26 janvier 2009 à 11h12

Présentation du système CatNet


CatNet est un système intelligent de détection, analyse et consignation d'incidents réseaux.

Elle permet de détecter les anomalies réseau et tentatives d'intrusion, superviser les infrastructures afin d'accroître leur disponibilité, et consigner les événements utiles en cas d'incident de sécurité.

Technologiquement, le système CatNet est une association de 3 technologies de pointes de la Sécurité Informatique:

  • une sonde de détection d'incidents réseaux,
  • un collecteur des événements provenant des équipements actifs du réseau,

* un coffre-fort électronique consignant et certifiant la chronologie des événements.

Pratiquement, CatNet s'adresse aux structures possédant un réseau informatique. A l'usage des équipes de Direction, Services Informatiques (internes ou externalisés), et des Service de Sécurité, CatNet offre les avantages suivant:

  • vision rapide et efficace de l'état du réseau,
  • surveillance de la sécurité,
  • consignation des événements en vue d'une analyse ultérieure,
  • externalisation de la surveillance du réseau, continue ou en support ponctuel.

Surveillance réseau


Chaque jour, des millions d'informations transitent via votre réseau. Du moins c'est ce que vous croyez. Qu'en est-il exactement? Quelles sont ces informations? D'où viennent-elles? Où vont-elles? Sont-elles toutes "normales"? Autant de questions trop souvent sans réponses.

CatNet intègre plusieurs sondes d'analyse de réseaux, aux techniques et stratégies différentes (reconnaissances de signatures, profils, catégorisation de protocoles, analyse des bandes passantes générées, cartographie des communications, etc.).

CatNet met en lumière des incidents parmi la large gamme des techniques actuelles. Les communications captées par la CatNet sont analysées, quantifiées. Des rapports présentent les résultats sous forme de graphiques et/ou de journaux détaillés.


Concentration de journaux d'état (logs)


Les événements des équipements réseau sont souvent délaissés et inexploités. Ils sont, à juste titre, considérés comme très bavards avec un fort taux de faux-positifs. Dans le contexte de la Sécurité, nous considérons que chaque information doit être traitée, triée, classifiée. Même si 1 seule information sur 1000 n'est utile, ne pas la considérer c'est prendre le risque ne pas détecter une situation grave.

C'est pourquoi CatNet concentre les événements des équipements du réseau au travers du protocole Syslog, largement répandu. Ces événements sont mis en forme, caractérisés, filtrés, combinés, etc.; permettant ainsi une vision globale du réseau depuis l'interface web CatNet.

CatNet permet de concentrer les événements provenant des différentes classes d'équipements:

  • Serveurs (Linux, Unix, Windows, etc.)
  • Postes de travail (Linux, Windows, MacOS, etc.)
  • Périphériques réseau (imprimantes, faxs, scanners, etc.)
  • Equipements réseau actifs (routeurs, firewalls, switchs, modulateurs, bornes wifi, etc.)

Les incidents sont identifés, parmi la large gamme des techniques actuelles:

  • attaques applicatives (injections, fuzzing, débordements, saturations, dénis de service, etc.)
  • attaques réseau (scans, flooding, brute forces, spoofing, etc.)
  • attaques des données (accès non autorisés, compromissions, altérations, etc.)


Un niveau de sécurité à jour


La Sécurité informatique évolue dans un contexte où les failles de sécurité sont exploitées de plus en plus tôt (actuellement de l'ordre d'une 15aine de minutes entre la publication d'une faille et la disponibilité de l'exploit associé). C'est pourquoi les appliances CatNet sont continuellement maintenus à jour. De plus, toute activité suspecte, même en l'absence de signature associée, est signalée et enregistrée pour analyse ultérieure.