🥇1. CheckFlow: auditoría completa rápida e gratuíta do tráfico interno da rede usando Flowmon

Benvido ao noso próximo mini curso. Nesta ocasión falaremos do noso novo servizo - CheckFlow. Que é? De feito, este é só un nome de mercadotecnia para unha auditoría gratuíta do tráfico da rede (tanto interno como externo). A auditoría en si realízase cunha ferramenta tan marabillosa como Flowmon, que absolutamente calquera empresa pode utilizar, de xeito gratuíto, durante 30 días. Pero, asegúroche que despois das primeiras horas de probas, comezarás a recibir información valiosa sobre a túa rede. Ademais, esta información será valiosa como para administradores de redeE para gardas de seguridade. Ben, imos comentar en que consiste esta información e cal é o seu valor (Ao final do artigo, como é habitual, hai un vídeo titorial).

Aquí, imos facer unha pequena digresión. Estou seguro de que moitas persoas están pensando agora: "En que se diferencia isto CheckUP Security CheckUP? Os nosos subscritores probablemente saben o que é isto (esforzámonos moito nisto) :) Non te apresures a sacar conclusións, a medida que avance a lección, todo irá encaixado.

O que un administrador de rede pode comprobar usando esta auditoría:

Análise de tráfico da rede — como se cargan as canles, que protocolos se utilizan, que servidores ou usuarios consomen a maior cantidade de tráfico.
Retrasos e perdas de rede — o tempo medio de resposta dos teus servizos, a presenza de perdas en todas as túas canles (a capacidade de atopar un pescozo de botella).
Análise de tráfico de usuarios — Análise exhaustiva do tráfico de usuarios. Volumes de tráfico, aplicacións utilizadas, problemas no traballo cos servizos corporativos.
Avaliación do rendemento da aplicación — identificar a causa dos problemas no funcionamento das aplicacións corporativas (retrasos de rede, tempo de resposta dos servizos, bases de datos, aplicacións).
Monitorización de SLA — detecta e informa automaticamente os atrasos e as perdas críticas ao utilizar as túas aplicacións web públicas en función do tráfico real.
Busca anomalías na rede — Suplantación de DNS/DHCP, bucles, servidores DHCP falsos, tráfico DNS/SMTP anómalo e moito máis.
Problemas coas configuracións — detección de tráfico ilexítimo de usuarios ou servidores, que pode indicar unha configuración incorrecta de interruptores ou cortalumes.
Informe exhaustivo — un informe detallado sobre o estado da súa infraestrutura de TI, que lle permite planificar o traballo ou adquirir equipos adicionais.

O que un especialista en seguridade da información pode comprobar:

Actividade viral — detecta o tráfico viral dentro da rede, incluído o malware descoñecido (día 0) en función da análise do comportamento.
Distribución de ransomware — a capacidade de detectar ransomware, aínda que se estenda entre ordenadores veciños sen saír do seu propio segmento.
Actividade anormal — tráfico anormal de usuarios, servidores, aplicacións, tunelización ICMP/DNS. Identificar ameazas reais ou potenciais.
Ataques á rede — dixitalización de portos, ataques de forza bruta, DoS, DDoS, intercepción de tráfico (MITM).
Fuga de datos corporativos — detección de descargas (ou cargas) anormais de datos corporativos dos servidores de ficheiros da empresa.
Dispositivos non autorizados — detección de dispositivos ilexítimos conectados á rede corporativa (determinación do fabricante e do sistema operativo).
Aplicacións non desexadas — uso de aplicacións prohibidas dentro da rede (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
Cryptominers e botnets — comprobando na rede se hai dispositivos infectados que se conectan a servidores C&C coñecidos.

Informes

En función dos resultados da auditoría, poderás ver todas as analíticas nos paneis de control de Flowmon ou nos informes PDF. Abaixo amósanse algúns exemplos.

Análise xeral de tráfico

Panel personalizado

Actividade anormal

Dispositivos detectados

Esquema de proba típico

Escenario #1 - unha oficina

A característica fundamental é que pode analizar tanto o tráfico externo como o interno que non é analizado polos dispositivos de protección perimetral da rede (NGFW, IPS, DPI, etc.).

Escenario #2 - varias oficinas

Video tutorial

Resumo

A auditoría CheckFlow é unha excelente oportunidade para os xestores de TI/IS:

Identifique os problemas actuais e potenciais na súa infraestrutura de TI;
Detectar problemas coa seguridade da información e a eficacia das medidas de seguridade existentes;
Identificar o problema clave no funcionamento das aplicacións empresariais (parte de rede, parte de servidor, software) e os responsables de solucionalo;
Reducir significativamente o tempo para solucionar problemas na infraestrutura de TI;
Xustificar a necesidade de ampliar as canles, a capacidade do servidor ou a compra adicional de equipos de protección.

Tamén recomendo ler o noso artigo anterior - 9 problemas típicos de rede que se poden detectar mediante a análise de NetFlow (usando Flowmon como exemplo).
Se estás interesado neste tema, estade atento (Telegrama, Facebook, VK, Blog de solucións TS, Yandex.Zen).

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

¿Utiliza analizadores NetFlow/sFlow/jFlow/IPFIX?

55,6%Si 5
11,1%Non, pero penso usar 1
33,3%No 3

Votaron 9 usuarios. 1 usuario abstívose.

Fonte: www.habr.com

1. CheckFlow: auditoría completa rápida e gratuíta do tráfico interno da rede usando Flowmon