1. CheckFlow - auditim gjithëpërfshirës i shpejtë dhe falas i trafikut të brendshëm të rrjetit duke përdorur Flowmon

Mirë se vini në mini kursin tonë të ardhshëm. Këtë herë do të flasim për shërbimin tonë të ri - CheckFlow. Cfare eshte? Në fakt, ky është vetëm një emër marketingu për një auditim falas të trafikut të rrjetit (si i brendshëm ashtu edhe i jashtëm). Vetë auditimi kryhet duke përdorur një mjet kaq të mrekullueshëm si Flowmon, të cilin absolutisht çdo kompani mund ta përdorë, pa pagesë, për 30 ditë. Por, ju siguroj se pas orëve të para të testimit, do të filloni të merrni informacione të vlefshme për rrjetin tuaj. Për më tepër, ky informacion do të jetë i vlefshëm si për administratorët e rrjetitDhe për rojet e sigurisë. Epo, le të diskutojmë se çfarë është ky informacion dhe cila është vlera e tij (Në fund të artikullit, si zakonisht, ekziston një video tutorial).

Këtu, le të bëjmë një digresion të vogël. Jam i sigurt se shumë njerëz tani po mendojnë: “Si ndryshon kjo Kontrolli i sigurisë në pikën e kontrollit? Abonentët tanë ndoshta e dinë se çfarë është kjo (ne shpenzuam shumë përpjekje për këtë) :) Mos nxitoni në përfundime, pasi mësimi përparon, gjithçka do të bjerë në vend.

Çfarë mund të kontrollojë një administrator i rrjetit duke përdorur këtë auditim:

• Analiza e trafikut të rrjetit — si ngarkohen kanalet, çfarë protokolle përdoren, cilët serverë ose përdorues konsumojnë sasinë më të madhe të trafikut.
• Vonesat dhe humbjet e rrjetit — koha mesatare e përgjigjes së shërbimeve tuaja, prania e humbjeve në të gjitha kanalet tuaja (aftësia për të gjetur një pengesë).
• Analiza e trafikut të përdoruesve — analiza gjithëpërfshirëse e trafikut të përdoruesve. Vëllimet e trafikut, aplikacionet e përdorura, problemet në punën me shërbimet e korporatës.
• Vlerësimi i performancës së aplikacionit — identifikimi i shkakut të problemeve në funksionimin e aplikacioneve të korporatave (vonesa në rrjet, koha e përgjigjes së shërbimeve, bazat e të dhënave, aplikacionet).
• Monitorimi i SLA — zbulon dhe raporton automatikisht vonesat dhe humbjet kritike kur përdorni aplikacionet tuaja publike në ueb bazuar në trafikun real.
• Kërkoni për anomalitë e rrjetit — Mashtrimi DNS/DHCP, sythe, serverë të rremë DHCP, trafik jonormal DNS/SMTP dhe shumë më tepër.
• Probleme me konfigurimet — zbulimi i trafikut të paligjshëm të përdoruesit ose serverit, i cili mund të tregojë cilësime të pasakta të ndërprerësve ose mureve të zjarrit.
• Raport gjithëpërfshirës — një raport i detajuar mbi gjendjen e infrastrukturës suaj të TI-së, duke ju lejuar të planifikoni punë ose të blini pajisje shtesë.

Çfarë mund të kontrollojë një specialist i sigurisë së informacionit:

• Aktiviteti viral — zbulon trafikun viral brenda rrjetit, duke përfshirë malware të panjohur (0-ditor) bazuar në analizën e sjelljes.
• Shpërndarja e ransomware — aftësia për të zbuluar ransomware, edhe nëse ai përhapet midis kompjuterëve fqinjë pa lënë segmentin e tij.
• Aktivitet jonormal — trafik jonormal i përdoruesve, serverëve, aplikacioneve, tunele ICMP/DNS. Identifikimi i kërcënimeve reale ose të mundshme.
• Sulmet në rrjet — Skanimi i porteve, sulmet me forcë brutale, DoS, DDoS, përgjimi i trafikut (MITM).
• Rrjedhje e të dhënave të korporatës — zbulimi i shkarkimit (ose ngarkimit) jonormal të të dhënave të korporatës nga serverët e skedarëve të kompanisë.
• Pajisjet e paautorizuara — zbulimi i pajisjeve të paligjshme të lidhura me rrjetin e korporatës (përcaktimi i prodhuesit dhe sistemit operativ).
• Aplikime të padëshiruara — përdorimi i aplikacioneve të ndaluara brenda rrjetit (Bittorent, TeamViewer, VPN, Anonimizuesit, etj.).
• Kriptominerët dhe botnetet — kontrollimi i rrjetit për pajisje të infektuara që lidhen me serverë të njohur C&C.

Raportimi

Bazuar në rezultatet e auditimit, do të keni mundësi të shihni të gjitha analitikët në panelet e Flowmon ose në raportet PDF. Më poshtë janë disa shembuj.

Analiza e përgjithshme e trafikut

Paneli i personalizuar

Aktivitet jonormal

Pajisjet e zbuluara

Типовая схема тестирования

Skenari #1 - një zyrë

Karakteristika kryesore është se ju mund të analizoni trafikun e jashtëm dhe të brendshëm që nuk analizohet nga pajisjet e mbrojtjes së perimetrit të rrjetit (NGFW, IPS, DPI, etj.).

Skenari #2 - disa zyra

Video mësimi

Përmbledhje

Auditimi CheckFlow është një mundësi e shkëlqyer për menaxherët e IT/IS:

1. Identifikoni problemet aktuale dhe të mundshme në infrastrukturën tuaj të TI-së;
2. Zbulimi i problemeve me sigurinë e informacionit dhe efektivitetin e masave ekzistuese të sigurisë;
3. Identifikoni problemin kryesor në funksionimin e aplikacioneve të biznesit (pjesa e rrjetit, pjesa e serverit, softueri) dhe ata që janë përgjegjës për zgjidhjen e tij;
4. Ulja e ndjeshme e kohës për zgjidhjen e problemeve në infrastrukturën e TI-së;
5. Arsyetoni nevojën për të zgjeruar kanalet, kapacitetin e serverit ose blerjen shtesë të pajisjeve mbrojtëse.

Unë gjithashtu rekomandoj të lexoni artikullin tonë të mëparshëm - 9 probleme tipike të rrjetit që mund të zbulohen duke përdorur analizën NetFlow (duke përdorur Flowmon si shembull).
Nëse jeni të interesuar për këtë temë, atëherë qëndroni të sintonizuar (Telegram, Facebook, VK, TS Zgjidhja Blog, Yandex.Zen).

Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. Hyni, te lutem

A përdorni analizues NetFlow/sFlow/jFlow/IPFIX?

• 55,6%Po 5

• 11,1%Jo, por kam në plan të përdor 1

• 33,3%Nr 3

9 përdorues kanë votuar. 1 përdorues abstenoi.

Burimi: www.habr.com