1. CheckFlow – schnelle und kostenlose umfassende Prüfung des internen Netzwerkverkehrs mit Flowmon

Willkommen zu unserem nächsten Minikurs. Dieses Mal werden wir über unseren neuen Service sprechen - CheckFlow. Was ist das? Tatsächlich ist dies nur ein Marketingname für eine kostenlose Prüfung des Netzwerkverkehrs (sowohl intern als auch extern). Das Audit selbst wird mit einem so wunderbaren Tool wie durchgeführt Flowmon, das absolut jedes Unternehmen 30 Tage lang kostenlos nutzen kann. Aber ich versichere Ihnen, dass Sie bereits nach den ersten Teststunden wertvolle Informationen über Ihr Netzwerk erhalten werden. Darüber hinaus werden diese Informationen wertvoll sein für NetzwerkadministratorenUnd für Sicherheitspersonal. Lassen Sie uns besprechen, was diese Informationen sind und welchen Wert sie haben (am Ende des Artikels gibt es wie üblich ein Video-Tutorial).

Machen wir hier einen kleinen Exkurs. Ich bin mir nur sicher, dass viele Leute jetzt denken: „Wie unterscheidet sich das von?“ Check Point Security CheckUP? Unsere Abonnenten wissen wahrscheinlich, was das ist (wir haben uns viel Mühe gegeben) :) Ziehen Sie keine voreiligen Schlüsse, im Laufe der Lektion wird sich alles von selbst ergeben.

Was ein Netzwerkadministrator mit diesem Audit überprüfen kann:

• Analyse des Netzwerkverkehrs – wie die Kanäle ausgelastet sind, welche Protokolle verwendet werden, welche Server oder Benutzer den größten Datenverkehr verbrauchen.
• Netzwerkverzögerungen und -verluste — durchschnittliche Reaktionszeit Ihrer Dienste, das Vorhandensein von Verlusten auf allen Ihren Kanälen (die Fähigkeit, einen Engpass zu finden).
• Analyse des Benutzerverkehrs — umfassende Analyse des Benutzerverkehrs. Verkehrsaufkommen, genutzte Anwendungen, Probleme bei der Arbeit mit Unternehmensdiensten.
• Bewertung der Anwendungsleistung — Ermittlung der Ursache von Problemen beim Betrieb von Unternehmensanwendungen (Netzwerkverzögerungen, Reaktionszeit von Diensten, Datenbanken, Anwendungen).
• SLA-Überwachung – erkennt und meldet automatisch kritische Verzögerungen und Verluste bei der Nutzung Ihrer öffentlichen Webanwendungen basierend auf dem tatsächlichen Datenverkehr.
• Suchen Sie nach Netzwerkanomalien – DNS/DHCP-Spoofing, Schleifen, falsche DHCP-Server, anomaler DNS/SMTP-Verkehr und vieles mehr.
• Probleme mit Konfigurationen — Erkennung von unzulässigem Benutzer- oder Serververkehr, der auf falsche Einstellungen von Switches oder Firewalls hinweisen kann.
• Umfassenden Bericht — ein detaillierter Bericht über den Zustand Ihrer IT-Infrastruktur, der es Ihnen ermöglicht, Arbeiten zu planen oder zusätzliche Ausrüstung zu kaufen.

Was ein Informationssicherheitsspezialist überprüfen kann:

• Virale Aktivität – erkennt viralen Datenverkehr innerhalb des Netzwerks, einschließlich unbekannter Malware (0 Tage), basierend auf einer Verhaltensanalyse.
• Verbreitung von Ransomware — die Fähigkeit, Ransomware zu erkennen, selbst wenn sie sich zwischen benachbarten Computern ausbreitet, ohne ihr eigenes Segment zu verlassen.
• Abnormale Aktivität – ungewöhnlicher Datenverkehr von Benutzern, Servern, Anwendungen, ICMP/DNS-Tunneling. Identifizieren realer oder potenzieller Bedrohungen.
• Netzwerkangriffe — Port-Scanning, Brute-Force-Angriffe, DoS, DDoS, Traffic Interception (MITM).
• Unternehmensdatenleck — Erkennung abnormaler Downloads (oder Uploads) von Unternehmensdaten von Unternehmensdateiservern.
• Nicht autorisierte Geräte — Erkennung unzulässiger Geräte, die mit dem Unternehmensnetzwerk verbunden sind (Bestimmung des Herstellers und des Betriebssystems).
• Unerwünschte Anwendungen — Verwendung verbotener Anwendungen innerhalb des Netzwerks (Bittorent, TeamViewer, VPN, Anonymisierer usw.).
• Kryptominer und Botnets – Überprüfen des Netzwerks auf infizierte Geräte, die eine Verbindung zu bekannten C&C-Servern herstellen.

Berichterstattung

Basierend auf den Audit-Ergebnissen können Sie alle Analysen auf Flowmon-Dashboards oder in PDF-Berichten sehen. Nachfolgend finden Sie einige Beispiele.

Allgemeine Verkehrsanalyse

Benutzerdefiniertes Dashboard

Abnormale Aktivität

Erkannte Geräte

Typisches Testschema

Szenario 1 - ein Büro

Das Hauptmerkmal besteht darin, dass Sie sowohl externen als auch internen Datenverkehr analysieren können, der nicht von Netzwerkperimeterschutzgeräten (NGFW, IPS, DPI usw.) analysiert wird.

Szenario 2 - mehrere Büros

Video-Tutorial

Zusammenfassung

Das CheckFlow-Audit ist eine hervorragende Gelegenheit für IT-/IS-Manager:

1. Identifizieren Sie aktuelle und potenzielle Probleme in Ihrer IT-Infrastruktur;
2. Erkennen Sie Probleme mit der Informationssicherheit und der Wirksamkeit bestehender Sicherheitsmaßnahmen;
3. Identifizieren Sie das Hauptproblem beim Betrieb von Geschäftsanwendungen (Netzwerkteil, Serverteil, Software) und die für die Lösung verantwortlichen Personen.
4. Reduzieren Sie die Zeit zur Behebung von Problemen in der IT-Infrastruktur erheblich.
5. Begründen Sie die Notwendigkeit einer Erweiterung der Kanäle, der Serverkapazität oder der zusätzlichen Anschaffung von Schutzausrüstung.

Ich empfehle auch, unseren vorherigen Artikel zu lesen – 9 typische Netzwerkprobleme, die mithilfe der NetFlow-Analyse erkannt werden können (am Beispiel von Flowmon).
Wenn Sie sich für dieses Thema interessieren, dann bleiben Sie dran (Telegram, Facebook, VK, TS-Lösungsblog, Yandex.Zen).

An der Umfrage können nur registrierte Benutzer teilnehmen. Einloggenbitte.

Verwenden Sie NetFlow/sFlow/jFlow/IPFIX-Analysegeräte?

• 55,6%Ja5

• 11,1%Nein, aber ich habe vor,1 zu verwenden

• 33,3%Nr. 3

9 Benutzer haben abgestimmt. 1 Nutzer enthielten sich der Stimme.

Source: habr.com