Q : Il y a peu, nous avons reçu une gentille lettre d'une université éloignée se plaignant que notre réseau envoie trop de « pings » à leur serveur NTP public. L'adresse à l'origine du trafic est, en fait, notre pare-feu et, avec 500 utilisateurs sur notre LAN privé, je
Régler le traffic NTP
ne
sais pas comment commencer à détecter la source de ce trafic à
l’intérieur de notre réseau.
Je me demande aussi si l’université n’exagère pas un peu.
Après tout, je ne peux même pas remarquer mon trafic sur mon
LAN. Je suis presque tenté d’ignorer la lettre mais j’ai préféré vous
en parler d’abord.
R : J’apprécie de servir de caution pour ce dilemme techno-éthique. Pour commencer,
énonçons une règle de base que j’applique personnellement : en
matière de pings, envoyez-en aux autres autant que vous voudriez qu’ils vous
en envoient. (Ou, dit autrement : Traitez les autres comme vous aimeriez
qu’ils vous traitent.) Puis considérez que vous n’êtes peut-être pas le seul réseau
à envoyer des pings au malheureux serveur NTP de l’université. Il y a
peut-être des centaines, voire des milliers de réseaux qui envoient sans le savoir
des paquets à ce puits de connaissances, entraînant une grave attaque
par déni de service (DoS, denial of service). Enfin, songez à votre propre protection.
Qu’arrivera-t-il si la ou les machines sur votre réseau générant ce trafic
est victime d’un horrible ver qui n’attend que l’occasion de se répandre
sur les autres machines de votre entreprise, perturbant le trafic, effaçant des
fichiers et faisant effondrer les actions de votre société, vous jetant à la rue ?
Franchement, je ne vous conseille pas de traiter cela par le mépris. Vous
devez traquer le ou les coupables et l’isoler jusqu’à ce que la situation soit
éclaircie.
Heureusement, votre pare-feu est l’outil idéal pour cela. Ajoutez une
règle à votre pare-feu lui ordonnant de bloquer le trafic du LAN vers l’adresse
IP de destination que l’université vous a fournie. Puis attendez.
Après une heure ou deux, consultez les journaux d’événements de votre
pare-feu. Vous devriez y voir du trafic bloqué allant de l’intérieur de votre
LAN vers l’adresse IP de l’université. Si vous ne voyez pas ce trafic, il se peut
que votre adresse IP ait été imitée sur les pings qui atteignent le serveur de
l’université. Dans ce cas, vous devez le leur signaler. Si le trafic émane bien
de votre réseau, déconnectez les machines en question et déterminez quel
programme génère le trafic.
Téléchargez gratuitement cette ressource
TOP 5 Modernisation & Sécurité des Postes Clients
Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
