פּראָהאָסטער > בלאָג > אַדמיניסטראַציע > 1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

Добро пожаловать на наш очередной мини курс. На этот раз мы поговорим о нашей новой услуге — CheckFlow. Что это такое? По сути, это просто маркетинговое название бесплатного аудита сетевого трафика (как внутреннего, так и внешнего). Сам аудит производится с помощью такого замечательного инструмента как Flowmon, которым может воспользоваться абсолютно любая компания, бесплатно, в течении 30 дней. Но, я уверяю, что уже после первых часов тестирования, вы начнете получать ценную информацию о своей сети. Причем эта информация будет ценной как для сетевых администраторовאון для «безопасников». Что ж, давайте обсудим, что это за информация и в чем ее ценность (В конце статьи как обычно видеоурок).

Тут же, сделаем небольшое отступление. Просто уверен, что у многих сейчас мелькнула мысль: “А чем это отличается от Check Point Security CheckUP?”. Наши подписчики наверняка знают, что это (мы потратили на это очень много сил) 🙂 Не спешите с выводами, по ходу урока все встанет на свои места.

Что сможет проверить сетевой администратор с помощью данного аудита:

  • Аналитика сетевого трафика — чем загружены каналы, какие протоколы используются, какие сервера или пользователи потребляют наибольшее кол-во трафика.
  • Задержки и потери в сети — среднее время отклика ваших сервисов, наличие потерь на всех ваших каналах (возможность найти bottleneck).
  • Аналитика трафика пользователей — комплексный анализ трафика пользователей. Объемы трафика, используемые приложения, проблемы в работе с корпоративными сервисами.
  • Оценка работы приложений — выявление причины проблем в работе корпоративных приложений (сетевые задержки, время отклика сервисов, баз данных, приложений).
  • Мониторинг SLA — автоматически определяет и сообщает о критических задержках и потерях при использовании ваших публичных web-приложений на основе реального трафика.
  • Поиск сетевых аномалий — DNS/DHCP spoofing, петли, ложные DHCP-сервера, аномальный DNS/SMTP трафик и многое другое.
  • Проблемы с конфигурациями — обнаружение нелегитимного трафика пользователей или серверов, что может свидетельствовать о неверных настройках коммутаторов или межсетевых экранов.
  • Комплексный отчет — подробный отчет о состоянии вашей ИТ-инфраструктуры позволяющий спланировать работы или закупку дополнительного оборудования.

Что сможет проверить специалист по ИБ:

  • Вирусная активность — выявляет вирусный трафик внутри сети, в том числе неизвестных зловредов (0-day) на основе поведенческого анализа.
  • Распространение шифровальщиков — возможность детектировать шифровальщики, даже если распространение идет между соседними компьютерами не выходя из своего сегмента.
  • Аномальная активность — аномальный трафик пользователей, серверов, приложений, ICMP/DNS туннелирование. Выявление реальных или потенциальных угроз.
  • Сетевые атаки — сканирование портов, brut-force атаки, DoS, DDoS, перехват трафика (MITM).
  • Утечка корпоративных данных — обнаружение аномального скачивания (или выгрузки) корпоративных данных с файловых серверов компании.
  • Неавторизованные устройства — обнаружение нелегитимных устройств подключенных к корпоративной сети (определение производителя и операционной системы).
  • Нежелательные приложения — использование внутри сети запрещенных приложений (Bittorent, TeamViewer, VPN, Анонимайзеры и т.д.).
  • Криптомайнеры и Botnets — проверка сети на наличие зараженных устройств подключающихся к известным C&C серверам.

רעפּאָרטינג

По результатам аудита вы сможете увидеть всю аналитику на дашбордах Flowmon, либо в PDF-отчетах. Ниже несколько примеров.

Общая аналитика трафика

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

Кастомный дашборд

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

Аномальная активность

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

Обнаруженные устройства

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

Типовая схема тестирования

סצענאַר #1 — один офис

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

Ключевая особенность — вы можете анализировать как внешний, так и внутренний трафик, который не попадает под анализ устройствами защиты периметра сети (NGFW, IPS, DPI и т.д.).

סצענאַר #2 — несколько офисов

1. טשעקפלאָוו - שנעל און פריי פולשטענדיק קאָנטראָלירן פון ינערלעך נעץ פאַרקער ניצן פלאָוומאָן

Видеоурок

קיצער

Аудит CheckFlow это отличная возможность для ИТ/ИБ руководителей:

  1. Выявить актуальные и потенциальные проблемы в вашей ИТ-инфраструктуре;
  2. Обнаружить проблемы с информационной безопасностью и эффективностью существующих средств защиты;
  3. Определить ключевую проблему в работе бизнес-приложений (сетевая часть, серверная, программная) и ответственных за ее решение;
  4. Существенно уменьшить время устранения неполадок в ИТ-инфраструктуре;
  5. Обосновать необходимость расширения каналов, серверных мощностей или дополнительную закупку средств защиты.

Также рекомендую к прочтению нашу предыдущую статью — 9 типовых проблем в сети, которые можно обнаружить с помощью анализа NetFlow (на примере Flowmon).
Если вам интересна данная тема, то следите за обновлениями (טעלעגראַם, facebook, VK, TS לייזונג בלאָג, Яндекс.Дзен).

בלויז רעגיסטרירט ניצערס קענען אָנטייל נעמען אין די יבערבליק. סיין ארייןביטע.

Используете ли вы анализаторы NetFlow/sFlow/jFlow/IPFIX?

  • קסנומקס%יאָ5

  • קסנומקס%Нет, но планирую использовать1

  • קסנומקס%No3

9 באנוצער האבן געשטימט. 1 באנוצער האט זיך אפגעהאלטן.

מקור: www.habr.com

לייגן אַ באַמערקונג