L’éditeur Wild Packets commercialise la gamme logicielle d’analyseurs réseau Omni3 v2. Le package testé par notre laboratoire se composait de deux sondes, Omni DNX Engine, et d’une console, OmniPeek. Outre le
décodage des trames, l’outil peut fournir certains diagnostics concernant, par exemple, une rupture de connexion. La solution peut être administrée à distance et permet de programmer des captures.De plus, différents administrateurs peuvent gérer une même sonde afin d’envoyer l’information au responsable d’un secteur donné de l’entreprise comme la partie messagerie ou Internet. Plusieurs consoles peuvent se connecter sur une
même sonde et une sonde peut capturer des trames sur plusieurs segments du réseau.
Installation : peut mieux faire
Notre plate-forme de test se compose d’une première station sur laquelle est installée une sonde et d’une seconde sur laquelle se trouvent une sonde et une console. Deux postes avec Windows et un poste avec Linux génèrent le trafic
désiré. Si l’aide fournie par l’éditeur est assez riche et bien illustrée, la solution n’est pas toujours aisée à paramétrer : l’interface est entièrement en anglais et aucune aide contextuelle n’est proposée. Pour paramétrer les sondes, il est
nécessaire de se connecter sur chacune d’elle, ce qui est assez contraignant.Cependant, une fonction d’importation de configuration est proposée pour simplifier le paramétrage. Interrogé, le constructeur nous a affirmé qu’un module supplémentaire, l’Omni Management Console, permettait notamment de mettre à
jour l’ensemble des sondes. L’accès au décodage des trames est assez simple et sa lecture des plus classiques : en trois parties, avec l’en-tête, le décodage et le contenu en hexadécimal. Les barres de navigation permettent ensuite de décoder
les autres paquets.
Performances : une détection efficace hors VoIP
Pour mettre en place les captures, il suffit de sélectionner l’interface réseau et de lui associer un filtre issu des 45 filtres prédéfinis fournis, voire d’en créer un par protocole, un par adresse IP, etc. Un certain nombre de
formats d’export sont proposés dont, un format propriétaire, EtherPeek, Ascii décodé ou non, HTML, etc. Pour évaluer la pertinence de l’analyse, nous avons mis en place un trafic multiprotocole (iSCSI, NetMeeting, Skype, Wi-Fi en clair, Wi-Fi
chiffré WEP) sur notre plate-forme et vérifié que les trames jouées étaient reconnues par la solution.Les trames iSCSI et Wi-Fi sont ici identifiées sans problème, l’identification des flux sans fil chiffrés WEP étant accessible après saisie de la clé. À l’opposé, nos flux de VoIP (Skype et NetMeeting) sont, eux, étrangement ignorés.
Un phénomène que le constructeur explique en précisant que l’analyse de la VoIP était, dans la version 2 testée, encore limitée aux paquets utilisant le protocole SIP (Session Initiation Protocol). Pourtant, la documentation fait bien état d’une
détection des protocoles MGCP, SIP, RTCP, G723, H.323, H.225, G711, etc.Pour évaluer la détection des incidents, nous avons branché une clé USB sur une station, effectué un téléchargement depuis une autre station et débranché la clé. La solution repère le dysfonctionnement par des alertes issues du
gestionnaire de logs. Les adresses source et destination, les ports et les services sont aussi précisés. Un onglet fournit une vue synthétique de l’ensemble ainsi que le protocole CIFS utilisé lors du transfert. Un certain nombre d’hypothèses sont
alors formulées à l’administrateur pour expliquer l’événement. Cependant, l’explication détaillée est destinée à des utilisateurs avertis.
Notre avis : réservée aux grandes structures dotées de sérieuses compétences
La solution Omni3 v2 se révèle très riche sur le plan des possibilités d’analyse grâce, notamment, à son aptitude à décoder le trafic avec statistiques en temps réel et à prendre en charge pêle-mêle les réseaux
de type Gigabit, WAN et Wi-Fi. Destinée aux spécialistes réseaux, la solution rebutera les non-spécialistes par son ergonomie.De plus, la gestion d’un véritable parc de sondes nécessite le module optionnel Omni Management Console (6 900 euros HT), qui alourdit sensiblement la facture finale. La version 3 devrait remédier en partie aux limites de la
version testée. Elle intègre notamment un module d’analyse VoIP plus étoffé.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.