Analyse et audit réseau

Avant de protéger un réseau, il faut le connaître. Quels ports sont ouverts ? Quels services répondent ? Quelles données transitent ? Les outils d’analyse réseau répondent à ces questions, que ce soit pour un audit de sécurité, un diagnostic de panne ou une investigation après incident.

Pourquoi analyser le réseau ?

L’analyse réseau intervient à plusieurs étapes :

• Inventaire : quels serveurs, quels services, quelles versions ?
• Audit de sécurité : quels ports ne devraient pas être ouverts ?
• Diagnostic : pourquoi cette connexion échoue ?
• Investigation : que s’est-il passé lors de l’incident ?
• Pentest : quelles vulnérabilités sont exploitables ?

Sans visibilité sur le réseau, impossible de le sécuriser efficacement.

Qui est concerné ?

Profil	Usage principal
Administrateur système	Diagnostic de connectivité, inventaire des services
Ops / SRE	Troubleshooting réseau, analyse de latence
Pentester	Reconnaissance, identification des vulnérabilités
Analyste SOC	Investigation d’incidents, analyse de trafic suspect

Les outils essentiels

Scanner de ports : Nmap

Nmap identifie les hôtes actifs, les ports ouverts et les versions de services. C’est l’outil de reconnaissance par excellence, utilisé aussi bien par les administrateurs que par les pentesters.

Capture de paquets : tcpdump

tcpdump capture le trafic réseau en temps réel. Idéal pour diagnostiquer des problèmes de connectivité ou analyser des échanges entre services.

Couteau suisse : Netcat

Netcat établit des connexions TCP/UDP, teste l’ouverture de ports, transfère des fichiers. Simple mais redoutablement efficace.

Scanner de vulnérabilités : OpenVAS

OpenVAS scanne les systèmes pour identifier les vulnérabilités connues (CVE). Utile pour les audits de conformité et la gestion des correctifs.

Scénario : audit d’un nouveau serveur

Vous prenez en charge un serveur existant. Première étape : comprendre ce qui tourne dessus.

1. Nmap : scanner tous les ports pour lister les services exposés
2. tcpdump : capturer le trafic pour identifier les flux actifs
3. Netcat : tester la connectivité vers les services identifiés
4. Analyse : comparer avec ce qui devrait être exposé

Résultat : vous découvrez un service FTP oublié sur le port 21.

Pièges courants

• Scanner sans autorisation — même en interne, prévenez les équipes
• Interpréter un port filtré comme fermé — le pare-feu peut masquer un service actif
• Oublier IPv6 — les services peuvent écouter sur les deux stacks
• Capturer sans filtrer — tcpdump sur une interface chargée génère des Go de données
• Faire confiance aux bannières — elles peuvent être modifiées ou trompeuses

Outils disponibles

Nmap Scanner de ports et de services pour la reconnaissance réseau.

tcpdump Capture et analyse de paquets réseau en ligne de commande.

Netcat Outil polyvalent pour tester les connexions et transférer des données.

En préparation

Le guide OpenVAS (scanner de vulnérabilités) est en cours de rédaction.

Outils à explorer

• Wireshark — analyse graphique de captures réseau (alternative à tcpdump)
• Masscan — scanner de ports ultra-rapide pour les grands réseaux
• Nuclei — scanner de vulnérabilités basé sur des templates YAML
• Rustscan — wrapper Nmap plus rapide, écrit en Rust

À retenir

1. Connaître avant de protéger — inventoriez vos services exposés
2. Scanner régulièrement — la surface d’attaque évolue
3. Capturer avec parcimonie — filtrez pour ne garder que l’utile
4. Corréler les sources — Nmap + tcpdump + logs = vision complète
5. Documenter les résultats — un audit non documenté est un audit perdu

Liens utiles

• Sécurité réseau (pare-feux, IDS)
• Durcissement Linux
• Comprendre les menaces