🥇1. CheckFlow - Auditoria abrangente rápida e gratuita do tráfego de rede interna usando Flowmon

Bem-vindo ao nosso próximo minicurso. Desta vez falaremos sobre nosso novo serviço - CheckFlow. O que é isso? Na verdade, este é apenas um nome de marketing para uma auditoria gratuita do tráfego de rede (interno e externo). A auditoria em si é realizada usando uma ferramenta maravilhosa como Flowmon, que absolutamente qualquer empresa pode utilizar, gratuitamente, por 30 dias. Mas garanto que após as primeiras horas de testes você começará a receber informações valiosas sobre sua rede. Além disso, esta informação será valiosa porque para administradores de redeE para seguranças. Bom, vamos discutir o que é essa informação e qual o seu valor (No final do artigo, como sempre, há um vídeo tutorial).

Aqui, façamos uma pequena digressão. Tenho certeza de que muitas pessoas agora estão pensando: “Como isso é diferente de Verificação de segurança do ponto de verificação? Nossos assinantes provavelmente sabem o que é isso (nós gastamos muito esforço nisso) :) Não tire conclusões precipitadas, à medida que a lição avança, tudo se encaixará.

O que um administrador de rede pode verificar usando esta auditoria:

Análise de tráfego de rede — como os canais são carregados, quais protocolos são utilizados, quais servidores ou usuários consomem a maior quantidade de tráfego.
Atrasos e perdas de rede — tempo médio de resposta dos seus serviços, presença de perdas em todos os seus canais (capacidade de encontrar um gargalo).
Análise de tráfego de usuários — análise abrangente do tráfego de usuários. Volumes de tráfego, aplicativos utilizados, problemas no trabalho com serviços corporativos.
Avaliação de desempenho de aplicativos — identificar a causa dos problemas no funcionamento das aplicações corporativas (atrasos na rede, tempo de resposta dos serviços, bases de dados, aplicações).
Monitoramento de SLA — detecta e relata automaticamente atrasos e perdas críticas ao usar seus aplicativos públicos da Web com base no tráfego real.
Procure anomalias de rede — Falsificação de DNS/DHCP, loops, servidores DHCP falsos, tráfego DNS/SMTP anômalo e muito mais.
Problemas com configurações — detecção de tráfego ilegítimo de usuários ou servidores, que pode indicar configurações incorretas de switches ou firewalls.
Relatório abrangente — um relatório detalhado sobre o estado da sua infraestrutura de TI, permitindo planejar trabalhos ou adquirir equipamentos adicionais.

O que um especialista em segurança da informação pode verificar:

Atividade viral — detecta tráfego viral na rede, incluindo malware desconhecido (dia 0) com base em análise comportamental.
Distribuição de ransomware — a capacidade de detectar ransomware, mesmo que ele se espalhe entre computadores vizinhos sem sair do seu segmento.
Atividade Anormal — tráfego anormal de utilizadores, servidores, aplicações, tunelamento ICMP/DNS. Identificação de ameaças reais ou potenciais.
Ataques de rede — varredura de portas, ataques de força bruta, DoS, DDoS, interceptação de tráfego (MITM).
Vazamento de dados corporativos — detecção de downloads (ou uploads) anormais de dados corporativos de servidores de arquivos da empresa.
Dispositivos não autorizados — detecção de dispositivos ilegítimos conectados à rede corporativa (determinação do fabricante e do sistema operacional).
Aplicativos indesejados — uso de aplicativos proibidos na rede (Bittorent, TeamViewer, VPN, Anonimizadores, etc.).
Criptomineradores e botnets — verificar a rede em busca de dispositivos infectados conectados a servidores C&C conhecidos.

Relatórios

Com base nos resultados da auditoria, você poderá ver todas as análises nos painéis do Flowmon ou em relatórios em PDF. Abaixo estão alguns exemplos.

Análise geral de tráfego

Painel personalizado

Atividade Anormal

Dispositivos descobertos

Esquema de teste típico

Cenário 1 - um escritório

A principal característica é que você pode analisar o tráfego externo e interno que não é analisado pelos dispositivos de proteção de perímetro de rede (NGFW, IPS, DPI, etc.).

Cenário 2 - vários escritórios

Vídeo tutorial

Resumo

A auditoria CheckFlow é uma excelente oportunidade para gerentes de TI/SI:

Identifique problemas atuais e potenciais em sua infraestrutura de TI;
Detectar problemas com a segurança da informação e a eficácia das medidas de segurança existentes;
Identificar o problema chave no funcionamento das aplicações de negócio (parte de rede, parte de servidor, software) e os responsáveis pela sua resolução;
Reduzir significativamente o tempo para solucionar problemas na infraestrutura de TI;
Justificar a necessidade de ampliação de canais, capacidade de servidores ou aquisição adicional de equipamentos de proteção.

Também recomendo a leitura de nosso artigo anterior - 9 problemas típicos de rede que podem ser detectados usando a análise NetFlow (usando Flowmon como exemplo).
Se você está interessado neste tópico, fique ligado (Telegram, Facebook, VK, Blog da solução TS, Yandex.Zen).

Apenas usuários registrados podem participar da pesquisa. Entrarpor favor

Você usa analisadores NetFlow/sFlow/jFlow/IPFIX?

55,6%sim5
11,1%Não, mas pretendo usar1
33,3%No3

9 usuários votaram. 1 usuário se absteve.

Fonte: habr.com

1. CheckFlow - auditoria abrangente, rápida e gratuita do tráfego de rede interna usando Flowmon