🥇1. CheckFlow - Barne-sareko trafikoaren ikuskaritza integral azkarra eta doakoa Flowmon

Ongi etorri gure hurrengo mini-ikastarora. Oraingoan gure zerbitzu berriari buruz hitz egingo dugu - CheckFlow. Zer da hau? Izan ere, hau sareko trafikoaren (barneko zein kanpoko) doako ikuskaritzarako marketin-izen bat besterik ez da. Auditoria bera bezalako tresna zoragarri bat erabiliz egiten da Flowmon, edozein enpresak erabil dezakeena, doan, 30 egunez. Baina, ziurtatzen dizut probak egin eta gero, zure sareari buruzko informazio baliotsua jasotzen hasiko zarela. Gainera, informazio hori baliotsua izango da sareko administratzaileentzatEta segurtasun zaindarientzat. Tira, eztabaida dezagun zer den informazio hori eta zein den bere balioa (Artikuluaren amaieran, ohi bezala, bideo-tutorial bat dago).

Hemen, digresio txiki bat egin dezagun. Ziur nago jende askok pentsatzen ari dela orain: “Zer ezberdina da hau Check Point Security CheckUP? Gure harpidedunek ziurrenik badakite zer den hau (horretan esfortzu handia egin dugu) :) Ez ibili ondorioak ateratzera, ikasgaia aurrera doan heinean dena bere tokian geratuko da.

Sareko administratzaileak ikuskaritza hau erabiliz egiaztatu dezakeena:

Sareko trafikoaren analitika — nola kargatzen diren kanalak, zer protokolo erabiltzen diren, zein zerbitzari edo erabiltzailek kontsumitzen duten trafiko kopuru handiena.
Sareko atzerapenak eta galerak — Zure zerbitzuen batez besteko erantzun-denbora, zure kanal guztietan galerak egotea (botila-lepoa aurkitzeko gaitasuna).
Erabiltzaileen trafikoaren analitika — Erabiltzaileen trafikoaren azterketa integrala. Trafiko bolumenak, erabilitako aplikazioak, zerbitzu korporatiboekin lan egiteko arazoak.
Aplikazioaren errendimenduaren ebaluazioa — Aplikazio korporatiboen funtzionamenduan dauden arazoen zergatia identifikatzea (sare-atzerapenak, zerbitzuen erantzun-denbora, datu-baseak, aplikazioak).
SLAren jarraipena — automatikoki detektatzen eta salatzen ditu atzerapen eta galer larriak zure web aplikazio publikoak trafiko errealean oinarrituta erabiltzean.
Bilatu sareko anomaliak — DNS/DHCP spoofing, begiztak, DHCP zerbitzari faltsuak, DNS/SMTP trafiko anomalia eta askoz gehiago.
Konfigurazioekin arazoak — Erabiltzaile edo zerbitzariaren trafiko legitimoa hautematea, eta horrek etengailuen edo suebakien ezarpen okerrak adieraz ditzake.
Txosten integrala — Zure IT azpiegituren egoerari buruzko txosten zehatza, lana planifikatzeko edo ekipamendu osagarriak erosteko aukera emanez.

Informazioaren segurtasuneko espezialista batek egiaztatu dezakeena:

Jarduera birikoa — Sareko trafiko birikoa detektatzen du, malware ezezaguna barne (0 egunekoa) jokabidearen analisian oinarrituta.
Ransomwarearen banaketa — ransomwarea detektatzeko gaitasuna, nahiz eta aldameneko ordenagailuen artean zabaldu bere segmentutik irten gabe.
Jarduera anormala — erabiltzaileen, zerbitzarien, aplikazioen, ICMP/DNS tunelen trafiko anormala. Benetako edo balizko mehatxuak identifikatzea.
Sareko erasoak — Portuen eskaneatzea, indar gordineko erasoak, DoS, DDoS, trafikoa atzematea (MITM).
Korporazioko datuen ihesa — Enpresaren fitxategi-zerbitzarietatik deskargatu (edo kargatu) ezohiko datuen detekzioa.
Baimenik gabeko gailuak — sare korporatibora konektatuta dauden gailu ez-legitimoak hautematea (fabrikatzailea eta sistema eragilea zehaztea).
Nahi ez diren aplikazioak — Sarean debekatutako aplikazioak erabiltzea (Bittorent, TeamViewer, VPN, Anonymizers, etab.).
Cryptominers eta botnetak — sarean egiaztatzea C&C zerbitzari ezagunetara konektatzen diren kutsatutako gailuak ikusteko.

Txostenak ematea

Ikuskaritzaren emaitzetan oinarrituta, analisi guztiak ikusi ahal izango dituzu Flowmon paneletan edo PDF txostenetan. Jarraian adibide batzuk daude.

Trafikoaren analisi orokorra

Arbel pertsonalizatua

Jarduera anormala

Detektatutako gailuak

Proba eskema tipikoa

#1 eszenatokia - Bulego bat

Funtsezko ezaugarria da sareko perimetroen babeserako gailuek (NGFW, IPS, DPI, etab.) aztertzen ez duten kanpoko zein barneko trafikoa azter dezakezula.

#2 eszenatokia - Hainbat bulego

Bideo ikasgaia

Laburpena

CheckFlow auditoria aukera bikaina da IT/IS kudeatzaileentzat:

Identifikatu egungo eta balizko arazoak zure IT azpiegituran;
Informazioaren segurtasunarekin eta dauden segurtasun neurrien eraginkortasunari buruzko arazoak hautematea;
Enpresa-aplikazioen funtzionamenduaren funtsezko arazoa identifikatzea (sare-atala, zerbitzari-zatia, softwarea) eta hori konpontzeko arduradunak;
IT azpiegituran arazoak konpontzeko denbora nabarmen murriztea;
Kanalak, zerbitzari-ahalmena edo babes-ekipoen erosketa osagarria zabaldu beharra justifikatzea.

Gure aurreko artikulua irakurtzea ere gomendatzen dut - NetFlow azterketa erabiliz detekta daitezkeen sare-arazo tipiko 9 (adibide gisa Flowmon erabiliz).
Gai hau interesatzen bazaizu, egon adi (Telegrama, Facebook, VK, TS Solution Bloga, Yandex.Zen).

Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. Hasi saioa, mesedez.

NetFlow/sFlow/jFlow/IPFIX analizatzaileak erabiltzen al dituzu?

55,6%Bai5
11,1%Ez, baina erabiltzeko asmoa dut1
33,3%3. zenbakia

9 erabiltzailek eman dute botoa. Erabiltzaile 1 abstenitu egin zen.

Iturria: www.habr.com

1. CheckFlow - Flowmon erabiliz barne-sareko trafikoaren ikuskaritza integral azkarra eta doakoa