Q : Il y a peu, nous avons reçu une gentille lettre d'une université éloignée se plaignant que notre réseau envoie trop de « pings » à leur serveur NTP public. L'adresse à l'origine du trafic est, en fait, notre pare-feu et, avec 500 utilisateurs sur notre LAN privé, je
Régler le traffic NTP
ne
sais pas comment commencer à détecter la source de ce trafic à
l’intérieur de notre réseau.
Je me demande aussi si l’université n’exagère pas un peu.
Après tout, je ne peux même pas remarquer mon trafic sur mon
LAN. Je suis presque tenté d’ignorer la lettre mais j’ai préféré vous
en parler d’abord.
R : J’apprécie de servir de caution pour ce dilemme techno-éthique. Pour commencer,
énonçons une règle de base que j’applique personnellement : en
matière de pings, envoyez-en aux autres autant que vous voudriez qu’ils vous
en envoient. (Ou, dit autrement : Traitez les autres comme vous aimeriez
qu’ils vous traitent.) Puis considérez que vous n’êtes peut-être pas le seul réseau
à envoyer des pings au malheureux serveur NTP de l’université. Il y a
peut-être des centaines, voire des milliers de réseaux qui envoient sans le savoir
des paquets à ce puits de connaissances, entraînant une grave attaque
par déni de service (DoS, denial of service). Enfin, songez à votre propre protection.
Qu’arrivera-t-il si la ou les machines sur votre réseau générant ce trafic
est victime d’un horrible ver qui n’attend que l’occasion de se répandre
sur les autres machines de votre entreprise, perturbant le trafic, effaçant des
fichiers et faisant effondrer les actions de votre société, vous jetant à la rue ?
Franchement, je ne vous conseille pas de traiter cela par le mépris. Vous
devez traquer le ou les coupables et l’isoler jusqu’à ce que la situation soit
éclaircie.
Heureusement, votre pare-feu est l’outil idéal pour cela. Ajoutez une
règle à votre pare-feu lui ordonnant de bloquer le trafic du LAN vers l’adresse
IP de destination que l’université vous a fournie. Puis attendez.
Après une heure ou deux, consultez les journaux d’événements de votre
pare-feu. Vous devriez y voir du trafic bloqué allant de l’intérieur de votre
LAN vers l’adresse IP de l’université. Si vous ne voyez pas ce trafic, il se peut
que votre adresse IP ait été imitée sur les pings qui atteignent le serveur de
l’université. Dans ce cas, vous devez le leur signaler. Si le trafic émane bien
de votre réseau, déconnectez les machines en question et déterminez quel
programme génère le trafic.
Téléchargez cette ressource
Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
- Gestion du cycle de vie des outils de cyberdéfense : un levier de performance pour les entreprises
