Merci à tous pour ces recommandations variées :) Je vais explorer tout ça.
@Joël: l'UI de DarkTrace est impressionnante en effet, je croyais que c'était que dans les films les trucs comme ça Emile ----- Mail original ----- De: "Jeremy" <li...@freeheberg.com> À: "Emile TOURON" <emile.tou...@utt.fr>, frnog-t...@frnog.org Envoyé: Mercredi 9 Mai 2018 00:01:50 Objet: Re: [FRnOG] [TECH] Inventaire flux réseau Bonjour, Chez nous, on a déployé Wanguard édité par Andrisoft. https://www.andrisoft.com/ C'est, à la base, un outils de détection et de mitigation d'attaque (de tout type) avec une certaine puissance puisqu'il est possible d'appliquer pas mal de règles et des actions scripté quand ça match. Il est notamment très utilisé chez des ISP nationaux, ou des hébergeurs plus ou moins connu un peu partout. Additionné à une infra de filtrage comme celle basée sur Tilera (OVH) ou Arbor, ça devient particulièrement puissant contre un DDOS. Les licences sont facturées selon l'utilisation de l'agent détection et/ou filtrage. Il faut une licence par routeur coté détection de trafic, et une licence par carte réseau coté filtrage (prévoir du 100G duplex et besoin que d'une licence pour mitiger 100G, attention aux ASICS et au CPU utilisé, le support aide bien à ce niveau). C'est capable de détecter le trafic en sflow ou mirror. Il est donc aisé de faire remonter les trames réseaux sur le transport pour les analyser en un point unique, ou bien déployer des sondes locales en miroir à chaque POP et unifier les données dans une interface unique. Les prix des licences sont publics, pour les flemard, compter environ 500 € HT / routeur / an sans support spécifique. Avec un support 24h/24 skype niveau debug, faut aligner des chèques à 5 chiffres ou plus (mais au moins, ils sont vraiment là à dispo). Jérémy Le 07/05/2018 à 09:55, Emile TOURON a écrit : > Bonjour la liste, > > Connaissez-vous un outil pour faire l'inventaire exhaustif des flux réseau > afin de connaitre tous les flux qui passe dans un routeur/switch > (conversations ip/port, etc.) ? Ceci pour appliquer des règles de filtrage > strictes. > Les outils d'analyse statistique de Wireshark font le job mais un port > mirroring n'est pas envisageable à grande échelle. > Mes équipements réseau causent en IPFIX et sFlow, mais les collecteurs que > j'ai trouvé proposent des dashboard plus de monitoring temps réel et de > statistiques globales plutôt que d'inventaire exhaustif des flux. > > Merci et bonne semaine ! > Emile T > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
