🥇1. CheckFlow - Ներքին ցանցի տրաֆիկի արագ և անվճար համապարփակ աուդիտ Flowmon |-ի միջոցով ProHoster

Բարի գալուստ մեր հաջորդ մինի դասընթաց: Այս անգամ կխոսենք մեր նոր ծառայության մասին՝ CheckFlow. Ինչ է դա? Իրականում սա պարզապես շուկայավարման անուն է ցանցային տրաֆիկի անվճար աուդիտի համար (ինչպես ներքին, այնպես էլ արտաքին): Աուդիտն ինքնին իրականացվում է այնպիսի հրաշալի գործիքի միջոցով, ինչպիսին Ֆլոումոն, որից կարող է օգտվել բացարձակապես ցանկացած ընկերություն՝ անվճար, 30 օր։ Բայց, վստահեցնում եմ, որ թեստավորման առաջին ժամերից հետո դուք կսկսեք արժեքավոր տեղեկություններ ստանալ ձեր ցանցի մասին։ Ավելին, այս տեղեկատվությունը արժեքավոր կլինի, քանի որ ցանցի ադմինիստրատորների համարԻսկ անվտանգության աշխատակիցների համար. Դե, եկեք քննարկենք, թե ինչ է այս տեղեկատվությունը և որն է դրա արժեքը (Հոդվածի վերջում, ինչպես միշտ, կա վիդեո ձեռնարկ):

Այստեղ մի փոքր շեղում անենք. Ես պարզապես վստահ եմ, որ շատերն այժմ մտածում են. «Ինչո՞վ է սա տարբերվում Check Point Security CheckUP? Մեր բաժանորդները հավանաբար գիտեն, թե ինչ է սա (մենք շատ ջանք ենք ծախսել դրա վրա) :) Մի շտապեք եզրակացություններ անել, քանի որ դասը առաջ է ընթանում, ամեն ինչ իր տեղը կընկնի:

Ինչ կարող է ստուգել ցանցի ադմինիստրատորը՝ օգտագործելով այս աուդիտը.

Ցանցային տրաֆիկի վերլուծություն — ինչպես են բեռնվում ալիքները, ինչ արձանագրություններ են օգտագործվում, որ սերվերները կամ օգտվողներն են սպառում ամենաշատ տրաֆիկը:
Ցանցի ուշացումներ և կորուստներ — Ձեր ծառայությունների միջին արձագանքման ժամանակը, ձեր բոլոր ալիքների վրա կորուստների առկայությունը (խոչընդոտ գտնելու ունակություն):
Օգտագործողի տրաֆիկի վերլուծություն - օգտագործողների տրաֆիկի համապարփակ վերլուծություն: Երթևեկության ծավալներ, օգտագործվող հավելվածներ, կորպորատիվ ծառայությունների հետ աշխատելու խնդիրներ։
Оценка работы приложений — բացահայտել կորպորատիվ հավելվածների շահագործման հետ կապված խնդիրների պատճառները (ցանցային ուշացումներ, ծառայությունների արձագանքման ժամանակ, տվյալների բազաներ, հավելվածներ):
SLA մոնիտորինգ — ավտոմատ կերպով հայտնաբերում և հայտնում է կարևոր ուշացումներ և կորուստներ, երբ օգտագործում եք ձեր հանրային վեբ հավելվածները՝ հիմնված իրական տրաֆիկի վրա:
Ցանցի անոմալիաների որոնում — DNS/DHCP կեղծում, հանգույցներ, կեղծ DHCP սերվերներ, անոմալ DNS/SMTP տրաֆիկ և շատ ավելին:
Խնդիրներ կոնֆիգուրացիաների հետ — ապօրինի օգտագործողի կամ սերվերի տրաֆիկի հայտնաբերում, որը կարող է ցույց տալ անջատիչների կամ firewalls-ի սխալ կարգավորումները:
Համապարփակ զեկույց — մանրամասն հաշվետվություն ձեր ՏՏ ենթակառուցվածքի վիճակի մասին, որը թույլ է տալիս պլանավորել աշխատանքը կամ ձեռք բերել լրացուցիչ սարքավորումներ:

Ինչ կարող է ստուգել տեղեկատվական անվտանգության մասնագետը.

Վիրուսային ակտիվություն — выявляет вирусный трафик внутри сети, в том числе неизвестных зловредов (0-day) на основе поведенческого анализа.
Փրկագինների բաշխում — փրկագին հայտնաբերելու ունակություն, նույնիսկ եթե այն տարածվում է հարևան համակարգիչների միջև՝ առանց իր հատվածից դուրս գալու:
Աննորմալ գործունեություն — օգտագործողների, սերվերների, հավելվածների աննորմալ տրաֆիկ, ICMP/DNS թունելավորում: Իրական կամ հնարավոր սպառնալիքների բացահայտում:
Ցանցային հարձակումներ — նավահանգիստների սկանավորում, բիրտ ուժային հարձակումներ, DoS, DDoS, երթևեկության խափանում (MITM):
Կորպորատիվ տվյալների արտահոսք — ընկերության ֆայլերի սերվերներից կորպորատիվ տվյալների աննորմալ ներբեռնման (կամ վերբեռնման) հայտնաբերում:
Չթույլատրված սարքեր — կորպորատիվ ցանցին միացված անօրինական սարքերի հայտնաբերում (արտադրողի և օպերացիոն համակարգի որոշում):
Անցանկալի հավելվածներ — ցանցի ներսում արգելված հավելվածների օգտագործումը (Bittorent, TeamViewer, VPN, Anonymizers և այլն):
Cryptominers և Botnets — ցանցի ստուգում վարակված սարքերի համար, որոնք միանում են հայտնի C&C սերվերներին:

Հաշվետվություն

Ելնելով աուդիտի արդյունքներից՝ դուք կկարողանաք տեսնել բոլոր վերլուծությունները Flowmon-ի վահանակների վրա կամ PDF հաշվետվություններում: Ստորև բերված են մի քանի օրինակներ:

Ընդհանուր տրաֆիկի վերլուծություն

Պատվերով վահանակ

Աննորմալ գործունեություն

Հայտնաբերված սարքեր

Տիպիկ փորձարկման սխեմա

Սցենար թիվ 1 - մեկ գրասենյակ

Հիմնական առանձնահատկությունն այն է, որ դուք կարող եք վերլուծել ինչպես արտաքին, այնպես էլ ներքին երթևեկությունը, որը չի վերլուծվում ցանցի պարագծի պաշտպանության սարքերի կողմից (NGFW, IPS, DPI և այլն):

Սցենար թիվ 2 - մի քանի գրասենյակներ

Վիդեո ձեռնարկ

Ամփոփում

CheckFlow աուդիտը հիանալի հնարավորություն է IT/IS մենեջերների համար.

Բացահայտեք ձեր ՏՏ ենթակառուցվածքում առկա և հնարավոր խնդիրները.
Հայտնաբերել տեղեկատվական անվտանգության հետ կապված խնդիրները և առկա անվտանգության միջոցառումների արդյունավետությունը.
Բացահայտել բիզնես հավելվածների շահագործման հիմնական խնդիրը (ցանցային մաս, սերվերի մաս, ծրագրակազմ) և դրա լուծման համար պատասխանատուներին.
Զգալիորեն կրճատել ՏՏ ենթակառուցվածքում խնդիրների վերացման ժամանակը.
Հիմնավորել ալիքների, սերվերի հզորության կամ պաշտպանական սարքավորումների լրացուցիչ գնման անհրաժեշտությունը:

Ես նաև խորհուրդ եմ տալիս կարդալ մեր նախորդ հոդվածը. 9 տիպիկ ցանցային խնդիրներ, որոնք կարելի է հայտնաբերել NetFlow վերլուծության միջոցով (օգտագործելով Flowmon-ը որպես օրինակ).
Եթե ձեզ հետաքրքրում է այս թեման, ապա հետևեք (Telegram, facebook, VK, TS Solution բլոգ, Yandex.Zen).

Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ Մուտք գործել, խնդրում եմ:

Օգտագործո՞ւմ եք NetFlow/sFlow/jFlow/IPFIX անալիզատորներ:

55,6%Այո 5
11,1%Ոչ, բայց ես նախատեսում եմ օգտագործել 1
33,3%No3

Քվեարկել է 9 օգտատեր։ 1 օգտատեր ձեռնպահ է մնացել։

Source: www.habr.com

1. CheckFlow - արագ և անվճար ներքին ցանցի տրաֆիկի համապարփակ աուդիտ Flowmon-ի միջոցով