Blogpost

Pourquoi enregistrer ses flux réseau ?

Découvrez comment surmonter les défis du PCAP dans des environnements complexes à haut débit et découvrez l'efficacité de notre solution, n.Rewind, pour une analyse réseau fluide.

Florian Thebault
October 6, 2022
Share
LinkedIn LogoX logo

PCAP or it didn’t happen

L’acte reflexe du cyber combattant.

Appelé PCAP (pour Packet CAPture, format d’enregistrement de données réseau le plus connu), l’enregistrement du trafic réseau est une pratique courante autant pour les admins réseau que pour les spécialistes de la cybersécurité.

Un fichier PCAP est un enregistrement dans un format binaire (avec ~20 à 30% d’overhead par rapport au flux original). Il offre une visibilité totale des évènements passés. Il permet de faire des instantanés complets du réseau pour les analyser.

C’est le replay de votre réseau, revivez vos épisodes préférés tel que l’épisode DDOS ou celui sur l_e ransomware_ ou encore_ le process DHCP_Sans une trace PCAP, opportunément faite, il n’est pas possible d’effectuer une analyse forensic efficace. Se pose là le challenge n°1 : comment faire la capture à temps ?

Un PCAP pour quoi faire ?

Tout ou presque.

Un PCAP sert de base pour analyser et aider à contrôler l’état de santé du réseau (par ex. ICMP flood ou lag au niveau de sessions TCP), mais aussi détecter les anomalies et activités malicieuses. Le PCAP permet de remonter à l’origine du problème que l’on souhaite identifier sur le réseau.

Superviser la source ou la destination du trafic, identifier les données des “applications” et les appareils, détecter l’origine et les causes des dysfonctionnements (pouvant aussi être des indicateurs de compromission, ou IoC), etc...

Dans l’ensemble, on peut dégager 4 grandes catégories d'usage de la capture de paquets :

  • Identifier les points de congestion : grâce de la capture, il est possible d’observer le trajet de tous les paquets, ce qui peut aider à identifier des points congestion
  • Dépanner (ou troubleshooting) : la dimension granulaire d’un PCAP (c’est à dire le fait d’avoir tous les paquets) est la solution idéale (bien que très chronophage) pour identifier précisément un problème et sa source
  • Explorer : composant essentiel du forensic, le PCAP est souvent indispensable pour identifier ou confirmer la présence de malware, la détection de comportements malveillants et les failles de sécurité
  • Conserver une preuve : le PCAP permet de partager un ensemble cohérent, complet, diffusable d’un évènement réseau.

Pour être utile un PCAP doit à la fois permettre de détenir l’intégralité de l’évènement, mais aussi de rester exploitable (temps d’exploration/taille de l’enregistrement) plus il est gros plus il est complet plus il faut du temps pour isoler les éléments d’intérêt. Arrive donc le challenge n°2 : comment faire une capture ciblée ?

Un PCAP c’est facile ?

Enfantin.

Sauf si : vous êtes dans le cloud ou dans des environnements hybrides ou à haut débit, sous contrainte d’un SLA exigeant, ou sous le feu d’une attaque.

Un analyste de niveau 2 d’un SOC contribue à la remédiation des cyberattaques en collectant des données sur les hôtes et le réseau en vue d'une analyse plus approfondie et en déclenchant les mesures de sécurité appropriées conformément au plan de réponse aux incidents. Les principales difficultés auxquelles il sera confronté sont :

  • Informations inexistantes ou incomplètes ou surabondantes sur ce qui s'est passé avant et après le cyber incident
  • Même si des données forensic sont disponibles, elles peuvent être très volumineuses, coûteuses à stocker et extrêmement longues à explorer et à analyser manuellement
  • En plein incident il peut être compliqué d’effectuer une capture utile et de passer d'un outil à l'autre pour analyser les paquets

Vous l’aurez compris, challenge n°3 : comment faire une capture dans le feu de l’action ?

La taille, ça compte ?

Oh que oui ! Mais l'usage aussi !

Si vous souhaitez procéder à une capture en cœur de réseau, la taille des PCAP dépassera souvent les capacités des outils utilisés pour l’exploiter. De plus il sera difficile de collecter des conversations (ou sessions) complètes parce que votre outil de capture n’est pas suffisamment performant. C'est d’ailleurs pourquoi nous vous recommandons de prendre en considération le taux de stream-to-disk, une métrique à laquelle il est tout particulièrement important de faire attention dans les environnements dont les débits dépassent le 10Gbit/s. Il n’est pas rare, lorsque les débits sont élevés, que les outils de capture annoncent des performances qu’ils ne sont capables de tenir que sur une poignée de secondes. Une limitation que certains n’ont pas peur de marketer en fonctionnalité, appelée “microburst”.

A l’inverse, si la capture est réalisée à la périphérie du réseau, la visibilité en sera forcément limitée. Et nous pourrions rater la détection d'un DDoS ou d'un malware.

La confluence de ses contraintes a fait naître une citation courante que nous entendons souvent chez certains de nos prospects : « Il m’arrive de passer deux à trois jours pour extraire ce que je cherche ». Ce qui souligne vraiment bien la nécessité de « retrouver ses petits », qui est l’expression employée par nos experts maison.

Et ce problème récurrent ne saura se résorber à mesure que les débits des réseaux d’entreprise augmentent. Wireshark est déjà dans l’incapacité d’enregistrer des flux réseaux à 1Gbit/s sans perte de paquet. Mais déjà, certains FAI proposent des offres clients à 2,5 Gbit/s et d’autres à 8Gbit/s (même si leur offre est marketée à 10Gbit/s). Les Data Centers passent du 40Gbit/s à du 100Gbit/s et il est prévu de généraliser le 400Gbit/s à la fin de cette décennie. Procéder à des captures de paquet dans ces environnements n’est plus possible si on se contente des outils et matériels actuels.

Du coup, challenge n°4 : comment retrouver ses petits dans les gros PCAP?

Introducing n.Rewind

La capture intelligente de paquets

Comme vu ci-dessus, le cyber combattant fait face à 4 challenges compliquant sa capacité à bénéficier d’une trace utile :

  • challenge n°1 : comment faire la capture à temps.
  • challenge n°2 : comment faire une capture ciblée.
  • challenge n°3 : comment faire une capture dans le feu de l’action.
  • challenge n°4 : comment retrouver ses petits dans les gros PCAP.Ces challenges sont renforcés par l’évolution constante des réseaux (core to edge, edge to cloud, edge to edge), par l’hybridisation et l’accélération des débits. RIP tcpdump.

n.Rewind est l’outil de capture paramétrable que nous avons conçu dans le but de répondre à l'ensemble des challenges précédemment évoqués. Il permet une capture complète ou filtrante, automatisée et inclus un buffer pour être certain de ne pas rater le début du show.

Pour ce faire, nous sommes partis d’une feuille blanche et nous avons réalisé que seul notre technologie de sonde réseau était en mesure d’apporter une réponse nouvelle à cet ensemble récurrent de problématiques. L'application de notre technologie de sonde sur la capture nous a permis de :

  • Bénéficier d’un buffer (dont la taille dépendra de la RAM que vous lui allouerez), ce qui permet de détenir un enregistrement détenant les “moments réseau” qui précèdent son déclenchement, utile pour des analystes en cyber sécurité qui cherche à comprendre le chemin d’attaque ou les signaux faibles propres à une activité.
  • Effectuer des déclenchements automatiques sur filtres ou sur API.
  • Filtrer en amont, c’est à dire sur du cœur de réseau à 100Gbit/s. Avec un jeu de filtres qui est bien plus complet et utile que le 5-tuple et qui prend en compte certains empilement protocolaires complexe comme le tunneling, les multiples VLAN, le MPLS, etc... Une manière très efficace d’obtenir un PCAP léger quand on sait exactement ce que l’on cherche dans des gros tuyaux. Au même titre que notre expérience précédente, passer plusieurs jours à faire des captures sur des multiples réseaux 1G avec Wireshark et passer ensuite plusieurs jours à retrouver ce que nous cherchions.... n’est vraiment pas une partie de plaisir.
  • Filtrer en aval, ce qui a la même utilité, mais qui trouve un grand intérêt quand on ne sait pas encore précisément ce que l’on cherche dans ses flux. L’avantage de notre solution, c’est que vous pouvez l’utiliser sur un Raspberry Pi pour des captures à 1G ou un celeron poussif pour de la 10G.
  • Gérer tous les débits, même les plus élevés, avec une simple solution logicielle. Ce qui a pour intérêt de pouvoir la déployer n’importe où sur votre infra IT. Dans notre ancienne carrière, après avoir passé 3 jours à naviguer dans un data center à faire des captures sur une dizaine de points avant de trouver celui qui nous intéressait vraiment, nous nous sommes pris à rêver d’une solution qui pourrait être déployée à distance partout sur notre infra, en quelques clics et lignes de commande sans forcément avoir à rerouter du flux ou installer des TAPs.

Conçu pour répondre aux pain points des analystes de SOC ou des experts des CERT/CSIRT. Les analyses quotidiennes issues de ces enregistrements permettent de contrôler et d'explorer à chaud et en profondeur les évènements réseaux à partir de traces complètes et ciblées. Cela permet de garantir un réseau transparent et sécurisé, ainsi que de réduire les risques dans les environnements de cloud privé, public, ou hybrides.

Pensé pour être capable de gérer les flux les plus complexes trouvés en Data Center et y suivre les débits les plus élevés, les enregistrements que produit n.Rewind contribuent à la gestion quotidienne de tout type de réseau, pour identifier les anomalies comme les misconfig le plus rapidement possible.

Florian Thebault
October 6, 2022
Share
LinkedIn LogoX logo

Prêt à débloquer
la visibilité complète de votre réseau ?

More blog posts

Go to the blog