Surveillez la sécurité de votre réseau domestique ou professionnel avec Zeek
Aujourd’hui, il est nécessaire d’avoir un contrôle total sur les problèmes potentiels de réseau, notamment en matière de sécurité . Aussi, en avoir une vue d’ensemble globale : les causes, les impacts sur les tâches quotidiennes et les solutions qui pourraient être appliquées. Les temps qui courent, exigent que la connectivité soit fiable et offre une protection contre de multiples menaces . A ces derniers il faut ajouter le fait que le travail à domicile est en augmentation, et tous ceux qui pratiquent le télétravail doivent être protégés.
La sécurité du réseau et sa gestion évoluent favorablement grâce à des outils qui rendent tout beaucoup plus simple et pratique. Fini le temps où plusieurs solutions très coûteuses et difficiles à utiliser ne donnaient pas la réponse souhaitée. Les cyberattaques donnent de moins en moins de répit et les réseaux doivent disposer d’un véritable bouclier protecteur.
Zeek se présente comme un outil d’aide à la gestion de la réponse aux incidents de sécurité . Il fonctionne en complétant les outils basés sur les signatures pour pouvoir rechercher et suivre des événements réseau complexes. Il se caractérise par des réponses rapides, en plus d’utiliser plusieurs flux et protocoles. Il permet non seulement d’identifier les événements de sécurité, mais vise également à faciliter le dépannage.
Surveillance détaillée des réseaux grâce aux journaux
Un fichier journal est d’une grande aide lors de l’analyse des problèmes de réseau de toutes sortes, y compris les événements qui compromettent son intégrité en termes de sécurité. Zeek en profite très bien en proposant un fichier qui synthétise une bonne partie des logs qu’il peut générer, en se basant sur différents protocoles. Certains des protocoles que nous pouvons citer sont :
- DHCP
- DNS
- FTP
- HTTP
- SNMP
- SMTP
- SSL et bien d’autres
Ci-dessus, nous voyons une capture de tous les champs que contient le journal de connexion DNS. Il est possible de voir que chaque champ détaille le type de données qui peuvent être affichées et une brève description informative. Citons quelques champs comme exemples :
- trans_id : un numéro unique généré pour identifier le journal généré.
- rcode : valeur du code de réponse DNS.
- rejeté : il s’agit d’un champ de valeur booléenne (vrai ou faux) qui nous indique si la demande de connexion DNS a été rejetée ou non.
Un aspect qui, à un niveau général, est commenté concernant les logs est qu’ils sont longs et difficiles à comprendre. Grâce à ce support , vous pourrez mieux comprendre le contenu des journaux et contrôler les événements de sécurité.
Scripts de surveillance
Une autre facilité que nous pouvons souligner à propos de Zeek est qu’il est possible d’avoir des scripts préconfigurés et prêts à l’emploi. Ils sont utilisés pour effectuer des activités de surveillance du réseau, qui sont fréquemment utilisées, vous permettant ainsi de gagner du temps.
L’un des scripts que nous pouvons mettre en évidence est celui qui correspond au HTTP Stalling Detector . Ceci est utilisé pour la détection des attaques HTTP Stalling DDoS, pour se faire une idée, ce type de DDoS profite d’une des erreurs les plus pertinentes d’un serveur web.
Elle consiste à ne pas pouvoir déterminer si un client distant est connecté au serveur via une liaison de connexion lente. Ou, si le même client envoie des données sans aucun contrôle à une vitesse très lente. Par conséquent, le serveur Web ne peut pas générer de délai d’ attente pour annuler cette connexion après un certain temps, ou simplement la terminer. Si un serveur Web a une capacité limitée, il peut facilement être affecté par ce type d’attaques.
Si vous souhaitez profiter de ce script ou d’autres, vous devez entrer sur le portail officiel de la société Corelight , qui prend en charge Zeek, pour y accéder via son référentiel Github officiel. D’autres ressources sont également disponibles sur le même site pour vous aider à commencer à utiliser l’outil.
Curiosité sur Zeek
Quand vous entendez ou prononcez le mot « frère », à quoi cela vous fait-il penser ? Le mot « Bromance » ou « Bro Culture » vous semble familier ? Comme nous l’avons vu, le programme Zeek s’appelait auparavant Bro . Cependant, la signification du mot « Bro », dans le jargon populaire, s’applique à des contextes qui n’ont que peu ou rien à voir avec l’objectif de cette solution de sécurité informatique. Il en est ainsi au point que l’entreprise qui développe cette solution a couru des risques que les clients potentiels ou actuels puissent avoir des idées fausses concernant l’objectif initial de la solution.
Par conséquent, par une décision prise par l’équipe de direction, il a été décidé que le nom change. Zeek, en fait, est un nom qui existait déjà dans l’esprit du premier groupe de personnes qui avaient commencé à travailler avec le projet. Ils n’ont donc pas mis trop de temps à trouver un nom de substitution.
Comment télécharger Zeek
Accédez à ce lien pour obtenir tous les téléchargements dont vous avez besoin. Vous disposerez du code source de la version stable actuelle, ainsi que de la version précédente qui sera supportée jusqu’en octobre de cette année. Bref, vous obtiendrez la documentation nécessaire pour avoir le support nécessaire, ainsi qu’une communauté active qui contribue fréquemment pour que Zeek continue de s’améliorer.
Si vous n’êtes pas sûr d’opter ou non pour cet outil, ils ont une application en ligne qui vous permet de tester certaines fonctionnalités de base en temps réel. En entrant ce lien, vous n’aurez pas besoin d’un compte pour tester. Vous aurez une brève explication de chaque unité et un espace pour tester les commandes et les codes.