1. CheckFlow – Flowmon көмегімен ішкі желі трафигінің жылдам және тегін кешенді аудиті

Біздің келесі шағын курсымызға қош келдіңіз. Бұл жолы біз жаңа қызметіміз туралы айтатын боламыз - CheckFlow. Бұл не? Шын мәнінде, бұл желілік трафикті (ішкі және сыртқы) тегін тексеруге арналған маркетингтік атау ғана. Аудиттің өзі осындай тамаша құралдың көмегімен жүзеге асырылады Флоумон, оны кез келген компания 30 күн бойы тегін пайдалана алады. Бірақ, тестілеудің алғашқы сағаттарынан кейін сіз желі туралы құнды ақпаратты ала бастайсыз деп сендіремін. Сонымен қатар, бұл ақпарат ретінде құнды болады желі әкімшілеріне арналған, Сонымен күзетшілерге арналған. Ал, бұл ақпараттың не екенін және оның құндылығы қандай екенін талқылайық (Мақаланың соңында, әдеттегідей, бейне оқу құралы бар).

Міне, кішкене шегініс жасайық. Мен қазір көптеген адамдар ойлайтынына сенімдімін: «Бұл немен ерекшеленеді Check Point Security CheckUP? Біздің жазылушылар мұның не екенін білетін шығар (біз бұған көп күш жұмсадық) :) Қорытынды жасауға асықпаңыз, сабақ өткен сайын бәрі өз орнына келеді.

Бұл аудит арқылы желі әкімшісі нені тексере алады:

• Желілік трафикті талдау — арналар қалай жүктеледі, қандай протоколдар пайдаланылады, қандай серверлер немесе пайдаланушылар трафиктің ең көп мөлшерін тұтынады.
• Желінің кідірісі мен жоғалуы — қызметтеріңіздің орташа жауап беру уақыты, барлық арналарыңызда жоғалтулардың болуы (тұйықтықты табу мүмкіндігі).
• Пайдаланушы трафигінің аналитикасы — пайдаланушы трафигін жан-жақты талдау. Трафик көлемі, қолданылатын қолданбалар, корпоративтік қызметтермен жұмыс істеудегі мәселелер.
• Қолданбаның өнімділігін бағалау — корпоративтік қосымшалардың жұмысындағы ақаулардың себебін анықтау (желінің кешігуі, қызметтердің, мәліметтер базасының, қосымшалардың жауап беру уақыты).
• SLA мониторингі — нақты трафик негізінде жалпыға қолжетімді веб-қосымшаларды пайдалану кезінде маңызды кешігулер мен жоғалтуларды автоматты түрде анықтайды және хабарлайды.
• Желідегі ауытқуларды іздеу — DNS/DHCP жалғандығы, циклдар, жалған DHCP серверлері, аномальды DNS/SMTP трафигі және т.б.
• Конфигурацияларға қатысты мәселелер — қосқыштардың немесе брандмауэрлердің дұрыс емес параметрлерін көрсетуі мүмкін заңсыз пайдаланушы немесе сервер трафигін анықтау.
• Толық есеп — жұмысты жоспарлауға немесе қосымша жабдықты сатып алуға мүмкіндік беретін АТ-инфрақұрылымыңыздың жай-күйі туралы егжей-тегжейлі есеп.

Ақпараттық қауіпсіздік маманы нені тексере алады:

• Вирустық белсенділік — мінез-құлық талдауы негізінде желідегі вирустық трафикті, оның ішінде белгісіз зиянды бағдарламаны (0 күндік) анықтайды.
• Ransomware тарату — өз сегментінен шықпай көрші компьютерлер арасында таралса да, төлемдік бағдарламаны анықтау мүмкіндігі.
• Қалыпты әрекет — пайдаланушылардың, серверлердің, қолданбалардың аномальды трафигі, ICMP/DNS туннельдері. Нақты немесе ықтимал қауіптерді анықтау.
• Желілік шабуылдар — портты сканерлеу, қатал шабуылдар, DoS, DDoS, трафикті тоқтату (MITM).
• Корпоративтік деректердің ағып кетуі — компанияның файл серверлерінен корпоративтік деректердің қалыптан тыс жүктелуін (немесе жүктелуін) анықтау.
• Рұқсат етілмеген құрылғылар — корпоративтік желіге қосылған заңсыз құрылғыларды анықтау (өндіруші мен операциялық жүйені анықтау).
• Қажетсіз қолданбалар — желі ішінде тыйым салынған қолданбаларды пайдалану (Bittorent, TeamViewer, VPN, Anonymizers және т.б.).
• Криптоминерлер және ботнеттер — белгілі C&C серверлеріне қосылатын вирус жұққан құрылғылардың бар-жоғын желіні тексеру.

Есеп беру

Аудит нәтижелерінің негізінде сіз Flowmon бақылау тақталарында немесе PDF есептерінде барлық аналитиканы көре аласыз. Төменде кейбір мысалдар келтірілген.

Жалпы трафикті талдау

Арнаулы бақылау тақтасы

Қалыпты әрекет

Анықталған құрылғылар

Типтік тестілеу схемасы

№1 сценарий - бір кеңсе

Негізгі ерекшелігі - желі периметрін қорғау құрылғыларымен (NGFW, IPS, DPI және т.б.) талданбайтын сыртқы және ішкі трафикті талдауға болады.

№2 сценарий - бірнеше кеңселер

Бейне оқулық

Резюме

CheckFlow аудиті АТ/АЖ менеджерлері үшін тамаша мүмкіндік болып табылады:

1. АТ-инфрақұрылымыңыздағы ағымдағы және ықтимал проблемаларды анықтаңыз;
2. Ақпараттық қауіпсіздік мәселелерін және қолданыстағы қауіпсіздік шараларының тиімділігін анықтау;
3. Бизнес-қосымшалардың жұмысындағы негізгі мәселені (желі бөлігі, сервер бөлігі, бағдарламалық қамтамасыз ету) және оны шешуге жауаптыларды анықтау;
4. АТ инфрақұрылымындағы ақаулықтарды жою уақытын айтарлықтай қысқарту;
5. Арналарды, сервер сыйымдылығын кеңейту немесе қорғаныс жабдығын қосымша сатып алу қажеттілігін негіздеңіз.

Мен сондай-ақ алдыңғы мақаламызды оқуды ұсынамын - NetFlow талдауы арқылы анықтауға болатын 9 типтік желі ақаулары (мысал ретінде Flowmon пайдалану).
Егер сізді осы тақырып қызықтырса, онда хабардар болыңыз (Telegram, Facebook, VK, TS Solution блогы, Yandex.Zen).

Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. Кіру, өтінемін.

NetFlow/sFlow/jFlow/IPFIX анализаторларын пайдаланасыз ба?

• 55,6%Иә5

• 11,1%Жоқ, бірақ мен 1 пайдалануды жоспарлап отырмын

• 33,3%№3

9 қолданушы дауыс берді. 1 пайдаланушы қалыс қалды.

Ақпарат көзі: www.habr.com