Repérer les scans "lents" avec NtopNG.
SI vous stockez les données de flux dans une base Mysql avec une certaine durée il est possible de repérer les scans de ports, même lents, de manière simple à l'aide d'un ordre SQL simple.
Note : cette description "date" un peu et une version plus récente est disponible ici.
NtopNG intercepte et stocke des tas de données sur tous les événements réseau traités, l'exploitation de ces données permet, outre quelques statistiques, de repérer des événements liés à la sécurité.
J'ai décidé de voir un peu quelles informations on peut tirer de l'enregistrement des flux réalisé par NTOPNG dans la base Mysql.
A ce jour un peu plus de 77 millions de rangs dont plus de 42 millions ont une origine externe à mon réseau, plus de 460000 adresses IP différentes figurent dans la base.
Je ne cite cette migration mineure que parcequ'elle apporte une fonctionnalité supplémentaire, au moins que je n'avais par remarquée auparavant !
Cette nouvelle fonction proposée est un "chat" qui vous ouvre un petit écran et vous permet d'échanger avec un autre correspondant connecté sur le service.
Plugin NtopNG pour Grafana.
Tiens, j'ai reçu un mail de Zimbra me signalant la présence d'une nouvelle version 8.8.5 et conseillant d'effectuer la mise à jour.
D'abord : sauvegarde du disque de la Machine Virtuelle, dd du disque brut + gzip vers un répertoire de sauvegarde, quand même #10Go.
Après téléchargement de la version pour Ubuntu 14.04 et détarage dans un répertoire de travail on lance l'inévitable "./install.sh".
Note 2022 : je suis passé directement de Ubuntu 14.04 sur 20.04, mais c'est aussi pénible que le changement de machine, il faut tout installer puis transporter les comptes et leur contenu, c'est assez long ....
J'utilise maintenant Zimbra depuis quelques années et j'ai donc du "upgrader" régulièrement pour rester dans la course.
Quelques articles sur des bases de données.Ce "livre" ne prétend pas être exhaustif mais couvre la plupart des bases utilisées ...