🥇1. CheckFlow - Sgrùdadh coileanta luath is an-asgaidh air trafaic lìonra a-staigh a’ cleachdadh Flowmon

Fàilte don ath chùrsa beag againn. An turas seo bruidhnidh sinn mun t-seirbheis ùr againn - CheckFlow. Dè th' ann? Gu dearbh, is e dìreach ainm margaidheachd a tha seo airson sgrùdadh an-asgaidh air trafaic lìonra (an dà chuid a-staigh agus a-muigh). Tha an sgrùdadh fhèin air a dhèanamh a’ cleachdadh inneal cho math ri Flowmon, a dh'fhaodas companaidh sam bith a chleachdadh, an-asgaidh, airson 30 latha. Ach, tha mi a’ dearbhadh dhut, às deidh a’ chiad uairean de dheuchainn, gun tòisich thu a’ faighinn fiosrachadh luachmhor mun lìonra agad. A bharrachd air an sin, bidh am fiosrachadh seo luachmhor mar airson luchd-rianachd lìonra, agus airson geàrdan tèarainteachd. Uill, bruidhnidh sinn dè a th ’anns an fhiosrachadh seo agus dè an luach a th’ ann (Aig deireadh an artaigil, mar as àbhaist, tha oideachadh bhidio).

An seo, dèanamaid digression beag. Tha mi dìreach cinnteach gu bheil mòran dhaoine a-nis a’ smaoineachadh: “Ciamar a tha seo eadar-dhealaichte bho Thoir sùil air Tèarainteachd Point CheckUP? Is dòcha gu bheil fios aig ar luchd-aontachaidh dè a th’ ann (chuir sinn seachad tòrr oidhirp air an seo) :) Na dèan cabhag gu co-dhùnaidhean, mar a thèid an leasan air adhart tuitidh a h-uile càil na àite.

Na rudan as urrainn do rianadair lìonra a sgrùdadh leis an sgrùdadh seo:

Mion-sgrùdadh trafaic lìonraidh - mar a tha na seanalan air an luchdachadh, dè na protocolaidhean a thathas a’ cleachdadh, dè na frithealaichean no luchd-cleachdaidh a bhios ag ithe an ìre as motha de thrafaig.
Dàil lìonra agus call - ùine freagairt cuibheasach do sheirbheisean, làthaireachd call air na seanailean agad gu lèir (an comas cnap-starra a lorg).
Mion-sgrùdadh trafaic luchd-cleachdaidh - mion-sgrùdadh farsaing air trafaic luchd-cleachdaidh. Meud trafaic, tagraidhean air an cleachdadh, duilgheadasan ann a bhith ag obair le seirbheisean corporra.
Measadh coileanadh tagraidh - comharrachadh adhbhar dhuilgheadasan ann an gnìomhachd thagraidhean corporra (dàil lìonra, ùine freagairt sheirbheisean, stòran-dàta, tagraidhean).
Sgrùdadh SLA - a’ lorg agus ag aithris gu fèin-ghluasadach air dàil is call èiginneach nuair a bhios tu a’ cleachdadh na tagraidhean lìn poblach agad stèidhichte air fìor thrafaig.
Lorg airson neo-riaghailteachdan lìonra - spoofing DNS / DHCP, lùban, frithealaichean DHCP meallta, trafaic DNS / SMTP neo-riaghailteach agus mòran a bharrachd.
Duilgheadasan le rèiteachadh - lorg trafaic cleachdaiche no frithealaiche dìolain, a dh’ fhaodadh a bhith a’ nochdadh suidheachadh ceàrr air suidsichean no ballachan teine.
Aithisg coileanta - aithisg mhionaideach air staid do bhun-structair IT, a’ toirt cothrom dhut obair a phlanadh no uidheamachd a bharrachd a cheannach.

Dè as urrainn do eòlaiche tèarainteachd fiosrachaidh sgrùdadh:

Gnìomhachd bhìorasach - a’ lorg trafaic bhìorasach taobh a-staigh an lìonra, a’ toirt a-steach malware neo-aithnichte (0-latha) stèidhichte air mion-sgrùdadh giùlain.
Sgaoileadh ransomware - an comas ransomware a lorg, eadhon ged a sgaoileas e eadar coimpiutairean faisg air làimh gun a bhith a’ fàgail a roinn fhèin.
Gnìomh Neo-àbhaisteach - trafaic neo-àbhaisteach de luchd-cleachdaidh, frithealaichean, tagraidhean, tunail ICMP/DNS. Comharrachadh bagairtean fìor no comasach.
Lìonra ionnsaighean - sganadh puirt, ionnsaighean feachd brùideil, DoS, DDoS, eadar-ghabhail trafaic (MITM).
Sgaoileadh dàta corporra - lorg luchdachadh sìos neo-àbhaisteach (no luchdachadh suas) de dhàta corporra bho luchd-frithealaidh faidhle companaidh.
Innealan gun chead - lorg innealan dìolain ceangailte ris an lìonra corporra (a ’dearbhadh an neach-dèanamh agus an siostam obrachaidh).
Iarrtasan gun iarraidh - cleachdadh thagraidhean toirmisgte taobh a-staigh an lìonra (Bittorent, TeamViewer, VPN, Anonymizers, msaa).
Cryptominers agus botnets - a’ sgrùdadh an lìonra airson innealan gabhaltach a tha a’ ceangal ri frithealaichean C&C aithnichte.

Ag aithris

Stèidhichte air toraidhean an sgrùdaidh, chì thu a h-uile mion-sgrùdadh air deas-bhòrd Flowmon no ann an aithisgean PDF. Gu h-ìosal tha beagan eisimpleirean.

Mion-sgrùdadh trafaic coitcheann

Deas-bhòrd gnàthaichte

Gnìomh Neo-àbhaisteach

Innealan air an lorg

Sgeama deuchainn àbhaisteach

Sealladh #1 - aon oifis

Is e am prìomh fheart gun urrainn dhut trafaic a-muigh agus a-staigh a sgrùdadh nach eil air a sgrùdadh le innealan dìon iomaill lìonra (NGFW, IPS, DPI, msaa).

Sealladh #2 - grunn oifisean

Oideachadh bhidio

Geàrr-chunntas

Tha sgrùdadh CheckFlow na chothrom math dha manaidsearan IT/IS:

Comharraich duilgheadasan làithreach agus comasach anns a’ bhun-structar IT agad;
Lorg duilgheadasan le tèarainteachd fiosrachaidh agus èifeachdas ceumannan tèarainteachd a tha ann mar-thà;
Comharraich am prìomh dhuilgheadas ann an gnìomhachd thagraidhean gnìomhachais (pàirt lìonra, pàirt frithealaiche, bathar-bog) agus an fheadhainn le uallach airson a fhuasgladh;
Lùghdaich gu mòr an ùine airson duilgheadasan fhuasgladh sa bhun-structar IT;
Fìreanachadh an fheum air seanalan a leudachadh, comas frithealaiche no ceannach uidheamachd dìon a bharrachd.

Tha mi cuideachd a’ moladh an artaigil roimhe againn a leughadh - 9 duilgheadasan lìonra àbhaisteach a lorgar a’ cleachdadh mion-sgrùdadh NetFlow (a’ cleachdadh Flowmon mar eisimpleir).
Ma tha ùidh agad anns a’ chuspair seo, cùm sùil air (teileagram, Facebook, VK, Blog Fuasgladh TS, Yandex.Zen).

Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. Soidhnig a-steach, mas e do thoil e.

Am bi thu a’ cleachdadh sgrùdairean NetFlow/sFlow/jFlow/IPFIX?

55,6%Seadh5
11,1%Chan eil, ach tha mi an dùil 1 a chleachdadh
33,3%Chan eil 3

Bhòt 9 neach-cleachdaidh. Cha do stad 1 neach-cleachdaidh.

Source: www.habr.com

1. CheckFlow - sgrùdadh coileanta luath agus an-asgaidh air trafaic lìonra a-staigh a’ cleachdadh Flowmon