jump to navigation

Votre entreprise envoie-t’elle des spams ? En cas de doute … 10 mai 2011

Posted by frnetworker in Diagnostic Réseau, OmniPeek.
Tags: , , , ,
trackback

Une des grandes problématiques pour les administrateurs réseau est de pouvoir contrôler et vérifier le fonctionnement du réseau et la bonne application de la politique de sécurité de l’entreprise.

Votre serveur de mails vous fournit probablement des outils permettant d’empêcher ou de limiter l’envoi de spams depuis votre entreprise … mais avez vous vérifié que d’autres ordinateurs n’envoient pas, volontairement ou non, des mails directement ?

OmniPeek fournit aux ingénieurs la possibilité de capturer et d’analyser le trafic. Voyons comment la mise en place d’un filtre permet d’automatiser le contrôle.

Ce filtre va vous permettre de détecter simplement les adresses IP des postes qui envoient des emails via SMTP hors de votre entreprise.

Dans un premier temps, il vous faut positionner l’analyseur au niveau de votre routeur internet (sur votre LAN). Plusieurs techniques existent entre la mise en place d’un TAP* et le port mirroring**.

Puis, il vous suffira de créer un filtre nommé « Contrôle SMTP*** ».

Ce filtre doit comporter 2 instructions :

  1. Tous les paquets SMTP
  2. Sauf les paquets adressés ou reçus par votre serveur de mail.

Il suffit alors soit :

  • De lancer une capture avec le filtre actif,
  • D’appliquer le filtre à une capture déjà réalisée,
  • D’utiliser ce filtre comme trigger (déclancheur) de capture en laissant l’analyseur ‘à l’affût’

Voyons par le détail la mise en place du filtre :

Ajouter un nouveau filtre

Cliquer sur le bouton Insert

Cliquer alors sur le bouton Protocole… pour aller sélectionner SMTP

Sélectionner le protocole SMTP

Sélectionner le protocole SMTP

Indiquer ensuite l’adresse IP (ou le nom) de votre serveur de Mails

Indiquer l'adresse ou le nom du serveur de Mail

Indiquer l'adresse ou le nom du serveur de Mail

En l’état, le filtre ne capturera que les paquets SMTP du serveur de mail, ce qui n’est pas le but recherché, il faut donc switcher en mode ‘Filtres avancés’ afin d’indiquer à OmniPeek ‘Sauf cette adresse’.

Sélectionner les filtres Avancés

Sélectionner les filtres Avancés : Passer de Simple à Advanced

Cliquer droit sur la case qui représente l’adresse IP (ou le nom) du serveur de mails et ajouter NOT

Ajouter NOT pour ignorer les trames du serveur de mails

Ajouter NOT pour ignorer les trames du serveur de mails

Bravo, votre filtre est prêt !

Filtre SNMP opérationnel

Le filtre est prêt à l'usage, il suffit alors de lancer une capture

Une fois la capture lancée, il suffit de se rendre dans l’onglet Nodes … Tout ordinateur qui apparaitra sera ‘fautif’ puisqu’il enverra des mails hors de l’entreprise sans que vous en soyez informé.

A vous de terminer l’enquête …

OmniPeek est un puissant outil d’analyse et de diagnostic de réseau dont NetWalker assure la distribution en France.


* Tap : dispositif de réplication passif du signal réseau.
** les avantages et inconvénients des deux solutions sont présentés ici : Port Mirroring ou Taps
*** SMTP : Simple Mail Transfert Protocole
Publicités

Commentaires»

No comments yet — be the first.

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :