Supervision Sous Linux
14
-
Upload
omega-doublex -
Category
Documents
-
view
56 -
download
0
Transcript of Supervision Sous Linux
Supervision des serveurs et du réseau
Sylvain CROUZILLAT
4 février 2003
1
Table des matières
1 La supervision c'est quoi ? 3
2 La supervision à moindre coût 32.1 Matériel nécessaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 Logiciels et licences nécessaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3 NetSaint 43.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43.2 Qu'est-ce que NetSaint ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43.3 NetSaint n'est pas... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4 Modes de fonctionnement de Netsaint 44.1 Mode Tactical Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44.2 Mode Status Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54.3 Mode Status Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54.4 Mode Status map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64.5 Mode trend . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74.6 Autres modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84.7 NSClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
5 Ntop 85.1 Possibilités de Ntop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85.2 Médias supportés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85.3 Protocoles supportés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95.4 Additional Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95.5 Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
6 Autres logiciels de supervision 116.1 IPtra�c . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116.2 Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116.3 Cricket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126.4 Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126.5 Sni�t . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136.6 Dsni� . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136.7 Tcpdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136.8 Ethereal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136.9 Iptraf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136.10 Bronc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136.11 Snort.org . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136.12 Prelude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2
Introduction
Ce document a pour but d'expliquer la supervision et présenter les avantages et les possibilitésd'une solution gratuite. La plupart des logiciels présentés dans ce dossier sont sous licence GPL :Cette licence permet entre autres de disposer gratuitement des sources d'un logiciel. Le premieravantage étant �nancier car l'on peut se procurer gratuitement les logiciels répondant à cettelicence. Mais il existe un autre avantage qui n'est pas des moindres surtout lorsqu'il s'agit delogiciels de supervision ou de surveillance et que l'on se trouve dans une grande banque. C'estl'assurance que les logiciels répondant à cette licence ne disposent pas de Back Door (porte caché)qui permettrait à un pirate ou à un service gouvernemental de s'introduire sans traces.
1 La supervision c'est quoi ?
La supervision permet de mieux gérer son réseau et permet la détection et la localisation depannes avant que l'utilisateur lambda ne se soit aperçu du problème.
Pour faire face à l'augmentation exponentielle du nombre de serveurs il serait intéressant dedisposer d'outils permettant de surveiller le réseau et les serveurs. Ces outils permettent de mini-miser le temps d'indisponibilité d'un serveur ou d'une application car il donne à l'administrateurdes informations précises pour l'aider à détecter les éventuelles pannes. Les logiciels d'administra-tion permettent également à l'administrateur d'être informé d'un problème en premier car dansla plupart des cas c'est l'utilisateur qui apprend à l'administrateur qu'il y a un problème.
Sur le marché il existe plusieurs solutions commerciales comme par exemple les très connus HPOpenView, SunNet Manager ? mais les prix de ces produits dépassent 15 000 Euro. De plus, la maî-trise de tels produits demande également la formation de l'administrateur, ce qui entraîne encoreun sur-coût. En marge de ces solutions commerciales, il existe des solutions gratuites (NetSaint,Ntop, Bronc) qui peuvent remplir pratiquement les mêmes fonctions.
Certains logiciels de supervision fournissent des outils qui permettent de localiser les goulotsd'étranglement du réseau. On peut ainsi détecter les routeurs ou les serveurs qui ralentissent leréseau et trouver une solution au problème.
Grâce à la surveillance du réseau on peut obtenir des statistiques sur les protocoles utilisés. Cequi permet de savoir quels sont les protocoles qui saturent le plus le réseau. (Téléchargement, surfsur Internet, copie ou enregistrement de �chiers, Citrix, ouverture de session, broadcast ?) celapermet de savoir si l'on peut augmenter le nombre de personnes utilisant ces protocoles.
Une supervision du réseau permet de détecter les heures de pointes sur le réseau. ce qui peutpermettre de déplacer certains traitements. Les outils de surveillance d'intrusion permettent ladétection d'intrusions internes comme externes (Plus de 80% des attaques informatiques com-mencent par une attaque internet). Cela n'évite pas les intrusions mais permet de les arrêter auplus tôt.
La plupart des logiciels de supervision cités dans ces lignes sont des logiciels couramment utiliséspar les plus grandes universités françaises. Ces logiciels ont été choisis pour surveiller de grandsréseaux sur lesquels sévicent beaucoup de jeunes pirates informatiques impatients de prouver leurstalents.
La plupart des logiciels cités ici disposent d'une interface utilisable à travers un navigateur(IE,Netscape, ...) ce qui permet de consulter ces utilitaires à distance et surtout sur n'importe quelsystème d'exploitation disposant d'un navigateur Internet.
2 La supervision à moindre coût
2.1 Matériel nécessaire
Pour créer un poste de supervision il su�t de disposer d'un poste de travail récent. En e�etl'achat d'un serveur ou d'une machine spéci�que n'est pas primordial. Un ordinateur traditionnelconvient parfaitement à cette tache. Pour la simple et bonne raison, que s'il tombe en panne
3
aucun service de production n'est a�ecté et l'activité du réseau n'est en rien perturbée, seule lasurveillance des serveurs et du réseau n'est plus en activité.
2.2 Logiciels et licences nécessaires
Pour mener à bien un tel projet, l'acquisition de licences n'est pas nécessaire car le systèmed'exploitation comme les logiciels proposès sont tous sous licence GNU GPL. Ils sont donc dis-ponibles gratuitement sur internet. La seule contrainte étant le téléchargement, et la gravure desCDs d'installations.
3 NetSaint
3.1 Introduction
NetSaint est un produit très puissant qui permet d'observer le bon fonctionnement de servicesréseau, tel que : SMTP, POP, HTTP... Il permet également la surveillance des ressources despostes. Ce logiciel est gratuit et il est consultable à travers une interface web, ce qui lui permetd'être consultable de n'importe quel système d'exploitation disposant d'un navigateur web.
3.2 Qu'est-ce que NetSaint ?
NetSaint est un logiciel de supervision des réseaux. Il est développé sous Linux, mais il devraitaussi fonctionner sous d'autres Unix. Voici quelques-unes de ses fonctionnalités :
� Supervision de services réseau (SMTP, POP3, HTTP, NNTP, PING, etc.)� Supervision des ressources des hôtes (charge du processeur, utilisation du disque, etc.)� Système de plugins simple permettant des développements "maison" faciles Contrôle paral-lélisé des services
� Possibilité de dé�nir une hiérarchie dans les hôtes grâce aux hôtes "parents", permettant ladétection et la distinction entre les hôtes en panne et ceux qui ne sont plus accessibles.
� Noti�cations à des contacts de l'apparition ou de la disparition de problèmes sur les hôtesou les services (via email, pager ou toute méthode dé�nie par l'utilisateur)
� Possibilité de dé�nir des gestionnaires d'événements qui sont lancés automatiquement lors del'apparition d'événements concernant les hôtes ou les services, pour une résolution préventivedes problèmes
� Rotation automatique des �chiers journaux� Support de la supervision redondante� Interface web optionnelle pour visualiser l'état du réseau, les noti�cations et l'historique desproblèmes, les �chiers journaux, etc.
3.3 NetSaint n'est pas...
� Prévu pour tourner sous NT - il ne l'a jamais été et ne le sera jamais.� Un gestionnaire SNMP
4 Modes de fonctionnement de Netsaint
Cette partie décrit les principaux modes de fonctionnement de Netsaint.
4.1 Mode Tactical Overview
le mode Tactical Overview montre une vue d'ensemble des problèmes. Toutes les informationsessentielles sont a�chées dans une seule fenêtre.
4
4.2 Mode Status Detail
Le mode Status Detail permet de voir en détail tous les serveurs qui sont surveillés avec pourchaque serveur le détail des services qui sont monitorés.
4.3 Mode Status Overview
Dans cet exemple on peut voir que les di�érents serveurs sont classés selon leur utilisation :serveur mail, Contrôleur de domaine ? ce qui permet d'appliquer di�érentes stratégies d'alerte. En
5
e�et lorsqu'un contrôleur de domaine tombe en panne il y a beaucoup plus de personnes à prévenirque lorsque qu'une imprimante bourre.
4.4 Mode Status map
Grâce à un mode de visualisation nommé �Status map� netsaint fait apparaitre tous les élementsde votre réseau que vous surveillez sous la forme d'un plan. une fois con�guré correctement ceplan peut être très utile pour la résolution d'incidents. Car grâce à cette vision du réseau, on peutrapidement détecter quel est l'élément réseau défectueux. Par exemple, si sur le schéma, on voitque tous les serveurs qui se trouvent derrière un routeur sont indisponibles. On peut être sur quele problème est lié au routeur ou à la liaison, et non pas aux serveurs.
6
4.5 Mode trend
Le mode trend est un mode qui permet de visualiser les statistiques du fonctionnement desserveurs surveillés. Grâce à ce mode on peut facilement voir les services qui ont été interrompus.
7
4.6 Autres modes
Netsaint dispose également d'autres modes de visualisation. Certains sont liés au fonctionne-ment de Netsaint, d'autres présentent des informations sous d'autres formes.
4.7 NSClient
Grâce à un logiciel client1 que l'on peut installer sur tous les serveurs à surveiller. Netsaintpeut remonter de nombreuses informations supplémentaires qui permettent de surveiller :
� l'espace disque� la mémoire occupée� le bon fonctionnement de process� le bon fonctionnement de Services� la charge processeur� le temps de marche sans reboot d'un serveur (Uptime)� l'âge d'un �chier
L'installation de ce client permet de surveiller des applications qui tournent sur le serveur. Parexemple on peut surveiller les process �sqlsrv.exe� pour être sur que le serveur �SQLSERVER 2000�marche bien. On peut également surveiller que le service �mssqlserver � fonctionne.
Connaître l'age d'un �chier ne parait pas au premier abord d'un interêt extraordinaire. Maiscette fonction peut se révéler très utile. Par exemple si le �chers �setup.exe� du répertoire McAfeedate de plus de 15 jours on peut rémonter une alerte à l'administrateur, pour qu'il télécharge unenouvelle version des �chers d'antivirus.
5 Ntop
Introduction
Ntop est un logiciel de supervision grâce à lui vous pourrez contrôler le tra�c qui circule survotre réseau. Cette application permet grâce à un mode nommé matrix de voir quelle machinediscute avec qui. Ce mode a�che également la taille totale des trames qui sont échangées. Lorsd'une de mes expériences professionnelles cela m'a permis (en voyant un transfert de 1.9 giga sur leréseau interne) de détecter une sauvegarde qui était plani�é en pleine journée alors qu'elle auraitdu tourner la nuit lorsqu'il n'y a plus de tra�c sur le réseau.
5.1 Possibilités de Ntop
� Classer le tra�c de réseau selon le protocole� Montrer le tra�c de réseau selon divers critères� Montrer les statistiques du tra�c� Montrer la distribution du tra�c IP parmi les divers protocoles� Analyser le tra�c IP source/destination� Matrice de sous réseau du tra�c IP (qui parle à qui ?)
5.2 Médias supportés
� Loopback� Ethernet� Token Ring� PPP� Raw IP� FDDI
1disponible pour de pour Windows NT4, 2000 et XP
8
5.3 Protocoles supportés
� IP� IPX� DecNet� AppleTalk� Netbios� OSI� DLC
5.4 Additional Features
� Serveur HTTP incorporé� Network Flows / Écoulements De Réseau� Analyse De Tra�c Local� Multithread� Identi�cations sur le réseau (Système De Détection D'Intrusion)� Possibilité d'accès à distance� Statistique des domaines Internet les plus utilisés� Protection de l'interface par mots de passe Cryptés� Support de SQL pour le stockage des statistiques dans une base de données� Identi�cation des OS des serveurs à distance (via nmap)� HTTPS (Secure HTTP via OpenSSL)� libwrap support� Virtual/multiple network interfaces support� Diagrammes graphiques (via gdchart)� Perl Interface� WAP support
5.5 Exemple
Protocole utilisé sur le réseau
On peut voir sur la capture d'écran ci-dessous la répartition globale du tra�c. Sur le graphiqueon voit que le Broadcast (interrogation) occupe une petite partie du tra�c réseau. Cette proportionde broadcast peut être beaucoup plus importante et saturer le tra�c réseau sans que l'on s'enaperçoive.
Mode �Stats Network Load�
Ce mode permet de génèrer des graphiques indiquant le débit du réseau. Le premier graphiquedonne la bande passante utilisée pendant les 60 dernières minutes. Grâce à ce graphique on voit, àla minute près, si le réseau est surchargé ou non. Un deuxième graphique indique la charge réseaudes dernières vingt quatre heures. Ce graphique est très utile pour voir les heures de pointe surle réseau. Sur l'exemple ci-dessous on voit nettement une période où le réseau est beaucoup plusutilisé.
9
Mode �Stats Hosts�
A l'aide de mode �Stats �> Hosts� on peut savoir quelles sont les machines qui consomment leplus de bande passante du réseau. Comme on peut le voir ci-desous
Pour chaque machine, on peut même a�cher son tra�c au cours des dernieres 24 heures. Celapeut être très utiles pour savoir si un serveur n'est pas surchargé à certaines heures de la journée.
10
Dans l'exemple ci-dessous il n'y a aucune tranche horaire dans le rouge donc la charge du serveurest plus ou moins constante sur la journée.
6 Autres logiciels de supervision
Vous trouverez dans ce chapitre d'autres logiciels de supervision. Ils ne sont pas traités plusen détail faute de temps. Mais ils ont bien évidemment leur place sur un serveur de supervision.
6.1 IPtra�c
Cet outil comme son nom l'indique permet de faire une analyse du tra�c IP
6.2 Nmap
Nmap est un scanner de ports. Cette application interroge tous les ports d'une machine donnée.Puis elle fait un rapport informant l'utilisateur sur les ports ouverts sur la machine qu'il a scanné.Cet utilitaire permet à un administrateur de savoir quels sont les ports ouverts. Certains portssont laissés ouverts sur des serveurs alors qu'ils ne sont plus utilisés. Comme ils ne sont plus utilisésCet utilitaire est également utilisé par les pirates pour les même raisons2. Nmap peut être utilisécomme une application indépendante, ou il peut être inclus sous forme de plugin dans une autreapplication de supervision comme par exemple Netsaint.
2Ne vous amusez pas à scanner les ports d'une adresse IP au hasard. Car cela peut être considèré comme uneattaque. Cela risquerait vous poser des problèmes.
11
6.3 Cricket
C'est un logiciel qui permet de surveiller la bande passante de routeur. Ce logiciel pourrait êtreutilisé pour surveiller la bande passante entre le siège de Châteauroux et le siège de Limoges. Ilpourrait également être utilisé pour surveiller les lignes entre les agences et les siéges.
6.4 Nessus
Nessus est un utilitaire gratuit qui permet de scanner un réseau pour le sécuriser. Pour chaquefaille de sécurité trouvée, il donne des solutions pour y remédier.
12
6.5 Sni�t
Sni�t3 est un sni�er de trame qui fonctionne sous LINUX, SunOS, Solaris, FreeBSD et IRIX.Il permet de voir ce qui circule sur le réseau.
6.6 Dsni�
Développé par Dug Song du CITI dsni� est un ensemble de logiciels destiné à auditer votreréseau et à procéder à des tentatives d'intrusion. Dsni�, �lesnarf, mailsnarf, msgsnarf, urlsnarfet webspy écoutent votre réseau pour en extraire les données intéressantes (mots de passe, e-mai, �chiers ...). Arpspoof, dnsspoof et macof facilite l'interception du tra�c réseau qui n'estnormalement pas accessible pour un agresseur. Et pour �nir sshmitm et webmitm permettent defaire du spoo�ng pour capturer des sessions SSH ou HTTPS.
6.7 Tcpdump
TcpDump est un logiciel libre qui fonctionne sous Unix / linux et sous Windows il permetde capturer tous les paquets qui transitent sur un réseau et les stockent dans un �chier. Cetteapplication est très pratique pour savoir qui fait quoi sur le réseaux. Mais comme elle retournetoutes les trames visibles sur le réseau, les �chiers résultants d'une écoute atteignent vite des taillesastronomiques. Cette application a également un autre désavantage c'est que les trames capturéessont livrées brutes de déco�rage. Il faut donc s'armer de patience pour trouver ce que l'on cherche.
6.8 Ethereal
Ethereal est un sni�er qui a comme particularité de pouvoir lire les données des autres sni�er.par exemple Ethereal est capable de lire les trames capturées pas Tcpdump
6.9 Iptraf
Iptraf est un utilitaire qui retourne di�érentes informations sur les connexions réseau. Grâceà ces informations sur les connexions il est capable de faire des statistiques sur les di�érentsprotocoles.
6.10 Bronc
Ce logiciel sert à contrôler la bande passante utilisée sur les routeurs. Il permet entre autresde surveiller le débit des lignes longues distances.
6.11 Snort.org
Snort est un outil qui permet d'écouter tout ce qui ce passe sur un réseau. Son plus grosproblème c'est qu'il génère de gros �chiers log.
6.12 Prelude
Prelude est un utilitaire de détection d'intrusion. Il est censé détecter toute connexion suspectequi pourrait être une attaque contre votre réseau. on peut trouver ce logiciel à l'adresse suivante :http ://prelude.sourceforge.net
3Sni�t est disponible à l'adresse suivante : http ://sni�t.rug.ac.be/sni�t/sni�t.html
13
Conclusion
Beaucoup de logiciels de supervision sont à la disposition des administrateurs. Ils ne sont pastous faciles à mettre en oeuvre. Mais ils apportent aux administrateurs une meilleure connaissancedu réseau. La surveillance du réseau permet un ciblage des incidents beaucoup plus rapide, ce quipermet de minimiser les temps d'indisponibilité des serveurs.
Les logiciels cités ici sont tous gratuit. Le seul investissement nécessaire est le temps passépour apprendre à utiliser ces logiciels de supervision. Mais une fois cet investissement e�ectué, ilse révélera très rentable.
14
