1. CheckFlow - brza i besplatna sveobuhvatna revizija internog mrežnog saobraćaja koristeći Flowmon

Dobrodošli na naš sljedeći mini kurs. Ovaj put ćemo pričati o našoj novoj usluzi - CheckFlow. Šta je to? Zapravo, ovo je samo marketinški naziv za besplatnu reviziju mrežnog prometa (internog i eksternog). Sama revizija se provodi pomoću tako divnog alata kao što je Flowmon, koji apsolutno svaka kompanija može koristiti, besplatno, 30 dana. Ali, uvjeravam vas da ćete nakon prvih sati testiranja početi primati vrijedne informacije o vašoj mreži. Štaviše, ove informacije će biti vrijedne kao za mrežne administratore, i za čuvare. Pa, hajde da razgovaramo o tome koje su to informacije i koja je njihova vrijednost (na kraju članka, kao i obično, nalazi se video tutorijal).

Evo, napravimo malu digresiju. Siguran sam samo da mnogi ljudi sada razmišljaju: „Kako se ovo razlikuje od Check Point Security CheckUP? Naši pretplatnici vjerovatno znaju šta je ovo (uložili smo dosta truda na ovo) :) Ne žurite sa zaključcima, kako lekcija bude odmicala sve će doći na svoje mjesto.

Šta administrator mreže može provjeriti pomoću ove revizije:

• Analitika mrežnog saobraćaja — kako se kanali učitavaju, koji protokoli se koriste, koji serveri ili korisnici troše najveću količinu saobraćaja.
• Kašnjenja i gubici mreže — prosečno vreme odziva vaših usluga, prisustvo gubitaka na svim vašim kanalima (mogućnost pronalaženja uskog grla).
• Analitika korisničkog prometa — sveobuhvatna analiza korisničkog prometa. Obim saobraćaja, korišćene aplikacije, problemi u radu sa korporativnim servisima.
• Evaluacija performansi aplikacije — utvrđivanje uzroka problema u radu korporativnih aplikacija (mrežna kašnjenja, vrijeme odziva usluga, baze podataka, aplikacije).
• SLA monitoring — automatski otkriva i izvještava o kritičnim kašnjenjima i gubicima kada koristite vaše javne web aplikacije na osnovu stvarnog prometa.
• Potražite anomalije mreže — DNS/DHCP lažiranje, petlje, lažni DHCP serveri, anomalni DNS/SMTP saobraćaj i još mnogo toga.
• Problemi sa konfiguracijama — otkrivanje nelegitimnog korisničkog ili serverskog saobraćaja, što može ukazivati ​​na netačna podešavanja prekidača ili zaštitnog zida.
• Sveobuhvatan izvještaj — detaljan izvještaj o stanju vaše IT infrastrukture, koji vam omogućava planiranje rada ili kupovinu dodatne opreme.

Šta stručnjak za informacijsku sigurnost može provjeriti:

• Virusna aktivnost — otkriva virusni promet unutar mreže, uključujući nepoznati malver (0-dan) na osnovu analize ponašanja.
• Distribucija ransomware-a — sposobnost otkrivanja ransomwarea, čak i ako se širi između susjednih računala bez napuštanja vlastitog segmenta.
• Abnormalna aktivnost — nenormalan promet korisnika, servera, aplikacija, ICMP/DNS tuneliranje. Prepoznavanje stvarnih ili potencijalnih prijetnji.
• Mrežni napadi — skeniranje portova, brute-force napadi, DoS, DDoS, presretanje saobraćaja (MITM).
• Curenje korporativnih podataka — otkrivanje nenormalnog preuzimanja (ili otpremanja) korporativnih podataka sa servera datoteka kompanije.
• Neovlašteni uređaji — otkrivanje nelegitimnih uređaja povezanih na korporativnu mrežu (utvrđivanje proizvođača i operativnog sistema).
• Neželjene aplikacije — korištenje zabranjenih aplikacija unutar mreže (Bittorent, TeamViewer, VPN, Anonymizers, itd.).
• Cryptomineers i botnetovi — provjeravanje mreže za zaražene uređaje koji se povezuju na poznate C&C servere.

Izvještavanje

Na osnovu rezultata revizije, moći ćete vidjeti svu analitiku na Flowmon nadzornim pločama ili u PDF izvještajima. Ispod su neki primjeri.

Opća analitika saobraćaja

Prilagođena kontrolna tabla

Abnormalna aktivnost

Detektirani uređaji

Tipična šema testiranja

Scenario #1 - jedna kancelarija

Ključna karakteristika je da možete analizirati i eksterni i interni promet koji ne analiziraju uređaji za zaštitu perimetra mreže (NGFW, IPS, DPI, itd.).

Scenario #2 - nekoliko kancelarija

Video tutorial

Rezime

CheckFlow revizija je odlična prilika za IT/IS menadžere:

1. Identifikujte trenutne i potencijalne probleme u vašoj IT infrastrukturi;
2. Otkrivanje problema sa bezbednošću informacija i delotvornošću postojećih bezbednosnih mera;
3. Identificirati ključni problem u radu poslovnih aplikacija (mrežni dio, serverski dio, softver) i odgovorne za njegovo rješavanje;
4. Značajno smanjiti vrijeme za rješavanje problema u IT infrastrukturi;
5. Opravdati potrebu proširenja kanala, kapaciteta servera ili dodatne kupovine zaštitne opreme.

Takođe preporučujem da pročitate naš prethodni članak - 9 tipičnih mrežnih problema koji se mogu otkriti korištenjem NetFlow analize (koristeći Flowmon kao primjer).
Ako vas zanima ova tema, ostanite sa nama (telegram, Facebook, VK, TS Solution Blog, Yandex.Zen).

Samo registrovani korisnici mogu učestvovati u anketi. Prijavite semolim.

Da li koristite NetFlow/sFlow/jFlow/IPFIX analizatore?

• 55,6%Da5

• 11,1%Ne, ali planiram koristiti 1

• 33,3%No3

Glasalo je 9 korisnika. 1 korisnik je bio uzdržan.

izvor: www.habr.com