1. CheckFlow - rapida kaj senpaga ampleksa revizio de interna rettrafiko uzante Flowmon

Bonvenon al nia sekva minikurso. Ĉi-foje ni parolos pri nia nova servo - CheckFlow. Kio ĝi estas? Fakte, ĉi tio estas nur merkata nomo por senpaga revizio de rettrafiko (kaj interna kaj ekstera). La revizio mem efektivigas per tia mirinda ilo kiel Flowmon, kiun absolute ĉiu kompanio povas uzi, senpage, dum 30 tagoj. Sed mi certigas al vi, ke post la unuaj horoj da testado, vi komencos ricevi valorajn informojn pri via reto. Krome, ĉi tiu informo estos valora kiel por retaj administrantoj, kaj por sekuristoj. Nu, ni diskutu, kio estas ĉi tiu informo kaj kio estas ĝia valoro (Ĉe la fino de la artikolo, kiel kutime, estas videolernilo).

Ĉi tie, ni faru malgrandan deturniĝon. Mi estas nur certa, ke multaj homoj nun pensas: "Kiel tio diferencas de Check Point Security CheckUP? Niaj abonantoj verŝajne scias, kio ĉi tio estas (ni multe klopodis pri tio) :) Ne rapidu al konkludoj, ĉar la leciono progresos ĉio enkadriĝos.

Kion reta administranto povas kontroli uzante ĉi tiun revizion:

• Analizo pri retaj trafikoj — kiel la kanaloj estas ŝarĝitaj, kiaj protokoloj estas uzataj, kiuj serviloj aŭ uzantoj konsumas la plej grandan kvanton da trafiko.
• Retaj malfruoj kaj perdoj — averaĝa respondotempo de viaj servoj, la ĉeesto de perdoj sur ĉiuj viaj kanaloj (la kapablo trovi botelon).
• Uzanta trafikanalitiko - ampleksa analizo de uzanttrafiko. Trafikvolumoj, aplikoj uzataj, problemoj pri laborado kun kompaniaj servoj.
• Takso de rendimento de aplikaĵo — identigi la kaŭzon de problemoj en funkciado de kompaniaj aplikaĵoj (retaj malfruoj, respondtempo de servoj, datumbazoj, aplikoj).
• SLA-monitorado — aŭtomate detektas kaj raportas kritikajn prokrastojn kaj perdojn kiam vi uzas viajn publikajn retejojn bazitajn sur reala trafiko.
• Serĉu retajn anomaliojn — DNS/DHCP-falsigo, bukloj, falsaj DHCP-serviloj, anomalia DNS/SMTP-trafiko kaj multe pli.
• Problemoj kun agordoj — detekto de ekstergeedza uzanta aŭ servila trafiko, kiu povas indiki malĝustajn agordojn de ŝaltiloj aŭ fajroŝirmiloj.
• Ampleksa raporto — detala raporto pri la stato de via IT-infrastrukturo, permesante al vi plani laboron aŭ aĉeti pliajn ekipaĵojn.

Kion specialisto pri informa sekureco povas kontroli:

• Virala agado — detektas virusan trafikon ene de la reto, inkluzive de nekonata malware (0-tago) bazita sur konduta analizo.
• Distribuado de ransomware — la kapablo detekti ransomware, eĉ se ĝi disvastiĝas inter najbaraj komputiloj sen forlasi sian propran segmenton.
• Nenormala Agado — eksternorma trafiko de uzantoj, serviloj, aplikoj, ICMP/DNS-tunelado. Identigante realajn aŭ eblajn minacojn.
• Retaj atakoj — havenskanado, krudfortaj atakoj, DoS, DDoS, trafika interkapto (MITM).
• Flugo de korporaciaj datumoj — detekto de nenormala elŝutado (aŭ alŝutado) de kompaniaj datumoj de firmaaj dosierserviloj.
• Neaŭtorizitaj aparatoj — detekto de ekstergeedzaj aparatoj konektitaj al la kompania reto (determinante la fabrikanton kaj operaciumon).
• Nedezirataj aplikoj — uzo de malpermesitaj aplikoj ene de la reto (Bittorent, TeamViewer, VPN, Anonymizers, ktp.).
• Cryptominers kaj Botnets — kontroli la reton por infektitaj aparatoj konektitaj al konataj C&C-serviloj.

Raportado

Surbaze de la reviziaj rezultoj, vi povos vidi ĉiujn analizojn sur Flowmon-paneloj aŭ en PDF-raportoj. Malsupre estas kelkaj ekzemploj.

Ĝenerala analizo pri trafiko

Propra panelo

Nenormala Agado

Detektitaj aparatoj

Tipa testa skemo

Scenaro #1 - unu oficejo

La ĉefa funkcio estas, ke vi povas analizi eksteran kaj internan trafikon, kiu ne estas analizita de retaj perimetraj protektaj aparatoj (NGFW, IPS, DPI, ktp.).

Scenaro #2 - pluraj oficejoj

Videoleciono

Resumo

CheckFlow-revizio estas bonega ŝanco por IT/IS-administrantoj:

1. Identigu aktualajn kaj eblajn problemojn en via IT-infrastrukturo;
2. Detekti problemojn pri informa sekureco kaj la efikeco de ekzistantaj sekurecaj mezuroj;
3. Identigu la ŝlosilan problemon en la funkciado de komercaj aplikaĵoj (reta parto, servila parto, programaro) kaj la respondecajn por solvi ĝin;
4. Signife redukti la tempon por solvi problemojn en la IT-infrastrukturo;
5. Pravigu la bezonon vastigi kanalojn, servilan kapaciton aŭ plian aĉeton de protekta ekipaĵo.

Mi ankaŭ rekomendas legi nian antaŭan artikolon - 9 tipaj retaj problemoj kiuj povas esti detektitaj uzante NetFlow-analizon (uzante Flowmon kiel ekzemplon).
Se vi interesiĝas pri ĉi tiu temo, do restu agordita (Telegramo, Facebook, VK, TS Solva Blogo, Yandex.Zen).

Nur registritaj uzantoj povas partopreni la enketon. Ensaluti, bonvolu.

Ĉu vi uzas NetFlow/sFlow/jFlow/IPFIX-analizilojn?

• 55,6%Jes5

• 11,1%Ne, sed mi planas uzi1

• 33,3%No3

Voĉdonis 9 uzantoj. 1 uzanto sindetenis.

fonto: www.habr.com