1. CheckFlow - brza i besplatna sveobuhvatna revizija internog mrežnog prometa pomoću Flowmona

Dobrodošli na naš sljedeći mini tečaj. Ovaj put ćemo govoriti o našoj novoj usluzi - Provjerite protok. Što je? Zapravo, ovo je samo marketinški naziv za besplatnu reviziju mrežnog prometa (internog i eksternog). Sama revizija provodi se pomoću tako divnog alata kao što je Flowmon, koji apsolutno svaka tvrtka može koristiti, besplatno, 30 dana. Ali, uvjeravam vas da ćete nakon prvih sati testiranja početi dobivati ​​vrijedne informacije o vašoj mreži. Štoviše, ove će informacije biti vrijedne jer za mrežne administratoreI za zaštitare. Pa, razgovarajmo o tome što su te informacije i koja je njihova vrijednost (Na kraju članka, kao i obično, nalazi se video vodič).

Evo, napravimo malu digresiju. Samo sam siguran da mnogi ljudi sada misle: "Kako je ovo drugačije od Sigurnosna provjera sigurnosne točke CheckUP? Naši pretplatnici vjerojatno znaju što je to (uložili smo puno truda u ovo) :) Nemojte žuriti sa zaključcima, kako lekcija bude napredovala, sve će doći na svoje mjesto.

Što mrežni administrator može provjeriti pomoću ove revizije:

• Analitika mrežnog prometa — kako su kanali opterećeni, koji se protokoli koriste, koji poslužitelji ili korisnici troše najveću količinu prometa.
• Mrežna kašnjenja i gubici — prosječno vrijeme odziva vaših usluga, prisutnost gubitaka na svim vašim kanalima (mogućnost pronalaska uskog grla).
• Analitika korisničkog prometa — sveobuhvatna analiza prometa korisnika. Količina prometa, korištene aplikacije, problemi u radu s korporativnim uslugama.
• Evaluacija izvedbe aplikacije — utvrđivanje uzroka problema u radu korporativnih aplikacija (mrežna kašnjenja, vrijeme odziva usluga, baza podataka, aplikacija).
• SLA praćenje — automatski detektira i prijavljuje kritična kašnjenja i gubitke prilikom korištenja vaših javnih web aplikacija na temelju stvarnog prometa.
• Potražite mrežne anomalije — DNS/DHCP spoofing, petlje, lažni DHCP poslužitelji, nepravilan DNS/SMTP promet i još mnogo toga.
• Problemi s konfiguracijama — otkrivanje nelegitimnog prometa korisnika ili poslužitelja, što može ukazivati ​​na pogrešne postavke prekidača ili vatrozida.
• Sveobuhvatno izvješće — detaljno izvješće o stanju vaše IT infrastrukture, što vam omogućuje planiranje rada ili kupnju dodatne opreme.

Što stručnjak za informacijsku sigurnost može provjeriti:

• Virusna aktivnost — otkriva virusni promet unutar mreže, uključujući nepoznati zlonamjerni softver (0 dana) na temelju analize ponašanja.
• Distribucija ransomwarea — sposobnost otkrivanja ransomwarea, čak i ako se širi između susjednih računala bez napuštanja svog segmenta.
• Abnormalna aktivnost — nenormalan promet korisnika, poslužitelja, aplikacija, ICMP/DNS tuneliranja. Identificiranje stvarnih ili potencijalnih prijetnji.
• Mrežni napadi — skeniranje portova, brute-force napadi, DoS, DDoS, presretanje prometa (MITM).
• Curenje korporativnih podataka — otkrivanje abnormalnog preuzimanja (ili učitavanja) korporativnih podataka s poslužitelja datoteka tvrtke.
• Neovlašteni uređaji — otkrivanje nelegitimnih uređaja spojenih na korporativnu mrežu (utvrđivanje proizvođača i operativnog sustava).
• Neželjene aplikacije — korištenje zabranjenih aplikacija unutar mreže (Bittorent, TeamViewer, VPN, Anonymizers itd.).
• Kriptokopači i botneti — provjera mreže za zaražene uređaje koji se povezuju s poznatim C&C poslužiteljima.

Izvještavanje

Na temelju rezultata revizije, moći ćete vidjeti svu analitiku na Flowmon nadzornim pločama ili u PDF izvješćima. Dolje je nekoliko primjera.

Opća prometna analitika

Prilagođena nadzorna ploča

Abnormalna aktivnost

Otkriveni uređaji

Tipična shema ispitivanja

Scenarij #1 - jedan ured

Ključna značajka je da možete analizirati vanjski i unutarnji promet koji nije analiziran uređajima za zaštitu perimetra mreže (NGFW, IPS, DPI, itd.).

Scenarij #2 - nekoliko ureda

Video tutorial

Rezime

CheckFlow revizija izvrsna je prilika za IT/IS menadžere:

1. Identificirati trenutne i potencijalne probleme u vašoj IT infrastrukturi;
2. Otkriti probleme s informacijskom sigurnošću i učinkovitošću postojećih sigurnosnih mjera;
3. Identificirati ključni problem u radu poslovnih aplikacija (mrežni dio, poslužiteljski dio, softver) i odgovorne za njegovo rješavanje;
4. Značajno smanjiti vrijeme za rješavanje problema u IT infrastrukturi;
5. Opravdajte potrebu proširenja kanala, kapaciteta servera ili dodatne nabave zaštitne opreme.

Također preporučujem čitanje našeg prethodnog članka - 9 tipičnih mrežnih problema koji se mogu otkriti pomoću NetFlow analize (na primjeru Flowmona).
Ako vas zanima ova tema, ostanite s nama (Telegram, Facebook, VK, Blog o TS rješenjima, Yandex.Zen).

U anketi mogu sudjelovati samo registrirani korisnici. Prijaviti se, molim.

Koristite li NetFlow/sFlow/jFlow/IPFIX analizatore?

• 55,6%Da5

• 11,1%Ne, ali planiram koristiti1

• 33,3%br.3

Glasovalo je 9 korisnika. 1 korisnik je bio suzdržan.

Izvor: www.habr.com