1. CheckFlow: controllo completo rapido e gratuito del traffico di rete interno utilizzando Flowmon

Benvenuti al nostro prossimo mini corso. Questa volta parleremo del nostro nuovo servizio - Controlla flusso. Cos'è? In realtà, questo è solo un nome commerciale per un controllo gratuito del traffico di rete (sia interno che esterno). L'audit stesso viene effettuato utilizzando uno strumento meraviglioso come Flowmon, che qualsiasi azienda può utilizzare gratuitamente per 30 giorni. Ma ti assicuro che dopo le prime ore di test inizierai a ricevere preziose informazioni sulla tua rete. Inoltre, queste informazioni saranno preziose come per gli amministratori di reteE per le guardie giurate. Bene, parliamo di quali sono queste informazioni e qual è il loro valore (alla fine dell'articolo, come al solito, c'è un video tutorial).

Ecco, facciamo una piccola digressione. Sono sicuro che molte persone ora stiano pensando: “In cosa è diverso da CheckUP Sicurezza Check Point? I nostri iscritti probabilmente sanno di cosa si tratta (ci abbiamo dedicato molti sforzi) :) Non affrettarti a trarre conclusioni, man mano che la lezione procede, tutto andrà a posto.

Cosa può verificare un amministratore di rete utilizzando questo controllo:

• Analisi del traffico di rete — come vengono caricati i canali, quali protocolli vengono utilizzati, quali server o utenti consumano la maggiore quantità di traffico.
• Ritardi e perdite di rete — tempo medio di risposta dei tuoi servizi, presenza di perdite su tutti i tuoi canali (capacità di trovare un collo di bottiglia).
• Analisi del traffico degli utenti — analisi completa del traffico degli utenti. Volumi di traffico, applicazioni utilizzate, problemi nel lavorare con i servizi aziendali.
• Valutazione delle prestazioni dell'applicazione — individuare la causa dei problemi nel funzionamento delle applicazioni aziendali (ritardi della rete, tempi di risposta dei servizi, database, applicazioni).
• Monitoraggio degli SLA — rileva e segnala automaticamente ritardi e perdite critici durante l'utilizzo delle applicazioni Web pubbliche in base al traffico reale.
• Ricerca anomalie di rete — Spoofing DNS/DHCP, loop, falsi server DHCP, traffico DNS/SMTP anomalo e molto altro.
• Problemi con le configurazioni — rilevamento di traffico di utenti o server illegittimi, che potrebbe indicare impostazioni errate di switch o firewall.
• Rapporto completo — un rapporto dettagliato sullo stato della vostra infrastruttura IT, che vi consente di pianificare il lavoro o acquistare apparecchiature aggiuntive.

Cosa può verificare uno specialista della sicurezza informatica:

• Attività virale — rileva il traffico virale all'interno della rete, incluso malware sconosciuto (0 giorni) in base all'analisi comportamentale.
• Distribuzione di ransomware — la capacità di rilevare il ransomware, anche se si diffonde tra computer vicini senza uscire dal proprio segmento.
• Attività anomala — traffico anomalo di utenti, server, applicazioni, tunneling ICMP/DNS. Identificare minacce reali o potenziali.
• Attacchi di rete — scansione delle porte, attacchi di forza bruta, DoS, DDoS, intercettazione del traffico (MITM).
• Fuga di dati aziendali — rilevamento di download (o upload) anomali di dati aziendali dai file server aziendali.
• Dispositivi non autorizzati — rilevamento di dispositivi illegittimi connessi alla rete aziendale (determinazione del produttore e del sistema operativo).
• Applicazioni indesiderate — utilizzo di applicazioni vietate all'interno della rete (Bittorent, TeamViewer, VPN, Anonymizer, ecc.).
• Cryptominer e botnet — controllare la rete per individuare dispositivi infetti che si connettono a server C&C noti.

segnalazione

In base ai risultati dell'audit, sarai in grado di vedere tutte le analisi sui dashboard Flowmon o nei report PDF. Di seguito sono riportati alcuni esempi.

Analisi generale del traffico

Cruscotto personalizzato

Attività anomala

Dispositivi rilevati

Schema di prova tipico

Scenario 1 - un ufficio

La caratteristica fondamentale è che puoi analizzare sia il traffico esterno che quello interno che non viene analizzato dai dispositivi di protezione perimetrale della rete (NGFW, IPS, DPI, ecc.).

Scenario 2 - diversi uffici

Video tutorial

Riassunto

L'audit CheckFlow è un'eccellente opportunità per i responsabili IT/IS:

1. Identificare i problemi attuali e potenziali nella vostra infrastruttura IT;
2. Rilevare problemi con la sicurezza delle informazioni e l'efficacia delle misure di sicurezza esistenti;
3. Identificare il problema chiave nel funzionamento delle applicazioni aziendali (parte di rete, parte server, software) e i responsabili della sua risoluzione;
4. Ridurre significativamente i tempi di risoluzione dei problemi nell'infrastruttura IT;
5. Giustificare la necessità di espandere i canali, la capacità del server o l'acquisto aggiuntivo di dispositivi di protezione.

Consiglio anche di leggere il nostro articolo precedente: 9 tipici problemi di rete che possono essere rilevati utilizzando l'analisi NetFlow (utilizzando Flowmon come esempio).
Se sei interessato a questo argomento, resta sintonizzato (Telegram, Facebook, VK, Blog sulle soluzioni TS, Yandex.Zen).

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Utilizzi analizzatori NetFlow/sFlow/jFlow/IPFIX?

• 55,6%Sì5

• 11,1%No, ma ho intenzione di utilizzare1

• 33,3%No3

9 utenti hanno votato. 1 utente si è astenuto.

Fonte: habr.com