Enjeux: l'interprétation des flux réseaux du LAN
L'amélioration de la sécurité des systèmes d'informations est un enjeu capital, qui a des conséquences directes sur les taux de disponibilité des serveurs, les vols d'informations, les dysfonctionnements, ...
znets est une solution pertinente qui intègre de puissantes fonctionnalités de surveillance. Dotée d'une interface graphique interactive et intuitive, elle est facile à prendre en main.
Compatible avec toutes les infrastructures réseaux (Ipv4 ou Ipv6), znets est peu intrusif et simple à déployer. Les algorithmes sont testés, optimisés et pertinents. znets fonctionne quelque soit l'architecture réseau.
znets est développé au sein des laboratoires du CNRS/IN2P3, qui disposent de réseaux informatiques très performants (liens >> 10Gbs) et hétérogènes.
Plus d'une centaine d'établissements utilisent déjà znets (CNRS, ENS, Université, IUT, ...)
Traçabilité des flux réseaux
La technologie est basée sur la collecte, l'agrégation et l’analyse des flux réseau. Ces flux sont l’intégralité des traces laissées lors des connexions et tentatives de connexions. Ils sont incontestables.
Outils pour l’analyse & Fonctionnalités de métrologie avancée
60 graphiques de métrologie sont disponibles. Ils sont plus complets et d'avantage orienté sécurité que ceux des logiciels concurrents de supervision. znets permet en effet l’accès à plusieurs niveaux de détails (grâce à la mise en corrélation des données statistiques avec les flux réseaux bruts enregistrés). L'étude permet donc une compréhension complète des flux échangés.
Détection des anomalies et levées d’alertes
Znets est un IDS (Intrusion Detection System) avec des mécanismes de mise à jour automatique. De plus, la facile mise en corrélation d’une alerte avec les données stockées apporte des informations cruciales, sans équivalent, sur l’incident. Les statistiques horaires et journalières permettent l’identification immédiate d’un trafic inhabituel. znets permet un traitement rapide et automatisé de l’incident.
Historique:
|
2002 |
Développement et déploiement de "EXTRA" |
| 2010 |
Etablissement du cahier des charges IN2P3 de "znets" Début des développement |
| 2011 |
znets V1 septembre: Présentation OSSIR Paris octobre: Présentation JRES Toulouse |
| 2102 | Déploiement de znets dans les 21 labos IN2P3 |
| 2013 | znets V1.29 |
| 2014 |
Obtention d'une licence Cecill B Début du développement de znets V2 (version majeure avec 70% de code nouveau) |
| 2015 |
Librairie web Navajo devient autonome LGPL V3 Avril: conférence ARAMIS Lyon Mai/Juin: Version 2 |
Evolutions:
znets V2 a été réécrit à plus de 70%. Il apporte de nombreuses améliorations pour la supervision des machines et des réseaux de l'entreprise.
Performance
znets est encore plus performant et fonctionne désormais sur des liens haut débit (jusqu'à 5Gbs en acquisition directe, et plusieurs disaine de Gbs en mode collecte de flux). Les insertions sont dorénavant asynchrones, et la base de données est partitionnée.
Traçabilité des flux réseaux
Les flux sont maintenant consultables en temps réel (sans aucune latence ni délai). Ils sont agrégés pendant 1 heure ce qui permet de réduire encore considérablement leur nombre sans engendrer de perte d'information (en moyenne 1 flux enregistré pour 800paquets).
znets stocke maintenant ces traces avec un niveau de détail inégalé. L'utilisation des librairies de geolocalisation et de détection applicative permet de caractériser parfaitement tous les flux, même cryptés: géolocalisation, analyse L7 (identification fiable de presque 200 applications: TOR/Bittorent/Skype/VPNs/... même sur des ports non standarts), stockage de données applicatives (URL, requêtes DNS,...). Le stockage a été optimisé (grâce à des mécanismes asynchrones, partitionnements), afin que les données restent consultables plusieurs mois, quelque soit le réseau.znets apprend le comportement normal des machines supervisées et détecte de manière très fiable, toutes les anomalies (APT, scan, malware, virus, le non respect des chartes informatiques, téléchargements illicites ...)
Outils pour l’analyse & Fonctionnalités de métrologie avancée
La nouvelle version permet dorénavant la visulation de la métrologie en temps réel
Inventaire en temps réel des équipements communicants
znets offre dorénavant un inventaire complet en temps réel de toutes les machines du réseau, avec enregistrement des périodes d'activité, détection du système d’exploitation...
Détection des anomalies en Temps Réel et levées d’alertes
Tous les algorithmes de détection ont été réécrit. Les alertes sont désormais levées en temps réel (minimum toutes les 2 minutes). De nombreuses alertes ont été ajouté.
La possibilité d'appliquer à certains réseaux des seuils auto-adaptatifs permet d'avoir des alertes encore plus pertinentes et adaptées aux machines et services déployés.
RoadMap v2:
 |
Technical Specifications planning : Jan 2014 - validation des choix et évolutions |
|
Début des développements |
|
Jan 2015: Librairie web externe libnavajo - construction des packages |
|
Mars 2015: version alpha 1 |
|
Avril 2015: version alpha 2 |
| Mai 2015: version bêta | |
| Juin 2015: preVersion 1 |
Equipe projet
- Thierry Descombes (thierry.descombes at lpsc.in2p3.fr) - Chef de projet
- Ismaël Zakari Touré (ismael.zakari.toure at gmail.com) - Ergonomie et expert web
Le projet utilise le service d'hébergement mutualisé git du CCIN2P3
Licence et limite d'utilisation
znets est disponible pour l'ensemble des établissements publics d'enseignement et de recherche sans limitation d'usage.
Plus d'informations, captures d'écran, mailing list, news : www.znets.net ou en nous contactant à Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.