1. CheckFlow: auditoría completa rápida e gratuíta do tráfico interno da rede usando Flowmon

Benvidos ao noso seguinte minicurso. Esta vez falaremos do noso novo servizo... CheckFlowQue é? Esencialmente, é só un nome comercial para unha auditoría de tráfico de rede gratuíta (tanto interna como externa). A propia auditoría realízase mediante unha ferramenta marabillosa chamada Flowmon, que absolutamente calquera empresa pode usar, de balde, durante 30 días. Pero asegúroche que despois das primeiras horas de proba, comezarás a recibir información valiosa sobre a túa rede. E esta información será valiosa tanto para administradores de redeE para os "tipoes de seguridade"Ben, imos falar sobre que é esta información e por que é valiosa (como de costume, hai un vídeo tutorial ao final do artigo).

Fagamos unha pequena digresión. Seguro que moitos de vós estaredes pensando agora: "En que se diferencia isto de Comprobación de seguridade de Check Point?". Os nosos subscritores probablemente saben o que é isto (investimos moito esforzo nisto) 🙂 Non te apresures a sacar conclusións; todo encaixará a medida que avance a lección.

O que pode comprobar un administrador de rede con esta auditoría:

• Análise de tráfico de rede — con que se cargan os canais, que protocolos se usan, que servidores ou usuarios consomen a maior cantidade de tráfico.
• Atrasos e perdas de rede — o tempo medio de resposta dos seus servizos, a presenza de perdas en todos os seus canais (a capacidade de atopar un colo de botella).
• Análise do tráfico de usuarios — unha análise exhaustiva do tráfico de usuarios. Volumes de tráfico, aplicacións utilizadas e problemas cos servizos corporativos.
• Avaliación do rendemento da aplicación — identificar as causas dos problemas no funcionamento das aplicacións corporativas (atrasos na rede, tempos de resposta dos servizos, bases de datos, aplicacións).
• Monitorización de SLA — detecta e informa automaticamente de atrasos e perdas críticas ao usar as túas aplicacións web públicas baseándose no tráfico real.
• Busca de anomalías de rede — Suplantación de DNS/DHCP, bucles, servidores DHCP falsos, tráfico DNS/SMTP anormal e moito máis.
• Problemas de configuración — detección de tráfico ilexítimo de usuarios ou servidores, o que pode indicar unha configuración incorrecta do conmutador ou do cortafuegos.
• Informe completo — un informe detallado sobre o estado da súa infraestrutura informática, que lle permite planificar o traballo ou mercar equipos adicionais.

O que pode comprobar un especialista en seguridade da información:

• Actividade viral — detecta o tráfico de virus dentro da rede, incluído software malicioso descoñecido (día 0) baseado na análise do comportamento.
• Distribución de ransomware — a capacidade de detectar ransomware mesmo se se propaga entre ordenadores veciños sen saír do seu propio segmento.
• Actividade anómala — tráfico anormal de usuarios, servidores e aplicacións, tunelización ICMP/DNS. Detección de ameazas reais ou potenciais.
• Ataques de rede — dixitalización de portos, ataques de forza bruta, DoS, DDoS, interceptación de tráfico (MITM).
• Fuga de datos corporativos — detección de descargas (ou subidas) anormais de datos corporativos desde os servidores de ficheiros da empresa.
• Dispositivos non autorizados — detección de dispositivos ilexítimos conectados á rede corporativa (determinación do fabricante e do sistema operativo).
• Aplicacións non desexadas — uso de aplicacións prohibidas dentro da rede (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
• Criptomineiros e botnets — comprobación da rede para detectar dispositivos infectados que se conecten a servidores de control e control coñecidos.

Informes

En función dos resultados da auditoría, poderás ver todas as análises nos paneis de Flowmon ou en informes en PDF. A continuación móstranse algúns exemplos.

Análise xeral de tráfico

Panel de control personalizado

Actividade anómala

Dispositivos detectados

Esquema de probas típico

Escenario #1 - unha oficina

Unha característica clave é que podes analizar tanto o tráfico externo como o interno que non está cuberto polos dispositivos de seguridade perimetral da rede (NGFW, IPS, DPI, etc.).

Escenario #2 - varias oficinas

Vídeo tutorial

Resumo

A auditoría CheckFlow é unha gran oportunidade para os xestores de TI/SI:

1. Identificar os problemas actuais e potenciais na súa infraestrutura de TI;
2. Identificar problemas de seguridade da información e a eficacia das ferramentas de protección existentes;
3. Identificar o problema clave no funcionamento das aplicacións empresariais (rede, servidor, software) e os responsables da súa solución;
4. Reducir significativamente o tempo que leva solucionar problemas na infraestrutura de TI;
5. Xustificar a necesidade de ampliar os canais, a capacidade dos servidores ou mercar equipos de seguridade adicionais.

Tamén recomendo ler o noso artigo anterior - 9 problemas de rede comúns que podes detectar coa análise de NetFlow (usando Flowmon).
Se che interesa este tema, permanece atento (Telegrama, Facebook, VK, Blog de solucións TS, Yandex.Zen).

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Empregas analizadores NetFlow/sFlow/jFlow/IPFIX?

• 55,6%Si 5

• 11,1%Non, pero teño pensado usalo.

• 33,3%No 3

Votaron 9 usuarios. 1 usuario abstívose.

Fonte: www.habr.com