Webinar Supervision & Audit. Audit Réseau & Applicatif Exemple de mission. 25 Juin 2013

Webinar Supervision & Audit Audit Réseau & Applicatif Exemple de mission 25 Juin 2013 1

Au sujet de Network Instruments Société privée créée en1994 par de vrais visionnaires 20 bureaux dans le monde dont France depuis 2002 130 partenaires dans 50 pays Pure player du marché de l APM Croissance organique: toute la gamme produit est complètement intégrée Depuis sa création, croissance annuelle à 2 chiffres: 23% de moyenne En moyenne, une version majeure par an, ce qui a donné un vrai leadership technologique

À propos d Orsenna Supervision & Audit Réseau Intégration produits Supervision & Analyse. Développement de PlugIns. Intégration produits Audit des flux Netflow, Sflow,Jflow Produits Complémentaires (Appliance SMS, Serveur Syslog, Diagnostic Switches, Sondes) Formation & Régie de supervision 3

Orsenna - services autour des produits WhatsUp/NI Installation et déploiement Tuning Performances Mises à jour de versions Formation Gestion de projet 4

Questions? Q & A 5

Audit Réseau & Applicatif: Analyse Technologie Périmètre et Outils Exemple Mission 6

Audit des performances de votre réseau : une vision complémentaire du contenant (l infrastructure) et du contenu (les flux) Suivi d utilisation de l infrastructure Monitoring des compteurs de santé des équipements (SNMP) Monitoring des interfaces (SNMP) Monitoring des tests de temps de transit (IP SLA) SNMP ICMP WMI IP SLA RESEAU Equipement réseau Sonde réseau Netflow SFlow IP-Fix Sondes Suivi des flux & applications Monitoring des compteurs venant des équipements réseau (Netflow/SFlow/IP-Fix suivant les constructeurs) Monitoring des tables de flux générées par des sondes réseau Equipement réseau Sonde réseau 26/06/2013 7

Positionnement des outils ➍ Expertise des flux & applications Décodage et analyse à la demande Diagnostic (Syst. Expert) ADS Utilisateurs ➌ Monitoring des flux & applications Monitoring permanent des flux & applications Rapports de Tendance Flux & Applications ➋ Monitoring de l infrastructure Monitoring global de l infrastructure réseau Rapports de tendances ➊ Supervision de l infrastructure Découverte du réseau Cartographie globale du réseau Centralisation des alertes Infrastructure 9

Monitoring des flux & applications points clés ➌ Monitoring des flux & applications Monitoring permanent des flux & applications Rapports de Tendance En complément de la vision des "tuyaux", le monitoring des flux et des applications permet de connaître les "objets" concernés (postes utilisateurs, serveurs, applications) Pour une vision simplifiée sur un réseau et intégrée à la supervision, les statistiques Netflow peuvent suffire et être traitées directement avec What sup Pour une analyse détaillée au travers des technologies Netflow, Scrutinizer apporte un niveau d analyse experte Pour une collecte et analyse Netflow en volume ( Débit&Rétention), FlowMon apporte une solution complète Pour une vision plus complète des applications au travers une capture du flux, la solution Observer apporte des indicateurs avancés sur les applicatifs : Temps de réponse vus du réseau TOP N : postes les plus générateurs de flux, serveurs avec les temps de réponse les moins performants pour une même application, applications les plus consommatrices MOS et Gigue pour la VoIP 10

Expertise des flux & applications les points clés ➍ Expertise des flux & applications Décodage et analyse à la demande Diagnostic (Syst. Expert) ADS L expertise des flux permet de diagnostiquer finement l origine d un problème de performance (ex une lenteur), en disposant des preuves associées Fonctions associées dans Observer : Capture de trafic rétrospective Aide au diagnostic avec Système Expert Décodage des trames réseau avec graphe de conversation Analyse multi-points (analyse de bout en bout) Fonctions associées dans FlowMon - ADS : Analyse de comportement Rapports sur des profils de trafic 11

Technologies

Mesures Cisco IOS IP SLAs

NetFlow

Terminologie NetFlow Collecteur Agent NetFlow Miroir/Span Probes, Flow Publisher, FlowMon, Nprobe Tap Berlin Boston Paris, France Internet = NetFlow Data = Router = Switch = NetFlow interfaces

Mirroring Span - Rspan SPAN mode Mirroring d un port vers un autre. RSPAN mode Mirroring d un port du routeur vers un port d un autre routeur. Les configurations pour le mirroring en fonction des constructeurs : http://wiki.wireshark.org/switchreference Le spanning (mirroring) reste efficace sur des trafics faibles mais l accès au FDX Gigabit & 10 Gigabit avec la contrainte de voir tout le traffic nécessite des technologies de type TAPs Orsenna 2011 19

Taps TAP mode cela peut se représenter comme un Y, le flux arrive sur la branche du bas, puis se divise en deux, une partie reste sur le réseau tandis que l autre va vers l agent matériel. Orsenna 2011 20

Router Breakout TAP ACT LNK ACT LNK ACT LNK ACT LNK A B C D RX & TX sont copiés sur 2 liens séparés. Switch 110100101001010 101001010010110 111010101101101 101 010011011010001 011 011001011011011 110100101001010 101001010010110 111010101101101 101 010011011010001 011 011001011011011

Projet Audit: Périmètre & Outils Utilisateurs Vue utilisateur Applications Applications Infra, Standards, Métiers Systèmes Serveurs, Stockage, Virtualisation Infrastructure réseau Switches, Routeurs, Appliances

Périmètre Infrastructure Réseau Routeurs Infrastructure réseau Firewall Switches Appliances 23

Suivi d utilisation de l infrastructure Monitoring des compteurs (SNMP) Monitoring des interfaces (SNMP) SNMP ICMP Suivi des flux Statistiques applicatives (Netflow/Sflow,...) Sondes Netflow Sondes Analyse Suivi temps de réponse Opérations IP SLA, Mesures IP SLA ( Cisco) Suivi détaillé de l infrastructure Monitoring + complexe BGP, STP (SNMP) Monitoring status (SSH) Alertes Trafic détaillé SNMP SSH Sondes mesure 24

WhatsUp Architecture Inventaire Carto Wifi

Orion Analyse SNMP Netflow, IPSLA

Scrutinizer Analyse détaillée Netflow Diagnostic Cartographie des flux 27

Flow Analytics : Ce module contient des algorithmes qui testent en permanence les flux collectés par rapport notamment aux éléments liés à: Sécurité (DoS attacks ) Audit & Conformité Capacity Planning Visualisation : Déclenchement d alertes Rapports

Technological Overview

FlowMon Rapports : Facilement personnalisable Envoi automatique en format PDF Orsenna 2011 30

FlowMon Plugins Les fonctionnalités des FlowMon Probes et des Collecteurs peuvent être étendues par l adjonction de plugins : NBA (network behavior analysis ) Reporting Audit Web Audit Firewall et d autres composants

NI : Analyse Experte Expertise (+590 événements reconnus) Dynamiques de connexion Modélisation pour 100 utilisateurs Modélisation de flux Décodage

Analyse VoIP Suivi du Jitter Métriques globales de la qualité de la VoIP CDRs Dynamiques de Connexion

Périmètre Systèmes et Applications Applications Systèmes

Périmètre Systèmes et Applications Complexité Suivi des compteurs CPU, Mémoire, Disques, Interfaces, Processus System System OS Suivi DHCP, DNS, Active Directory, MSMQ,NTP, Certificat, System System Technologie Applicative Suivi applicatifs standards, Exchange, SQL, IIS, Domino, TSE, Citrix, Apache, System System Applications Standards Suivi applicatifs métiers, Suivi appli J2EE, System System Applications Métiers

WhatsUp Companion Métriques et évènements Applications Serveurs Applications Srv Tomcat Jboss WebSphere ZapCat Agents Srv Nrpe Zabbix Métriques et évènements Applications Standards Applications Std Exchange/Domino SQL IIS SQL, Oracle,SyBase,DB2,.. Apache Métriques et évènements Technologies Infrastructure Technologies 2K3/2K8, Linux,Unix AD IIS DHCP DNS NTP, Cert,.. Métriques et évènements Systèmes Systèmes CPU Memory Disk Network Print File System Séminaire 37

Orion Historical Hardware Information Monitoring Système Monitoring Applicatif

Scrutinizer +Nprobe Latence Applicative Analyse Url 39

FlowMon ADS Analyse des comportements Profil comportemental (client/server, trafic, partenaires, structure du trafic) Détection des anomalies(comportement actuel par rapport aux comportements long-termes) Statistiques (analyses continues des comportements réseau)

FlowMon ADS Détection des évènements indésirables Attaques (scan des ports, attaques par dictionnaire, déni de services, attaques telnet) Anomalies sur le trafic(dns, multicast, communications non-standard) Anomalies de comportement des périphériques(changements à long terme du comportement des équipements) Applications indésirables (réseau P2P, messageries instantanées ) Problèmes de sécurité internes (virus, spyware, botnets), Mail traffic (outgoing spam) Operational problem (delays, high traffic, reverse DNS records)

Observer Reporting Server Agrège de multiples points de visibilité dans un même dashboard (sources: Netflow, sondes, consoles supervision ) Cliquez pour zoomer sur les composants de l application pour la résolution de problèmes Visualisez les données en temps réel ou historisation Shape reporting by business process, app,location, or device

Monitoring Aggrégé des Performances Reporting global de l entreprise Zoomez pour la résolution des problèmes Vue par business ou entité De nombreux rapports prédéfinis Interface Web personnalisable Dashboards pour vous aider à améliorer la productivité de vos métiers

NI Analyse Applicative Messages Applicatifs Analyse de temps de réponse Analyse par nombre de sessions Analyse par intervalle de temps

Périmètre Utilisateurs Utilisateurs

Monitoring transactions : Les outils autour de WhatsUp & Orion GEUM : HTTP record/playback AlertFox WPM- Web Performance Monitor Séminaire 47

Monitoring transactions Temps de réponse vu par l utilisateur (approximatif) Cela prend 1 à 2 minutes Temps de réponse effectif 0.5 secs 0.8 secs 1.2 secs Séminaire 48

Analyse Multi Segments Suivi des transactions Analyse de temps de réponse Rapports

Analyse transaction Décodage SSL Flux chiffré SSL Flux déchiffré Connexion Dynamique Clé serveur

Bilan Outils Analyse et Monitoring Audit Infra Réseau & Flux nprobe Transactions Utilisateurs Monitoring Applicatif Bilan Infra Système 2013 5

Questions? Q & A 52

Le Système Expert diagnostique pour vous Expert temps réel ou post capture Analyse Applicative UC: VoIP, Visio NetFlow Analyse des temps de réponse Forensics VoIP Performance Applicative Analyse de site WLAN Expert Temps de Réponses

Analyse Experte des Conditions du Réseau

Visualisez la Conversation pour trouver l origine de la latence

Tableaux de Bord Observer

Reporting par groupes d Applications

Drill Down vers les Serveurs posant problème

Visualisez les statistiques des Connexions

Analyse Rétrospective La meilleure manière de réduire le MTTR (Mean Time To Repair) Magnéto numérique Capture tout le trafic passant par les points stratégiques sur de longues périodes Idéal pour Forensics Compliance Data mining Identification des Problèmes Fonctionnalités Reconstruction des transactions Diagnostique des attaques de securité Navigation Temporelle Avant RNA Après RNA

GigaStor: le magnétoscope numérique Capturez et enregistrez toutes les données stratégiques dans votre coeur de réseau pour analyse temporelle Revivez le direct Retrouvez rapidement l origine du problème que ce soit: Le réseau, l application, la sécurité, ou le système Rejouez les transactions Documentez les violations au niveau de la compliance

Localisez la transaction

Reconstruisez les transactions (VoIP,Video Pages web )

Analyse Multi Segments Suivi des transactions Analyse de temps de réponse Rapports

Exemple mission Audit Classique Milieu Hospitalier 67

Contexte & Objectifs Les 4 axes: Serveurs Réseau Postes de travail Routeurs d accès internet, pare-feu, anti-spam Points clés: Au regard de la situation actuelle : les constats réalisés, les dysfonctionnements identifiés, les mesures correctives préconisées ainsi que l évaluation financière des évolutions à envisager, Au regard des orientations du SDSI : la capacité du réseau à supporter ou non les évolutions prévues dans le SDSI et les préconisations éventuelles d évolution à envisager ainsi que les évaluations financières associées. 68

Suivi des flux Drill Down Méthodologie de l audit Indicateurs de Performances Supervision de l infrastructure Analyse et Stockage

Méthodologie de l audit Tests Poste Utilisateur Wireshark Tests Wifi Observer + Wifi VM 1 Observer WhatsUp Gold ICMP SNMP WMI Infra Virtuelle

Préconisation Consolidation des environnements Technologie Types d équipements Performances potentielles Performances actuelles Priorité Thème des consolidations Cœur Réseau Nortel 8306 +++ ++ 2 Firmware Vlan Virtualisation R 710 ++ ++ 3 Mémoire Vlan Wifi WLAN Nortel 2382 ++ + 2 FirmWare Wifi type n Vlan DHCP Réseau de Distributions Infrastructure Applicative Sécurité-Internet Nortel 4548GT Nortel 4526GTX +++ ++ 3 Configuration Exchange DCs +++ + 1 Fin migration Cisco ASA Cisco C170 +++ +++ 3 Antivirus Qos Postes Récents Windows 7 4Go +++ +++ 2 Sécurité Anciens Postes Windows XP inférieur à 2008 - - 1 Mise à jour postes Sécurité Anciens Postes Windows XP Ressources Suffisantes (supérieur à 2008) + + 2 Mise à jour postes Sécurité 71

Bilan Audit Consolider Postes & Migration Cœur Réseau & Wifi Lan Sécurité - Qos Virtualisation Stockage - Sauvegarde Serveurs 10g Esx Appli Mpls Réseaux WAN Internet Réseau WIFI Cœur Réseau AD-DNS-DHCP Métier VoIP Byod Réseaux LAN Parc Utilisateur Applications 72

Audit Informatique Monde Universitaire 73

Objectifs Forces et les faiblesses du système d information Description et analyse des choix techniques mis en œuvre. Audit Technique Audit des relations externes & transverses Evolution du SI, Tableaux de bords

Déroulement Rapport Audit Questionnaire & Documents Interviews Interviews Complément Architecture Inventaire Questionnaires 1 er Bilan Rapport Audit 75

Etude de cas DNS, VoIP 2012 Network Instruments, LLC

Etude de cas Visibilité VoIP 2012 Network Instruments, LLC

Architecture 2012 Network Instruments, LLC

Architecture : Détails des flux 2012 Network Instruments, LLC

Tableau de bord de performances 2012 Network Instruments, LLC

Tableau de bord site à site 2012 Network Instruments, LLC

Focus sur le site en problème 2012 Network Instruments, LLC

Drill Down vers le routeur Paris 2012 Network Instruments, LLC

Drill Down vers les serveurs VoIP 2012 Network Instruments, LLC

Liste des appels 2012 Network Instruments, LLC

Analyse à posteriori 2012 Network Instruments, LLC

Analyse à posteriori 2012 Network Instruments, LLC

Analyse Experte 2012 Network Instruments, LLC

Analyse Experte Analyse à Paris Analyse à Marseille 2012 Network Instruments, LLC

La problématique 2012 Network Instruments, LLC

Contacts Projets Audit Responsable commerciale : Florence Laprevote : flaprevote@orsenna.fr Consultant Avant Vente: Jean-Philippe Senckeisen : jpsenckeisen@orsenna.fr Téléphone : 01.34.93.35.35 91