Réseau : l’augmentation des débits génère l’inefficacité des outils de contrôle

La vitesse et l’augmentation des débits Internet et Intranet posent la question de la pertinence de la mise en oeuvre des sondes de type Snort que j’ai eu très souvent l’occasion de configurer.

Sur un switch 48 ports 1 GigaBit, il est devenu aujourd’hui impossible de monitorer les flux sur l’un des ports du switch. Le port devrait disposer au passage d’un débit de 48×400 Mbits. Aucune carte n’existe sur le marché pour absorber un tel débit afin de traiter l’ensemble des paquets dont il est issu en temps réel.

La seule possibilité est de recourir à des techniques d’échantillonnage. L’augmentation de la vitesse exige un corollaire : disposer d’un outil de contrôle qui soit en capacité de s’ajuster à la vitesse. Dans des environnements très exigeants en terme de sécurité, cela revient à obligatoirement mettre en œuvre une sonde sur chaque machine.

Évidemment, de tels débits ne peuvent pas encore être atteints au travers d’Internet. Mais, quand on sait que 80% des attaques se construisent de l’intérieur, l’augmentation des débits pose le problème de l’organisation de la sécurité au sein même du réseau de l’entreprise.

L’homme crée des technologies dont, clairement, il ne peut plus avoir le contrôle… au nom de la vitesse.

Réseau  / Réseau Sécurité informatique 

Commentaires

Comprend pas bien ou est le goulot d’etranglement et surtout pourquoi il n’existait pas avant.

Très pertinent, surtout la dernière phrase.

les attaques par déni de service ont de beau jours devant eux ….

48×400 Mbits ? Quelle technologie, quel bus pour avaler des Tcpdump en temps réel ?

@Fabrice

Attention : quand j’ai deux neurones qui se touchent, ça peut, à l’occasion, faire des étincelles. ;+)

Une des solutions est de bien segmenter son réseau en utilisant les Vlans et ensuite de ne sniffer que les Vlans intéressants sur le switch.

Il ne faut peut-être pas non plus tout sniffer, du traffic client-to-client n’est peut être pas aussi important que du client-to-server.

Tout n’est après qu’une question de « dosage » et surtout d’identification très fine des flux, mais pour des outils type SNORT effectivement l’heure est peut être passée au profit de boîtiers dédiés types firewalls avec IPS et autre…

@ denis

le seul constructeur de cartes réseau très haut débit c’est myricom, mais elles sont réservées pour des piles de calcul

@jeremy

un commutateur pilotable est gréer par un logiciel ou microcode, coment réaliser la même chose sans cette partie de logiciel ?

Laisser un commentaire

(requis)

(requis)