Podcast BlueBearsIT et Paessler – Supervision et sécurité des grandes infrastructures

Fabien de PRTG :

Afin d’assurer sa sécurité, le système de supervision du réseau doit  couvrir plusieurs angles importants.

•  Le  contrôle  des systèmes de sécurité eux-mêmes

L’intérêt premier d’un logiciel de supervision est de s’assurer que les outils de sécurisation fonctionnement parfaitement.
Les définitions de virus sont-elles à jour ? Les sauvegardes sont-elles valides? Le pare-feu est-il en ligne ?

La sécurité n’est assurée que lorsque l’ensemble des dispositifs de sécurisation sont opérationnels.

•  Les dysfonctionnements ou les mauvaises configurations

Les solutions de supervision surveillent en permanence les performances et le fonctionnement de tous
les composants de votre infrastructure informatique, qu’il s’agisse de
matériel, de logiciels ou de flux de données.

Ceci afin d’éviter la perte d’informations, d’assurer le bon fonctionnement des procédures de sauvegarde et de garantir des conditions de travail optimales à vos collègues.

•  Le contrôle des paramètres environnementaux

Une solution de surveillance doit aussi être capable de s’appuyer sur des capteurs physiques qui sont
des boitiers répartis dans l’environnement à surveiller et qui vont remonter des informations telles que l’humidité et la température des salles serveur, ou le bon fonctionnement général des équipements tels que les caméras vidéo.

Ainsi vous serez avertis lorsque des seuils définis ont été atteints afin que vous puissiez réagir en conséquence.

•  L’identification d’évènements inhabituels

La prolifération des tendances « Apportez votre propre appareil (BYOD) » et de « l’Internet des objets (IoT) »
créent de nouvelles opportunités d’intrusion de logiciels malveillants, en élargissant le vecteur de menace. Auparavant, une simple interdiction des disques privés, des CD ou des lecteurs flash USB était suffisante, mais
aujourd’hui il y a trop d’appareils connectés au réseau. Que se passe-t-il lorsqu’un virus n’est pas détecté ou qu’un cheval de Troie contourne le pare-feu ?

Une solution de supervision appropriée détecte et informe en conséquence des comportements insolites, tels que la
prolifération du trafic, le fonctionnement trop rapide de la mémoire ou encore un trafic de messagerie atypique.

Eric de BlueBearsIT :  C’est intéressant, as-tu un exemple qui illustre comment le système permet de relever des évènements a priori indécelables ?

Fabien de PRTG :

Oui on peut citer la fonction Capteurs Similaires qui permet la corrélation automatique inter capteurs. Je rappelle
qu’un capteur PRTG est un indicateur qui mesure un aspect spécifique du dispositif supervisé comme sa disponibilité, son temps de réponse, sa consommation. Par exemple à chaque fois que le commutateur situé à l’étage de la comptabilité indique des pics de trafic, PRTG va détecter une charge CPU accrue sur le serveur qui produit les rapports des paiements mensuels.

Ce comportement était certainement attendu, mais qu’en est-il d’un port d’un routeur en particulier qui présenterait une
consommation de traffic exactement similaire à celle d’un port d’un serveur a priori sans lien ? Vous n’étiez pas du tout au courant de cette connexion qui peut être une possible tentative frauduleuse !

Eric de BlueBearsIT : On vient de voir la partie sécurité et j’aimerais maintenant que l’on aborde la partie Innovation chez PRTG. Face à un marché extrêmement dynamique, comment PRTG permet de réagir aux évolutions ?

Fabien de PRTG : PRTG intègre des fonctionnalités apprenantes pour reconnaitre des nouveaux équipements et également augmenter le nombre de mesures par appareils et ici plusieurs fonctions sont en jeu :

– Des Capteurs Recommandés pour intégrer des nouvelles sources d’informations aux équipements déjà supervisés   

– Des Capteurs Personnalisés qui autorisent l’import de scripts externes ou l’interconnexions API vers les systèmes tiers pour récupérer des informations spécifiques 

– Les notifications Personnalisées qui vont d’informer l’utilisateur via différentes méthodes de communication et éventuellement appliquer un traitement en aval au moyen de scripts

– La fonction Auto-Détection qui identifie à fréquence programmable de nouveaux dispositifs et leur applique des modèles configurés avec des capteurs courants.

·        Premièrement la fonction Capteurs Recommandés

PRTG analyse votre réseau pour vous suggérer des capteurs complémentaires propres à chacun des équipements supervisés, ces nouvelles remontées d’informations viennent donc compléter le tableau ! L’analyse peut se programmer ou s’exécuter manuellement, soit à l’ajout d’un nouveau périphérique ou encore si la dernière analyse remonte à plus de 30 jours.

Au dela de 5000 capteurs ce moteur de détection se déactive sauf si la performance élevée du système lui permet de continuer à fonctionner.

·        Ensuite les Capteurs Personnalisés

Ils occupent le même rôle que les capteurs normaux et ajoutent la possibilité d’intégrer des informations de sources externes telles que des MIB SNMP intégrales ou partielles, des scripts écrits en différents langages tels que Python, PowerShell, Visual Basic… notamment pour interroger des API REST.

Tous ces scripts sont issus de la communauté et libre de droits, donc Paessler les recense sur un moteur de recherche pratique et facile d’accès sur le web, le PRTG Sensor Hub. Cette ouverture de PRTG lui permet de garantir que les équipements actuels et futurs seront toujours intégrables à la solution de supervision.

·        Finalement la fonction Auto-détection

Lors de l’installation initiale de PRTG les nouveaux appareils sont automatiquement détectés et configurés pour faciliter leur mise en place initiale. Ensuite on peut programmer l’activation de la fonction et scanner régulièrement tous les appareils situés dans une plage d’adresses IP ceci pour garantir un état des lieux exhaustif du réseau.

Eric de BlueBearsIT : Peux-tu nous en dire plus sur la manière dont cette fonction est mise en œuvre par les utilisateurs ?

Fabien de PRTG :

 Tout à fait. Le déclenchement de cette détection automatique peut se programmer de manière hebdomadaire ou une fois par mois et dans la pratique on constate que une fois par semaine donne un bon niveau de fiabilité de l’information.

Ensuite l’utilisateur recoit une alerte via un ticket ou un email qui l’informe que l’inventaire a été mis à jour et que les évolutions les plus récentes de son réseau sont bien prises en compte.

D’un point de vue sécuritaire, cette vue exhaustive permet de repérer immédiatement d’éventuels appareils privés, non sécurisés ou non autorisés, qui pourrait compromettre le réseau et correspondre à des situations de Shadow IT.

Cette visibilité sur l’intégralité du parc matériel et logiciel fait également remonter les coûts associés pour vérifier la conformité des maintenances et des licences.  Avec un inventaire à jour, on s’assure de de bien planifier les investissements prochains!