1. CheckFlow - rask og gratis omfattende revisjon av intern nettverkstrafikk ved hjelp av Flowmon

Velkommen til vårt neste minikurs. Denne gangen skal vi snakke om vår nye tjeneste - SjekkFlow. Hva det er? Faktisk er dette bare et markedsføringsnavn for en gratis revisjon av nettverkstrafikk (både intern og ekstern). Selve tilsynet utføres ved hjelp av et så fantastisk verktøy som Flowmon, som absolutt ethvert selskap kan bruke gratis i 30 dager. Men jeg forsikrer deg om at etter de første timene med testing vil du begynne å motta verdifull informasjon om nettverket ditt. Dessuten vil denne informasjonen være verdifull som for nettverksadministratorerOg for sikkerhetsvakter. Vel, la oss diskutere hva denne informasjonen er og hva dens verdi er (På slutten av artikkelen, som vanlig, er det en videoopplæring).

Her, la oss gjøre en liten digresjon. Jeg er bare sikker på at mange mennesker nå tenker: "Hvordan er dette forskjellig fra Sikkerhetssjekk av sjekkpunkt? Abonnentene våre vet sannsynligvis hva dette er (vi brukte mye krefter på dette) :) Ikke skynd deg med konklusjoner, ettersom leksjonen skrider frem vil alt falle på plass.

Hva en nettverksadministrator kan sjekke ved å bruke denne revisjonen:

• Nettverkstrafikkanalyse — hvordan kanalene lastes, hvilke protokoller som brukes, hvilke servere eller brukere som bruker størst trafikk.
• Nettverksforsinkelser og tap — gjennomsnittlig responstid for tjenestene dine, tilstedeværelsen av tap på alle kanalene dine (muligheten til å finne en flaskehals).
• Brukertrafikkanalyse — omfattende analyse av brukertrafikk. Trafikkmengder, applikasjoner brukt, problemer med å jobbe med bedriftstjenester.
• Evaluering av applikasjonsytelse — identifisere årsaken til problemer i driften av bedriftsapplikasjoner (nettverksforsinkelser, responstid for tjenester, databaser, applikasjoner).
• SLA-overvåking — oppdager og rapporterer automatisk kritiske forsinkelser og tap ved bruk av offentlige nettapplikasjoner basert på reell trafikk.
• Søk etter nettverksavvik — DNS/DHCP-spoofing, loops, falske DHCP-servere, unormal DNS/SMTP-trafikk og mye mer.
• Problemer med konfigurasjoner – gjenkjenning av illegitim bruker- eller servertrafikk, noe som kan indikere feilaktige innstillinger av brytere eller brannmurer.
• Omfattende rapport — en detaljert rapport om tilstanden til IT-infrastrukturen din, slik at du kan planlegge arbeid eller kjøpe ekstra utstyr.

Hva en informasjonssikkerhetsspesialist kan sjekke:

• Viral aktivitet — oppdager viral trafikk i nettverket, inkludert ukjent skadelig programvare (0-dagers) basert på atferdsanalyse.
• Distribusjon av løsepengevare — muligheten til å oppdage løsepengevare, selv om den sprer seg mellom nabodatamaskiner uten å forlate sitt eget segment.
• Unormal aktivitet — unormal trafikk av brukere, servere, applikasjoner, ICMP/DNS-tunnelering. Identifisere reelle eller potensielle trusler.
• Nettverksangrep — portskanning, brute-force-angrep, DoS, DDoS, trafikkavlytting (MITM).
• Bedriftsdatalekkasje — påvisning av unormal nedlasting (eller opplasting) av bedriftsdata fra firmaets filservere.
• Uautoriserte enheter — påvisning av illegitime enheter koblet til bedriftsnettverket (avgjør produsent og operativsystem).
• Uønskede applikasjoner — bruk av forbudte applikasjoner i nettverket (Bittorent, TeamViewer, VPN, Anonymizers, etc.).
• Kryptominere og botnett — sjekke nettverket for infiserte enheter som kobler til kjente C&C-servere.

Rapportering

Basert på revisjonsresultatene vil du kunne se all analyse på Flowmon-dashboards eller i PDF-rapporter. Nedenfor er noen eksempler.

Generell trafikkanalyse

Egendefinert dashbord

Unormal aktivitet

Oppdaget enheter

Typisk testopplegg

Scenario #1 - ett kontor

Nøkkelfunksjonen er at du kan analysere både ekstern og intern trafikk som ikke blir analysert av nettverksperimeterbeskyttelsesenheter (NGFW, IPS, DPI, etc.).

Scenario #2 - flere kontorer

Videoopplæring

Oppsummering

CheckFlow-revisjon er en utmerket mulighet for IT/IS-ledere:

1. Identifiser nåværende og potensielle problemer i din IT-infrastruktur;
2. oppdage problemer med informasjonssikkerhet og effektiviteten til eksisterende sikkerhetstiltak;
3. Identifiser nøkkelproblemet i driften av forretningsapplikasjoner (nettverksdel, serverdel, programvare) og de som er ansvarlige for å løse det;
4. Reduser tiden det tar å feilsøke problemer i IT-infrastrukturen betydelig;
5. Begrunn behovet for å utvide kanaler, serverkapasitet eller tilleggskjøp av beskyttelsesutstyr.

Jeg anbefaler også å lese vår forrige artikkel - 9 typiske nettverksproblemer som kan oppdages ved hjelp av NetFlow-analyse (med Flowmon som eksempel).
Hvis du er interessert i dette emnet, så følg med (Telegram, Facebook , VK, TS Løsningsblogg, Yandex.Zen).

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Bruker du NetFlow/sFlow/jFlow/IPFIX-analysatorer?

• 55,6%Ja 5

• 11,1%Nei, men jeg har tenkt å bruke 1

• 33,3%No3

9 brukere stemte. 1 bruker avsto.

Kilde: www.habr.com