PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en france, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
jeudi, 12 juillet 2012 17:09

Détection des vers avec NBAR de Cisco

Évaluer cet élément
(1 Vote)

logoRécemment, je suis tombé sur un article très intéressant à propos de NBAR qui peut classer les vers sur le réseau. Dans la plupart des cas, les vers se propagent à travers le réseau par l’intermédiaire de pièce jointe dans un mail ou d’un navigateur.

Les pièces jointes peuvent être filtrées grâce à des paramètres appropriés sur le serveur SMTP (serveur mail) mais les vers peuvent aussi se propager au travers du navigateur. Cela peut être filtré grâce à la classification de NBAR.

Qu’est-ce que NBAR ?

Network Based Application Recognition, un système de classification de l’IOS de Cisco, peut détecter un grand nombre d’applications en inspectant en profondeur les paquets grâce au PDLM (Packet Description Language Module – Le PDLM contient les règles utilisées par NBAR pour reconnaître une application).

NBAR, c’est plus qu’une classification intelligente, il a la capacité d’identifier les applications web et serveur-client qui utilisent des ports dynamiques ainsi que ceux qui utilisent des ports bien connus (comme Bit Torrent). Cela aide l’administrateur réseau à identifier ce qu’il se passe réellement sur le réseau et alors définir des politiques QoS afin d’être sûr que la bande passante est utilisée correctement (pour les applications d’affaires).

Voici quelques exemples de configuration sur les dispositifs Cisco qui peuvent vous aider à filtrer le trafic malveillant.

Router(config)#class−map match−any http−hacks
Router(config−cmap)#match protocol http url “*.ida*”
Router(config−cmap)#match protocol http url “*cmd.exe*”
Router(config−cmap)#match protocol http url “*root.exe*”
Router(config−cmap)#match protocol http url “*readme.eml*”

Une fois le routeur configuré pour filtrer les vers comme spécifié ci-dessus, le moteur NBAR effectuera une analyse en profondeur des paquets du trafic passant par l’interface du routeur et si le trafic correspond à l’une des classes ci-dessus alors l’administrateur peut les filtrer en utilisant la liste d’accès ou il peut établir une politique de routage pour surveiller les hôtes infectés.

Comment NetFlow Analyzer peut vous aider ?

NetFlow Analyzer est capable de classer les rapports générés par NBAR via le SNMP et Flexible NetFlow. Cliquez ici pour savoir comment configurer le routeur pour FNF NBAR.

NBAR peut également classer des URL HTTP spécifiques, avec la fonctionnalité NBAR de NetFlow Analyzer, vous pouvez garder une trace du trafic anonyme ainsi que surveiller le trafic provenant des hôtes infectés.

Téléchargez notre version d'évaluation de 30 jours de NetFlow Analyzer

Rejoignez-nous sur notre page Facebook

Tenez-vous au courant des dernières nouvelles du secteur grâce à notre communauté LinkedIn Bandwidth Monitoring and Traffic Analysis for Enterprises (en anglais)

Référence :
http://www.cisco.com/image/gif/paws/4615/nimda.pdf

Lu 3336 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.

Cache hits : 648 [98%]
Cache misses : 13 [1%]
Cache total : 661
Url added to cache : 1806



Misses list
index.php?option=com_k2&Itemid=278&id=90&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=469&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=449&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=353&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=308&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=303&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_mailto&lang=fr&link=1c101c91f3d182112dc848038427a323b5a05bf2&template=rt_hadron&tmpl=component

index.php?option=com_content&Itemid=2456&id=1477&lang=fr&view=article

index.php?option=com_blankcomponent&Itemid=1799&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=1797&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=2106&lang=fr&view=default

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&tmpl=component&view=user

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&view=user

In memory, waiting to be written : 0
Ram used : 82680