1. CheckFlow – kiire ja tasuta igakülgne sisevõrgu liikluse audit Flowmoni abil

Tere tulemast meie järgmisele minikursusele. Seekord räägime meie uuest teenusest - CheckFlow. Mis see on? Tegelikult on see lihtsalt turundusnimi võrguliikluse (nii sisemise kui ka välise) tasuta auditi jaoks. Audit ise viiakse läbi sellise suurepärase tööriistaga nagu Flowmon, mida absoluutselt iga ettevõte saab 30 päeva jooksul tasuta kasutada. Kuid ma kinnitan teile, et pärast esimest testimistundi hakkate saama väärtuslikku teavet oma võrgu kohta. Lisaks on see teave väärtuslik võrguadministraatoriteleJa turvameestele. Noh, arutame, mis see teave on ja mis on selle väärtus (artikli lõpus on, nagu tavaliselt, videoõpetus).

Siinkohal teeme väikese kõrvalepõike. Olen lihtsalt kindel, et paljud inimesed mõtlevad praegu: "Kuidas see erineb Check Pointi turvakontroll? Meie tellijad ilmselt teavad, mis see on (me nägime selle nimel palju vaeva) :) Ärge kiirustage järeldustega, sest õppetunni edenedes loksub kõik paika.

Mida saab võrguadministraator selle auditi abil kontrollida:

• Võrguliikluse analüüs — kuidas kanaleid laaditakse, milliseid protokolle kasutatakse, millised serverid või kasutajad tarbivad kõige rohkem liiklust.
• Võrgu viivitused ja kaotused - teie teenuste keskmine reageerimisaeg, kadude olemasolu kõigis teie kanalites (pudelikaela leidmise võimalus).
• Kasutaja liikluse analüüs — kasutajaliikluse põhjalik analüüs. Liiklusmahud, kasutatud rakendused, probleemid korporatiivteenustega töötamisel.
• Rakenduse toimivuse hindamine — ettevõtte rakenduste tööprobleemide põhjuste väljaselgitamine (võrguviivitused, teenuste, andmebaaside, rakenduste reageerimisaeg).
• SLA jälgimine — tuvastab ja teatab automaatselt kriitilistest viivitustest ja kadudest, kui kasutate avalikke veebirakendusi reaalse liikluse põhjal.
• Otsige võrguanomaaliaid — DNS/DHCP võltsimine, silmused, valed DHCP-serverid, anomaalne DNS/SMTP liiklus ja palju muud.
• Probleemid konfiguratsioonidega — ebaseadusliku kasutaja- või serveriliikluse tuvastamine, mis võib viidata lülitite või tulemüüride valedele seadistustele.
• Põhjalik aruanne — üksikasjalik aruanne teie IT-infrastruktuuri seisukorra kohta, mis võimaldab teil planeerida töid või osta lisaseadmeid.

Mida infoturbespetsialist saab kontrollida:

• Viiruslik aktiivsus — tuvastab käitumisanalüüsi põhjal võrgusisese viirusliikluse, sealhulgas tundmatu pahavara (0-päevane).
• Lunavara levitamine — võimalus tuvastada lunavara, isegi kui see levib naaberarvutite vahel oma segmendist lahkumata.
• Ebanormaalne tegevus — kasutajate, serverite, rakenduste, ICMP/DNS-tunnelite ebatavaline liiklus. Tõeliste või potentsiaalsete ohtude tuvastamine.
• Võrgurünnakud — pordi skaneerimine, brute-force rünnakud, DoS, DDoS, liikluse pealtkuulamine (MITM).
• Ettevõtte andmete leke — ettevõtte failiserveritest ettevõtte andmete ebatavalise allalaadimise (või üleslaadimise) tuvastamine.
• Volitamata seadmed — ettevõtte võrku ühendatud ebaseaduslike seadmete tuvastamine (tootja ja operatsioonisüsteemi kindlaksmääramine).
• Soovimatud rakendused — keelatud rakenduste kasutamine võrgus (Bittorent, TeamViewer, VPN, Anonymisers jne).
• Krüptokaevarid ja robotvõrgud — kontrollige, kas võrku pole nakatunud seadmeid, mis ühendavad tuntud C&C serveritega.

Aruandlus

Auditi tulemuste põhjal näete kogu analüütikat Flowmoni armatuurlaudadel või PDF-aruannetes. Allpool on mõned näited.

Üldine liiklusanalüüs

Kohandatud armatuurlaud

Ebanormaalne tegevus

Tuvastatud seadmed

Tüüpiline testimisskeem

Stsenaarium nr 1 - üks kontor

Peamine omadus on see, et saate analüüsida nii välist kui ka sisemist liiklust, mida võrgu perimeetri kaitseseadmed (NGFW, IPS, DPI jne) ei analüüsi.

Stsenaarium nr 2 - mitu kontorit

Videoõpetus

Kokkuvõte

CheckFlow audit on suurepärane võimalus IT/IS-juhtidele:

1. Tuvastage oma IT infrastruktuuri praegused ja võimalikud probleemid;
2. Avastada probleeme infoturbe ja olemasolevate turvameetmete tõhususega;
3. Selgitada välja põhiprobleem ärirakenduste (võrguosa, serveriosa, tarkvara) töös ja selle lahendamise eest vastutajad;
4. Vähendab oluliselt IT infrastruktuuri probleemide tõrkeotsingu aega;
5. Põhjendage vajadust laiendada kanaleid, serveri võimsust või täiendavalt osta kaitsevahendeid.

Soovitan lugeda ka meie eelmist artiklit - 9 tüüpilist võrguprobleemi, mida saab tuvastada NetFlow analüüsi abil (kasutades näiteks Flowmoni).
Kui olete selle teema vastu huvitatud, siis jääge lainele (Telegramm, Facebook, VK, TS lahenduste ajaveeb, Yandex.Zen).

Küsitluses saavad osaleda ainult registreerunud kasutajad. Logi sissepalun.

Kas kasutate NetFlow/sFlow/jFlow/IPFIX analüsaatoreid?

• 55,6%jah 5

• 11,1%Ei, aga kavatsen kasutada 1

• 33,3%Ei 3

9 kasutajat hääletas. 1 kasutaja jäi erapooletuks.

Allikas: www.habr.com