1. CheckFlow - Flowmon аркылуу ички тармактык трафиктин тез жана акысыз комплекстүү аудити

Кийинки мини курсубузга кош келиңиз. Бул жолу биз жаңы кызмат жөнүндө сүйлөшөбүз - CheckFlow. Бул эмне? Чынында, бул тармактык трафиктин (ички жана тышкы) эркин аудитинин жөн гана маркетингдик аталышы. Аудит өзү сыяктуу сонун куралды колдонуу менен жүргүзүлөт Флоумон, аны таптакыр каалаган компания 30 күн бою акысыз колдоно алат. Бирок, мен сизди ишендирип кетем, тестирлөөнүн алгачкы сааттарынан кийин сиз өз тармагыңыз жөнүндө баалуу маалыматтарды ала баштайсыз. Мындан тышкары, бул маалымат катары баалуу болот тармак администраторлору үчүнжана коопсуздук кызматкерлери үчүн. Келгиле, бул маалымат эмне экенин жана анын баалуулугу эмнеде экенин талкуулайлы (Макаланын аягында, адаттагыдай эле, видео үйрөткүч бар).

Бул жерде, келгиле, кичинекей четтөө жасайлы. Мен көп адамдар азыр ойлонуп жатканына ишенем: "Бул эмнеси менен айырмаланат Check Point Security CheckUP? Биздин жазылуучулар бул эмне экенин билишсе керек (биз буга көп күч жумшадык) :) Жыйынтык чыгарууга шашпаңыз, сабак өткөн сайын баары өз ордуна келет.

Тармак администратору бул аудит аркылуу эмнени текшере алат:

• Тармак трафигинин аналитикасы — каналдар кантип жүктөлөт, кандай протоколдор колдонулат, кайсы серверлер же колдонуучулар эң көп трафикти керектейт.
• Тармактын кечигүүлөрү жана жоготуулары — Сиздин кызматтарыңыздын орточо жооп берүү убактысы, бардык каналдарыңызда жоготуулардын болушу (бүтөктөрдү табуу мүмкүнчүлүгү).
• Колдонуучу трафиктин аналитикасы — колдонуучу трафигин ар тараптуу талдоо. Трафиктин көлөмү, колдонулган тиркемелер, корпоративдик кызматтар менен иштөөдөгү көйгөйлөр.
• Колдонмонун натыйжалуулугун баалоо — корпоративдик тиркемелерди иштетүүдөгү көйгөйлөрдүн себебин аныктоо (тармактын кечигүүлөрү, кызматтардын жооп берүү убактысы, маалымат базалары, тиркемелер).
• SLA мониторинги — реалдуу трафиктин негизинде коомдук веб тиркемелериңизди колдонууда критикалык кечигүүлөрдү жана жоготууларды автоматтык түрдө аныктайт жана кабарлайт.
• Тармактын аномалияларын издөө — DNS/DHCP спуфинги, циклдер, жалган DHCP серверлери, аномалдуу DNS/SMTP трафиги жана башкалар.
• Конфигурациялардагы көйгөйлөр — которгучтардын же брандмауэрлердин туура эмес орнотууларын көрсөтүүсү мүмкүн болгон мыйзамсыз колдонуучу же сервер трафигин аныктоо.
• Комплекстүү отчет — IT-инфраструктураңыздын абалы жөнүндө деталдуу отчет, ишти пландаштырууга же кошумча жабдууларды сатып алууга мүмкүндүк берет.

Маалыматтык коопсуздук боюнча адис эмнени текшере алат:

• Вирустук активдүүлүк — жүрүм-турум анализинин негизинде тармактын ичиндеги вирустук трафикти, анын ичинде белгисиз зыяндуу программаларды (0 күндүк) аныктайт.
• Ransomware таратуу — ransomware аныктоо мүмкүнчүлүгү, ал өзүнүн сегментинен чыкпай кошуна компьютерлер арасында тараса да.
• Анормалдуу активдүүлүк — колдонуучулардын, серверлердин, тиркемелердин анормалдуу трафиги, ICMP/DNS туннели. реалдуу же мүмкүн болуучу коркунучтарды аныктоо.
• Тармактык чабуулдар — порт сканерлөө, катаал чабуулдар, DoS, DDoS, трафикти кармоо (MITM).
• Корпоративдик маалыматтардын агып кетиши — компаниянын файл серверлеринен корпоративдик маалыматтардын анормалдуу жүктөлүшүн (же жүктөөнү) аныктоо.
• Уруксатсыз түзмөктөр — корпоративдик тармакка кошулган мыйзамсыз түзүлүштөрдү табуу (өндүрүүчүнү жана операциялык системаны аныктоо).
• Керексиз колдонмолор — тармак ичинде тыюу салынган тиркемелерди колдонуу (Bittorent, TeamViewer, VPN, Anonymizers ж.б.).
• Криптоминерлер жана ботнеттер — белгилүү C&C серверлерине туташкан вирус жуккан түзмөктөрдүн тармагын текшерүү.

отчет

Аудиттин жыйынтыгы боюнча, сиз Flowmon панелдеринде же PDF отчетторунда бардык аналитиканы көрө аласыз. Төмөндө кээ бир мисалдар келтирилген.

Жалпы трафиктин аналитикасы

Ыңгайлаштырылган башкаруу тактасы

Анормалдуу активдүүлүк

Табылган түзмөктөр

Типтүү тестирлөө схемасы

Сценарий №1 - бир кеңсе

Негизги өзгөчөлүгү - тармак периметрин коргоо шаймандары (NGFW, IPS, DPI ж.б.) тарабынан талданбаган тышкы жана ички трафикти анализдей аласыз.

Сценарий №2 - бир нече кеңселер

Video Tutorial

на

CheckFlow аудити IT/IS менеджерлери үчүн эң сонун мүмкүнчүлүк:

1. Сиздин IT инфраструктураңыздагы учурдагы жана мүмкүн болуучу көйгөйлөрдү аныктоо;
2. Маалыматтык коопсуздуктун көйгөйлөрүн жана колдонулуп жаткан коопсуздук чараларынын натыйжалуулугун аныктоо;
3. Бизнес-тиркемелердин иштөөсүндөгү негизги көйгөйдү (тармак бөлүгү, сервер бөлүгү, программалык камсыздоо) жана аны чечүү үчүн жооптууларды аныктоо;
4. IT инфраструктурасындагы көйгөйлөрдү чечүү убактысын олуттуу кыскартуу;
5. Каналдарды кеңейтүү, сервердин сыйымдуулугу же коргоо жабдууларын кошумча сатып алуу зарылдыгын негиздеңиз.

Мен дагы биздин мурунку макаланы окууну сунуштайм - NetFlow анализин колдонуу менен аныкталышы мүмкүн 9 типтүү тармак көйгөйлөрү (мисалы катары Flowmon колдонуу).
Эгер сизди бул тема кызыктырса, анда кабардар болуңуз (телеграмма, Facebook, VK, TS Solution блогу, Yandex.Zen).

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

NetFlow/sFlow/jFlow/IPFIX анализаторлорун колдоносузбу?

• 55,6%Ооба5

• 11,1%Жок, бирок мен 1 колдонууну пландап жатам

• 33,3%No3

9 колдонуучу добуш берди. 1 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com