🥇1. CheckFlow - Audit complet rapid și gratuit al traficului intern al rețelei folosind Flowmon

Bun venit la următorul nostru mini-curs. De data aceasta vom vorbi despre noul nostru serviciu - CheckFlow. Ce este? De fapt, acesta este doar un nume de marketing pentru un audit gratuit al traficului de rețea (atât intern, cât și extern). Auditul în sine este efectuat folosind un instrument atât de minunat ca Flowmon, pe care absolut orice companie o poate folosi, gratuit, timp de 30 de zile. Dar, te asigur că după primele ore de testare, vei începe să primești informații valoroase despre rețeaua ta. Mai mult, aceste informații vor fi valoroase ca pentru administratorii de rețeaȘi pentru securiști. Ei bine, haideți să discutăm despre ce sunt aceste informații și care este valoarea ei (La sfârșitul articolului, ca de obicei, există un tutorial video).

Aici, să facem o mică digresiune. Sunt doar sigur că mulți oameni se gândesc acum: „Cum este diferit acest lucru de Check Point Security CheckUP? Probabil că abonații noștri știu ce este asta (am depus mult efort pentru asta) :) Nu vă grăbiți să trageți concluzii, pe măsură ce lecția progresează, totul va fi la locul său.

Ce poate verifica un administrator de rețea folosind acest audit:

Analiza traficului de rețea — cum sunt încărcate canalele, ce protocoale sunt utilizate, ce servere sau utilizatori consumă cea mai mare cantitate de trafic.
Întârzieri și pierderi în rețea — timpul mediu de răspuns al serviciilor dvs., prezența pierderilor pe toate canalele dvs. (abilitatea de a găsi un blocaj).
Analiza traficului utilizatorilor — analiza cuprinzătoare a traficului utilizatorilor. Volume de trafic, aplicații utilizate, probleme în lucrul cu serviciile corporative.
Evaluarea performanței aplicației — identificarea cauzei problemelor în funcționarea aplicațiilor corporative (întârzieri de rețea, timp de răspuns al serviciilor, baze de date, aplicații).
Monitorizare SLA — detectează și raportează automat întârzierile și pierderile critice atunci când utilizați aplicațiile dvs. web publice pe baza traficului real.
Căutați anomalii de rețea — Falsificare DNS/DHCP, bucle, servere DHCP false, trafic DNS/SMTP anormal și multe altele.
Probleme cu configurațiile — detectarea traficului nelegitim de utilizator sau server, care poate indica setări incorecte ale comutatoarelor sau firewall-urilor.
Raport cuprinzător — un raport detaliat despre starea infrastructurii dumneavoastră IT, care vă permite să planificați lucrul sau să achiziționați echipamente suplimentare.

Ce poate verifica un specialist în securitatea informațiilor:

Activitate virală — detectează traficul viral în rețea, inclusiv malware necunoscut (0-day) pe baza analizei comportamentale.
Distribuție de ransomware — capacitatea de a detecta ransomware, chiar dacă se răspândește între computerele învecinate fără a părăsi propriul segment.
Activitate anormală — trafic anormal de utilizatori, servere, aplicații, tunelizare ICMP/DNS. Identificarea amenințărilor reale sau potențiale.
Atacurile de rețea — scanare porturi, atacuri cu forță brută, DoS, DDoS, interceptarea traficului (MITM).
Scurgere de date corporative — detectarea descărcării (sau încărcării) anormale a datelor corporative de pe serverele de fișiere ale companiei.
Dispozitive neautorizate — detectarea dispozitivelor nelegitime conectate la rețeaua corporativă (determinarea producătorului și a sistemului de operare).
Aplicații nedorite — utilizarea aplicațiilor interzise în rețea (Bittorent, TeamViewer, VPN, Anonymizers etc.).
Criptomineri și rețele bot — verificarea rețelei pentru dispozitive infectate care se conectează la serverele C&C cunoscute.

Raportarea

Pe baza rezultatelor auditului, veți putea vedea toate analizele pe tablourile de bord Flowmon sau în rapoartele PDF. Mai jos sunt câteva exemple.

Analiza generală a traficului

Tabloul de bord personalizat

Activitate anormală

Dispozitive detectate

Schema tipică de testare

Scenariul 1 - un birou

Caracteristica cheie este că puteți analiza atât traficul extern, cât și cel intern care nu este analizat de dispozitivele de protecție a perimetrului rețelei (NGFW, IPS, DPI etc.).

Scenariul 2 - mai multe birouri

Lecție video

Rezumat

Auditul CheckFlow este o oportunitate excelentă pentru managerii IT/IS:

Identificați problemele actuale și potențiale din infrastructura dvs. IT;
Detectarea problemelor legate de securitatea informațiilor și eficacitatea măsurilor de securitate existente;
Identificați problema-cheie în funcționarea aplicațiilor de afaceri (partea de rețea, partea de server, software) și a celor responsabili cu rezolvarea acesteia;
Reduceți semnificativ timpul de depanare a problemelor din infrastructura IT;
Justificați necesitatea extinderii canalelor, a capacității serverului sau achiziționării suplimentare de echipamente de protecție.

De asemenea, vă recomand să citiți articolul nostru anterior - 9 probleme tipice de rețea care pot fi detectate folosind analiza NetFlow (folosind Flowmon ca exemplu).
Dacă sunteți interesat de acest subiect, atunci rămâneți pe fază (Telegramă, Facebook, VK, TS Solution Blog, Yandex.Zen).

Numai utilizatorii înregistrați pot participa la sondaj. Loghează-te, Vă rog.

Folosiți analizoare NetFlow/sFlow/jFlow/IPFIX?

55,6%Da5
11,1%Nu, dar am de gând să folosesc 1
33,3%Nr.3

Au votat 9 utilizatori. 1 utilizator s-a abținut.

Sursa: www.habr.com

1. CheckFlow - audit complet rapid și gratuit al traficului intern al rețelei folosind Flowmon