1. CheckFlow - брза и бесплатна сеопфатна ревизија на внатрешниот мрежен сообраќај користејќи Flowmon

Добредојдовте на нашиот следен мини курс. Овој пат ќе зборуваме за нашата нова услуга - CheckFlow. Што е тоа? Всушност, ова е само маркетиншко име за бесплатна ревизија на мрежниот сообраќај (и внатрешен и надворешен). Самата ревизија се врши со користење на таква прекрасна алатка како Флоумон, кој апсолутно секоја компанија може да го користи, бесплатно, 30 дена. Но, ве уверувам дека по првите часови од тестирањето ќе почнете да добивате вредни информации за вашата мрежа. Покрај тоа, оваа информација ќе биде вредна како за мрежни администраториИ за чувари. Па, ајде да разговараме што е оваа информација и која е нејзината вредност (На крајот од статијата, како и обично, има видео туторијал).

Еве, да направиме мала дигресија. Сигурен сум само дека многу луѓе сега размислуваат: „Како е ова различно од Check Point Security CheckUP? Нашите претплатници веројатно знаат што е ова (потрошивме многу напор на ова) :) Не брзајте со заклучоците, како што лекцијата напредува, сè ќе си дојде на свое место.

Што може да провери мрежниот администратор користејќи ја оваа ревизија:

• Анализа на мрежен сообраќај — како се вчитуваат каналите, кои протоколи се користат, кои сервери или корисници трошат најголема количина на сообраќај.
• Мрежни одложувања и загуби — просечно време на одговор на вашите услуги, присуство на загуби на сите ваши канали (можност да се најде тесно грло).
• Анализа на сообраќајот на корисниците — сеопфатна анализа на корисничкиот сообраќај. Обем на сообраќај, користени апликации, проблеми при работа со корпоративни услуги.
• Евалуација на перформансите на апликацијата — идентификување на причината за проблемите во работењето на корпоративните апликации (одложувања на мрежата, време на одговор на услугите, бази на податоци, апликации).
• SLA мониторинг — автоматски открива и пријавува критични доцнења и загуби при користење на вашите јавни веб-апликации врз основа на реален сообраќај.
• Пребарајте аномалии на мрежата — DNS/DHCP измама, јамки, лажни DHCP сервери, аномален DNS/SMTP сообраќај и многу повеќе.
• Проблеми со конфигурации — откривање на нелегитимен сообраќај на корисници или сервер, што може да укаже на неточни поставки на прекинувачите или заштитните ѕидови.
• Сеопфатен извештај — детален извештај за состојбата на вашата ИТ инфраструктура, што ви овозможува да планирате работа или да купите дополнителна опрема.

Што може да провери специјалист за информациска безбедност:

• Вирусна активност — открива вирусен сообраќај во мрежата, вклучително и непознат малициозен софтвер (0-ден) врз основа на анализа на однесувањето.
• Дистрибуција на ransomware — способност за откривање откупни софтвери, дури и ако се шири меѓу соседните компјутери без да го напушти својот сегмент.
• Абнормална активност — ненормален сообраќај на корисници, сервери, апликации, тунелирање ICMP/DNS. Идентификување на реални или потенцијални закани.
• Мрежни напади — скенирање на порти, напади со брутална сила, DoS, DDoS, следење на сообраќајот (MITM).
• Протекување на корпоративни податоци — откривање на ненормално преземање (или поставување) на корпоративни податоци од серверите за датотеки на компанијата.
• Неовластени уреди — откривање на нелегитимни уреди поврзани на корпоративната мрежа (одредување на производителот и оперативниот систем).
• Несакани апликации — употреба на забранети апликации во мрежата (Bittorent, TeamViewer, VPN, Anonymizer, итн.).
• Cryptominers и Botnets — проверка на мрежата за заразени уреди што се поврзуваат со познати сервери за C&C.

Известување

Врз основа на резултатите од ревизијата, ќе можете да ја видите целата аналитика на контролните табли на Flowmon или во PDF извештаи. Подолу се дадени неколку примери.

Општа сообраќајна аналитика

Прилагодена контролна табла

Абнормална активност

Откриени уреди

Типична шема за тестирање

Сценарио бр. 1 - една канцеларија

Клучната карактеристика е што можете да го анализирате и надворешниот и внатрешниот сообраќај што не се анализира со уреди за заштита на мрежниот периметар (NGFW, IPS, DPI, итн.).

Сценарио бр. 2 - неколку канцеларии

Видео туторијал

Краток преглед

CheckFlow ревизијата е одлична можност за ИТ/ИС менаџерите:

1. Идентификувајте ги тековните и потенцијалните проблеми во вашата ИТ инфраструктура;
2. Откривање проблеми со безбедноста на информациите и ефективноста на постоечките безбедносни мерки;
3. Идентификувајте го клучниот проблем во работењето на деловните апликации (мрежен дел, серверски дел, софтвер) и одговорните за негово решавање;
4. Значително намалување на времето за решавање проблеми во ИТ инфраструктурата;
5. Оправдајте ја потребата од проширување на каналите, капацитетот на серверот или дополнително купување на заштитна опрема.

Исто така препорачувам да ја прочитате нашата претходна статија - 9 типични мрежни проблеми што може да се откријат со помош на анализа на NetFlow (користејќи го Flowmon како пример).
Доколку сте заинтересирани за оваа тема, тогаш останете во тек (Телеграма, Facebook, VK, Блог за TS Solution, Yandex.Zen).

Само регистрирани корисници можат да учествуваат во анкетата. Најави се, вие сте добредојдени.

Дали користите NetFlow/sFlow/jFlow/IPFIX анализатори?

• 55,6%Да 5

• 11,1%Не, но планирам да користам1

• 33,3%Бр 3 г

Гласаа 9 корисници. 1 корисник се воздржа.

Извор: www.habr.com