1. CheckFlow - Flowmon ашиглан дотоод сүлжээний урсгалыг хурдан бөгөөд үнэ төлбөргүй иж бүрэн аудит хийх

Манай дараагийн мини сургалтанд тавтай морил. Энэ удаад бид шинэ үйлчилгээнийхээ талаар ярих болно - CheckFlow. Энэ юу вэ? Үнэн хэрэгтээ энэ бол сүлжээний урсгалыг (дотоод болон гадаад) үнэ төлбөргүй аудит хийх маркетингийн нэр юм. Аудит нь өөрөө ийм гайхалтай хэрэгслийг ашиглан хийгддэг Флоумон, ямар ч компани 30 хоногийн турш үнэ төлбөргүй ашиглах боломжтой. Гэхдээ туршилтын эхний хэдэн цагийн дараа та сүлжээнийхээ талаар үнэ цэнэтэй мэдээллийг хүлээн авах болно гэдгийг баталж байна. Үүнээс гадна, энэ мэдээлэл нь үнэ цэнэтэй байх болно сүлжээний администраторуудад зориулсанТэгээд хамгаалалтын ажилтнуудад зориулсан. За, энэ мэдээлэл юу болох, түүний үнэ цэнэ юу болохыг ярилцъя (Өгүүллийн төгсгөлд ердийнх шигээ видео заавар байдаг).

Энд нэг жижиг ухралт хийцгээе. Одоо олон хүмүүс "Энэ юугаараа ялгаатай вэ Check Point Security CheckUP? Энэ юу болохыг манай захиалагчид мэдэж байгаа байх (бид үүнд маш их хүчин чармайлт гаргасан) :) Дүгнэлт хийх гэж яарах хэрэггүй, учир нь хичээл ахих тусам бүх зүйл хэвийн болно.

Сүлжээний администратор энэ аудитыг ашиглан юуг шалгаж болох вэ:

• Сүлжээний хөдөлгөөний дүн шинжилгээ — сувгууд хэрхэн ачаалагдсан, ямар протокол ашигладаг, аль сервер эсвэл хэрэглэгчид хамгийн их траффик хэрэглэдэг.
• Сүлжээний саатал, алдагдал - таны үйлчилгээний дундаж хугацаа, таны бүх суваг дээр алдагдал байгаа эсэх (гацаа олох чадвар).
• Хэрэглэгчийн хөдөлгөөний аналитик — хэрэглэгчийн урсгалын иж бүрэн дүн шинжилгээ. Траффикийн хэмжээ, ашигласан програмууд, корпорацийн үйлчилгээтэй ажиллахад тулгарч буй бэрхшээлүүд.
• Хэрэглээний гүйцэтгэлийн үнэлгээ - корпорацийн програмуудын үйл ажиллагаанд гарсан асуудлын шалтгааныг тодорхойлох (сүлжээний саатал, үйлчилгээний хариу өгөх хугацаа, мэдээллийн сан, програмууд).
• SLA мониторинг — Таны нийтийн вэб программыг ашиглах үед ноцтой саатал, алдагдлыг автоматаар илрүүлж мэдээлдэг.
• Сүлжээний хэвийн бус байдлыг хайх — DNS/DHCP хууран мэхлэлт, гогцоо, хуурамч DHCP сервер, хэвийн бус DNS/SMTP траффик болон бусад зүйлс.
• Тохиргооны асуудал — шилжүүлэгч эсвэл галт хананы буруу тохиргоог илтгэж болох хууль бус хэрэглэгч эсвэл серверийн урсгалыг илрүүлэх.
• Иж бүрэн тайлан — Мэдээллийн технологийн дэд бүтцийн төлөв байдлын талаарх нарийвчилсан тайлан нь ажил төлөвлөх эсвэл нэмэлт тоног төхөөрөмж худалдан авах боломжийг танд олгоно.

Мэдээллийн аюулгүй байдлын мэргэжилтэн юуг шалгаж болох вэ:

• Вирусын үйл ажиллагаа — зан үйлийн шинжилгээнд үндэслэн сүлжээн доторх вирусын траффик, түүний дотор үл мэдэгдэх хортой програмыг (0 өдөр) илрүүлдэг.
• Ransomware түгээлт - өөрийн сегментээс гаралгүйгээр хөрш зэргэлдээ компьютеруудын хооронд тархсан байсан ч ransomware илрүүлэх чадвар.
• Хэвийн бус үйл ажиллагаа — Хэрэглэгчид, серверүүд, програмууд, ICMP/DNS туннелийн хэвийн бус урсгал. Бодит эсвэл болзошгүй аюулыг тодорхойлох.
• Сүлжээний халдлага — порт скан хийх, харгис хүчний халдлага, DoS, DDoS, замын хөдөлгөөнийг таслан зогсоох (MITM).
• Байгууллагын мэдээлэл алдагдсан - компанийн файлын серверээс компанийн өгөгдлийг хэвийн бус татаж авах (эсвэл байршуулах) илрүүлэх.
• Зөвшөөрөлгүй төхөөрөмжүүд — корпорацийн сүлжээнд холбогдсон хууль бус төхөөрөмжүүдийг илрүүлэх (үйлдвэрлэгч ба үйлдлийн системийг тодорхойлох).
• Хүсээгүй програмууд — сүлжээнд хориотой програмуудыг ашиглах (Bittorent, TeamViewer, VPN, Anonymizers гэх мэт).
• Криптоминер ба ботнетууд - мэдэгдэж байгаа C&C серверүүдтэй холбогдож байгаа халдвартай төхөөрөмжүүдийн сүлжээг шалгах.

Тайлагнах

Аудитын үр дүнд үндэслэн та бүх аналитикийг Flowmon хяналтын самбар эсвэл PDF тайлангаас харах боломжтой болно. Зарим жишээг доор харуулав.

Замын хөдөлгөөний ерөнхий дүн шинжилгээ

Тусгай хяналтын самбар

Хэвийн бус үйл ажиллагаа

Илэрсэн төхөөрөмжүүд

Туршилтын ердийн схем

Хувилбар №1 - нэг оффис

Гол онцлог нь та сүлжээний периметрийн хамгаалалтын төхөөрөмжөөр (NGFW, IPS, DPI гэх мэт) шинжилдэггүй гадаад болон дотоод урсгалыг шинжлэх боломжтой юм.

Хувилбар №2 - хэд хэдэн оффис

Видео хичээл

Хураангуй

CheckFlow аудит нь IT/IS менежерүүдэд маш сайн боломж юм:

1. Мэдээллийн технологийн дэд бүтцэд байгаа одоогийн болон болзошгүй асуудлуудыг тодорхойлох;
2. Мэдээллийн аюулгүй байдлын асуудал, одоо байгаа аюулгүй байдлын арга хэмжээний үр дүнтэй байдлыг илрүүлэх;
3. Бизнесийн хэрэглээний программуудын (сүлжээний хэсэг, серверийн хэсэг, програм хангамж) ажиллахад тулгарч буй гол бэрхшээл, түүнийг шийдвэрлэх үүрэгтэй хүмүүсийг тодорхойлох;
4. Мэдээллийн технологийн дэд бүтцэд гарсан асуудлыг шийдвэрлэх хугацааг эрс багасгах;
5. Суваг, серверийн хүчин чадал эсвэл хамгаалалтын тоног төхөөрөмжийг нэмэлт худалдан авах хэрэгцээг зөвтгөх.

Би бас бидний өмнөх нийтлэлийг уншихыг зөвлөж байна - NetFlow шинжилгээг ашиглан илрүүлж болох ердийн сүлжээний 9 асуудал (жишээ нь Flowmon ашиглах).
Хэрэв та энэ сэдвийг сонирхож байгаа бол хамт байгаарай (цахилгаан, Facebook-ийн, VK, TS шийдлийн блог, Yandex.Zen).

Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. Нэвтрэх, гуйя.

Та NetFlow/sFlow/jFlow/IPFIX анализатор ашигладаг уу?

• 55,6%Тийм 5

• 11,1%Үгүй, гэхдээ би ашиглахаар төлөвлөж байна1

• 33,3%Үгүй 3

9 хэрэглэгч санал өгсөн. 1 хэрэглэгч түдгэлзсэн.

Эх сурвалж: www.habr.com