1. CheckFlow - audit complet rapide et gratuit du trafic réseau interne à l'aide de Flowmon

Bienvenue à notre prochain mini-cours. Cette fois, nous parlerons de notre nouveau service - Flux de contrôle. Ce que c'est? En fait, il ne s'agit que d'un nom marketing pour un audit gratuit du trafic réseau (interne et externe). L'audit lui-même est réalisé à l'aide d'un outil aussi merveilleux que Fluxmon, que toute entreprise peut utiliser gratuitement pendant 30 jours. Mais je vous assure qu'après les premières heures de test, vous commencerez à recevoir des informations précieuses sur votre réseau. De plus, ces informations seront précieuses car pour les administrateurs réseauEt pour les agents de sécurité. Eh bien, discutons de ce qu'est cette information et de sa valeur (à la fin de l'article, comme d'habitude, il y a un didacticiel vidéo).

Ici, faisons une petite digression. Je suis juste sûr que beaucoup de gens se demandent maintenant : « En quoi est-ce différent de Contrôle de sécurité Check Point? Nos abonnés savent probablement ce que c'est (nous avons consacré beaucoup d'efforts à cela) :) Ne vous précipitez pas pour tirer des conclusions, au fur et à mesure que la leçon avance, tout se mettra en place.

Ce qu'un administrateur réseau peut vérifier à l'aide de cet audit :

• Analyse du trafic réseau — comment les canaux sont chargés, quels protocoles sont utilisés, quels serveurs ou utilisateurs consomment le plus de trafic.
• Retards et pertes de réseau — le temps de réponse moyen de vos services, la présence de pertes sur tous vos canaux (la capacité de trouver un goulot d'étranglement).
• Analyse du trafic utilisateur — analyse complète du trafic des utilisateurs. Volumes de trafic, applications utilisées, problèmes de travail avec les services d'entreprise.
• Évaluation des performances des applications — identifier la cause des problèmes de fonctionnement des applications d'entreprise (retards du réseau, temps de réponse des services, bases de données, applications).
• Surveillance des SLA — détecte et signale automatiquement les retards et pertes critiques lors de l'utilisation de vos applications Web publiques en fonction du trafic réel.
• Rechercher des anomalies réseau — Usurpation DNS/DHCP, boucles, faux serveurs DHCP, trafic DNS/SMTP anormal et bien plus encore.
• Problèmes de configuration — détection d'un trafic utilisateur ou serveur illégitime, qui peut indiquer des paramètres incorrects des commutateurs ou des pare-feu.
• Rapport détaillé — un rapport détaillé sur l'état de votre infrastructure informatique, vous permettant de planifier des travaux ou d'acheter du matériel supplémentaire.

Ce qu'un spécialiste de la sécurité de l'information peut vérifier :

• Activité virale — détecte le trafic viral au sein du réseau, y compris les logiciels malveillants inconnus (0 jour) sur la base d'une analyse comportementale.
• Distribution de rançongiciels — la capacité de détecter les ransomwares, même s'ils se propagent entre ordinateurs voisins sans quitter leur propre segment.
• Activité anormale — trafic anormal des utilisateurs, des serveurs, des applications, tunneling ICMP/DNS. Identifier les menaces réelles ou potentielles.
• Attaques réseau — analyse de port, attaques par force brute, DoS, DDoS, interception de trafic (MITM).
• Fuite de données d'entreprise — détection de téléchargements (ou chargement) anormaux de données d'entreprise à partir des serveurs de fichiers de l'entreprise.
• Appareils non autorisés — détection des appareils illégitimes connectés au réseau d'entreprise (détermination du fabricant et du système d'exploitation).
• Applications indésirables — utilisation d'applications interdites au sein du réseau (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
• Cryptomineurs et botnets — vérifier le réseau pour les appareils infectés se connectant à des serveurs C&C connus.

Rapports

Sur la base des résultats de l'audit, vous pourrez voir toutes les analyses sur les tableaux de bord Flowmon ou dans des rapports PDF. Voici quelques exemples.

Analyse générale du trafic

Tableau de bord personnalisé

Activité anormale

Appareils détectés

Schéma de test typique

Scénario 1 - un bureau

La caractéristique clé est que vous pouvez analyser à la fois le trafic externe et interne qui n'est pas analysé par les dispositifs de protection du périmètre réseau (NGFW, IPS, DPI, etc.).

Scénario 2 - plusieurs bureaux

Tutoriel vidéo

Résumé

L’audit CheckFlow est une excellente opportunité pour les responsables IT/IS :

1. Identifier les problèmes actuels et potentiels de votre infrastructure informatique ;
2. Détecter les problèmes de sécurité de l'information et l'efficacité des mesures de sécurité existantes ;
3. Identifier le problème clé du fonctionnement des applications métiers (partie réseau, partie serveur, logiciel) et les responsables de sa résolution ;
4. Réduire considérablement le temps nécessaire au dépannage des problèmes dans l'infrastructure informatique ;
5. Justifiez la nécessité d’étendre les canaux, la capacité du serveur ou l’achat supplémentaire d’équipements de protection.

Je recommande également de lire notre article précédent - 9 problèmes de réseau typiques qui peuvent être détectés à l'aide de l'analyse NetFlow (en utilisant Flowmon comme exemple).
Si ce sujet vous intéresse, restez à l'écoute (Telegram, Facebook, VK, Blog de la solution TS, Yandex.Zen).

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Utilisez-vous des analyseurs NetFlow/sFlow/jFlow/IPFIX ?

• 55,6 %Oui5

• 11,1 %Non, mais je prévois d'utiliser1

• 33,3 %Non3

9 utilisateurs ont voté. 1 utilisateur s'est abstenu.

Source: habr.com