1. CheckFlow - rychlý a bezplatný komplexní audit interního síťového provozu pomocí Flowmon

Vítejte v našem dalším mini kurzu. Tentokrát budeme hovořit o naší nové službě - CheckFlow. co to je? Ve skutečnosti je to jen marketingový název pro bezplatný audit síťového provozu (interního i externího). Samotný audit se provádí pomocí tak skvělého nástroje, jako je Flowmon, kterou může po dobu 30 dnů bezplatně využívat úplně každá společnost. Ale ujišťuji vás, že po prvních hodinách testování začnete dostávat cenné informace o vaší síti. Navíc budou tyto informace cenné pro správce sítěA pro ostrahu. Nuže, pojďme si probrat, co to je za informace a jakou má hodnotu (Na konci článku je jako obvykle videonávod).

Zde uděláme malou odbočku. Jsem si jist, že mnoho lidí si nyní myslí: „Jak se to liší od Check Point Security CheckUP? Naši předplatitelé pravděpodobně vědí, co to je (vynaložili jsme na to hodně úsilí) :) Nespěchejte se závěry, jak lekce postupuje, vše zapadne na své místo.

Co může správce sítě zkontrolovat pomocí tohoto auditu:

• Analýza síťového provozu — jak jsou kanály načítány, jaké protokoly se používají, které servery nebo uživatelé spotřebovávají největší objem provozu.
• Zpoždění a ztráty sítě — průměrná doba odezvy vašich služeb, přítomnost ztrát na všech vašich kanálech (schopnost najít úzké místo).
• Analýza návštěvnosti uživatelů — komplexní analýza uživatelského provozu. Objemy provozu, používané aplikace, problémy při práci s podnikovými službami.
• Hodnocení výkonu aplikace — identifikace příčin problémů při provozu podnikových aplikací (zpoždění sítě, doba odezvy služeb, databází, aplikací).
• monitorování SLA — automaticky detekuje a hlásí kritická zpoždění a ztráty při používání vašich veřejných webových aplikací na základě skutečného provozu.
• Hledejte síťové anomálie — DNS/DHCP spoofing, smyčky, falešné DHCP servery, anomální DNS/SMTP provoz a mnoho dalšího.
• Problémy s konfiguracemi — detekce nelegitimního provozu uživatele nebo serveru, což může indikovat nesprávné nastavení přepínačů nebo firewallů.
• Komplexní zpráva — podrobná zpráva o stavu vaší IT infrastruktury, která vám umožní plánovat práci nebo nákup dalšího vybavení.

Co může specialista na informační bezpečnost zkontrolovat:

• Virová aktivita — detekuje virový provoz v síti, včetně neznámého malwaru (0 dní) na základě analýzy chování.
• Distribuce ransomwaru — schopnost detekovat ransomware, i když se šíří mezi sousedními počítači, aniž by opustil svůj vlastní segment.
• Abnormální aktivita — abnormální provoz uživatelů, serverů, aplikací, tunelování ICMP/DNS. Identifikace skutečných nebo potenciálních hrozeb.
• Síťové útoky — skenování portů, útoky hrubou silou, DoS, DDoS, zachycování provozu (MITM).
• Únik firemních dat — detekce abnormálního stahování (nebo odesílání) podnikových dat z podnikových souborových serverů.
• Neautorizovaná zařízení — detekce nelegitimních zařízení připojených k podnikové síti (určující výrobce a operační systém).
• Nežádoucí aplikace — používání zakázaných aplikací v rámci sítě (Bittorent, TeamViewer, VPN, anonymizéry atd.).
• Kryptominy a botnety — kontrola sítě na přítomnost infikovaných zařízení připojených ke známým serverům C&C.

Hlášení

Na základě výsledků auditu budete moci vidět všechny analýzy na dashboardech Flowmon nebo ve zprávách ve formátu PDF. Níže jsou uvedeny některé příklady.

Obecná dopravní analytika

Vlastní palubní deska

Abnormální aktivita

Detekovaná zařízení

Typické testovací schéma

Scénář č. 1 - jedna kancelář

Klíčovou vlastností je, že můžete analyzovat externí i interní provoz, který není analyzován zařízeními ochrany perimetru sítě (NGFW, IPS, DPI atd.).

Scénář č. 2 - několik kanceláří

Výukový program pro video

Shrnutí

CheckFlow audit je vynikající příležitostí pro manažery IT/IS:

1. Identifikujte aktuální a potenciální problémy ve vaší IT infrastruktuře;
2. Odhalit problémy s informační bezpečností a účinností stávajících bezpečnostních opatření;
3. Identifikovat klíčový problém v provozu podnikových aplikací (síťová část, serverová část, software) a osoby odpovědné za jeho řešení;
4. Výrazně zkrátit dobu potřebnou k řešení problémů v infrastruktuře IT;
5. Zdůvodněte potřebu rozšíření kanálů, kapacity serverů nebo dalšího nákupu ochranného vybavení.

Také doporučuji přečíst si náš předchozí článek - 9 typických problémů se sítí, které lze detekovat pomocí analýzy NetFlow (jako příklad používáme Flowmon).
Pokud vás toto téma zajímá, zůstaňte naladěni (Telegram, facebook, VK, Blog řešení TS, Yandex.Zen).

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Používáte analyzátory NetFlow/sFlow/jFlow/IPFIX?

• 55,6%Ano 5

• 11,1%Ne, ale plánuji použít 1

• 33,3%No3

Hlasovalo 9 uživatelů. 1 uživatel se zdržel hlasování.

Zdroj: www.habr.com