Récemment, je suis tombé sur un article très intéressant à propos de NBAR qui peut classer les vers sur le réseau. Dans la plupart des cas, les vers se propagent à travers le réseau par l’intermédiaire de pièce jointe dans un mail ou d’un navigateur.Qu’est-ce que NBAR ?
Network Based Application Recognition, un système de classification de l’IOS de Cisco, peut détecter un grand nombre d’applications en inspectant en profondeur les paquets grâce au PDLM (Packet Description Language Module – Le PDLM contient les règles utilisées par NBAR pour reconnaître une application).
NBAR, c’est plus qu’une classification intelligente, il a la capacité d’identifier les applications web et serveur-client qui utilisent des ports dynamiques ainsi que ceux qui utilisent des ports bien connus (comme Bit Torrent). Cela aide l’administrateur réseau à identifier ce qu’il se passe réellement sur le réseau et alors définir des politiques QoS afin d’être sûr que la bande passante est utilisée correctement (pour les applications d’affaires).
Voici quelques exemples de configuration sur les dispositifs Cisco qui peuvent vous aider à filtrer le trafic malveillant.
Router(config)#class−map match−any http−hacks Router(config−cmap)#match protocol http url “*.ida*” Router(config−cmap)#match protocol http url “*cmd.exe*” Router(config−cmap)#match protocol http url “*root.exe*” Router(config−cmap)#match protocol http url “*readme.eml*”
Une fois le routeur configuré pour filtrer les vers comme spécifié ci-dessus, le moteur NBAR effectuera une analyse en profondeur des paquets du trafic passant par l’interface du routeur et si le trafic correspond à l’une des classes ci-dessus alors l’administrateur peut les filtrer en utilisant la liste d’accès ou il peut établir une politique de routage pour surveiller les hôtes infectés.
Comment NetFlow Analyzer peut vous aider ?
NetFlow Analyzer est capable de classer les rapports générés par NBAR via le SNMP et Flexible NetFlow. Cliquez ici pour savoir comment configurer le routeur pour FNF NBAR.
NBAR peut également classer des URL HTTP spécifiques, avec la fonctionnalité NBAR de NetFlow Analyzer, vous pouvez garder une trace du trafic anonyme ainsi que surveiller le trafic provenant des hôtes infectés.
Téléchargez notre version d'évaluation de 30 jours de NetFlow Analyzer
Rejoignez-nous sur notre page Facebook
Tenez-vous au courant des dernières nouvelles du secteur grâce à notre communauté LinkedIn Bandwidth Monitoring and Traffic Analysis for Enterprises (en anglais)
Référence :
http://www.cisco.com/image/gif/paws/4615/nimda.pdf