ZNeTS

Fiche dév Ens Sup - Recherche
  • Création ou MAJ importante : 28/04/11
  • Correction mineure : 28/04/11
Mots-clés

ZNeTS : outil de supervision d'un ou plusieurs réseaux locaux

Ce logiciel a été développé (ou est en cours de développement) dans la communauté de l'Enseignement Supérieur et de la Recherche. Son état peut être variable (cf champs ci-dessous) donc sans garantie de bon fonctionnement.
  • Site web
  • Système : UNIX-like, Windows, MacOS X
  • Version actuelle : 1.0 - Mai 2011
  • Licence(s) : choix en cours, contacter l'auteur
  • Support : maintenu, développement en cours
  • Concepteur(s) : Thierry DESCOMBES et Ismael ZAKARI TOURE
  • Contact concepteur(s) : info@znets.net
  • Laboratoire(s), service(s)... : LPSC

 

Fonctionnalités générales du logiciel

ZNeTS, est l'acronyme de "The Network Traffic Supervizor". C'est un outil de supervision d'un ou plusieurs LANs.

ZNeTS analyse la matrice des flux entrants et sortants, interprète et permet la visualisation des données par réseau, sous réseau, et par machines locales.

Il a plusieurs fonctions :

  • le stockage et la consultation des données de trafic (en accord avec la politique de gestion des traces du CNRS notamment),
  • le calcul, et la visualisation des statistiques horaires et journalières du trafic global, par sous-réseau, et par machine du LAN,
  • la détection d'anomalies provoquant la levée d'alerte.

Il acquiert les données du réseau depuis une ou plusieurs sources de NetFlows, ou depuis une interface réseau dédiée (port en miroir d'un switch ou interface d'un serveur de NAT, par exemple). ZNeTS peut également se comporter comme une sonde, et envoyer les données collectées (en utilisant le protocole ipfix netflow V9).

ZNeTS intègre une interface web ergonomique puissante (basée sur le framework Dojo). Les alertes peuvent être envoyées par mail.

La consultation des données enregistrées permet la mise en évidence d'attaque, de virus, de DDos, de vol d'informations...

Contexte d’utilisation du logiciel

Le déploiement de ZNeTS permet l'analyse de tous les flux entrants et sortants du réseau local. Les informations recueillies sont agrégées, traitées et stockées.

L'outil, déjà déployé dans certains laboratoires CNRS, permet d'identifier des machines compromises (scans, services ouverts à l'insu de l'utilisateur, trojan, virus...), l'utilisation abusive du réseau (peer to peer, téléchargement important, ...), les attaques externes, ...