dsni
Dvelopp par Dug Song du CITI dsni est un ensemble de logiciels destin auditer votre rseau et procder des tentatives d'intrusion. Dsni, lesnarf, mailsnarf, msgsnarf, urlsnarf et webspy coutent votre rseau pour en extraire les donnes intressantes (mots de passe, emai, chiers ...). Arpspoof, dnsspoof et macof facilite l'interception du trac rseau qui n'est normalement pas accessible pour un agresseur. Et pour nir sshmitm et webmitm permettent de faire du spoong pour capturer des sessions SSH ou HTTPS.

6.7 Tcpdump
TcpDump est un logiciel libre qui fonctionne sous Unix / linux et sous Windows il permet de capturer tous les paquets qui transitent sur un rseau et les stockent dans un chier. Cette application est trs pratique pour savoir qui fait quoi sur le rseaux. Mais comme elle retourne toutes les trames visibles sur le rseau, les chiers rsultants d'une coute atteignent vite des tailles astronomiques. Cette application a galement un autre dsavantage c'est que les trames captures sont livres brutes de dcorage. Il faut donc s'armer de patience pour trouver ce que l'on cherche.

6.8 Ethereal
Ethereal est un snier qui a comme particularit de pouvoir lire les donnes des autres snier. par exemple Ethereal est capable de lire les trames captures pas Tcpdump

6.9 Iptraf
Iptraf est un utilitaire qui retourne direntes informations sur les connexions rseau. Grce ces informations sur les connexions il est capable de faire des statistiques sur les dirents protocoles.

6.10 Bronc
Ce logiciel sert contrler la bande passante utilise sur les routeurs. Il permet entre autres de surveiller le dbit des lignes longues distances.

6.11 Snort.org
Snort est un outil qui permet d'couter tout ce qui ce passe sur un rseau. Son plus gros problme c'est qu'il gnre de gros chiers log.

6.12 Prelude
Prelude est un utilitaire de dtection d'intrusion. Il est cens dtecter toute connexion suspecte qui pourrait tre une attaque contre votre rseau. on peut trouver ce logiciel l'adresse suivante : http ://prelude.sourceforge.net

Snit est disponible l'adresse suivante : http ://snit.rug.ac.be/snit/snit.html

13

Conclusion
Beaucoup de logiciels de supervision sont la disposition des administrateurs. Ils ne sont pas tous faciles mettre en oeuvre. Mais ils apportent aux administrateurs une meilleure connaissance du rseau. La surveillance du rseau permet un ciblage des incidents beaucoup plus rapide, ce qui permet de minimiser les temps d'indisponibilit des serveurs. Les logiciels cits ici sont tous gratuit. Le seul investissement ncessaire est le temps pass pour apprendre utiliser ces logiciels de supervision. Mais une fois cet investissement eectu, il se rvlera trs rentable.

14