1. CheckFlow — быстрый и бесплатный комплексный аудит внутреннего сетевого трафика с помощью Flowmon

  • Tutorial


Добро пожаловать на наш очередной мини курс. На этот раз мы поговорим о нашей новой услуге — CheckFlow. Что это такое? По сути, это просто маркетинговое название бесплатного аудита сетевого трафика (как внутреннего, так и внешнего). Сам аудит производится с помощью такого замечательного инструмента как Flowmon, которым может воспользоваться абсолютно любая компания, бесплатно, в течении 30 дней. Но, я уверяю, что уже после первых часов тестирования, вы начнете получать ценную информацию о своей сети. Причем эта информация будет ценной как для сетевых администраторов, так и для «безопасников». Что ж, давайте обсудим, что это за информация и в чем ее ценность (В конце статьи как обычно видеоурок).

Тут же, сделаем небольшое отступление. Просто уверен, что у многих сейчас мелькнула мысль: “А чем это отличается от Check Point Security CheckUP?”. Наши подписчики наверняка знают, что это (мы потратили на это очень много сил) :) Не спешите с выводами, по ходу урока все встанет на свои места.

Что сможет проверить сетевой администратор с помощью данного аудита:


  • Аналитика сетевого трафика — чем загружены каналы, какие протоколы используются, какие сервера или пользователи потребляют наибольшее кол-во трафика.
  • Задержки и потери в сети — среднее время отклика ваших сервисов, наличие потерь на всех ваших каналах (возможность найти bottleneck).
  • Аналитика трафика пользователей — комплексный анализ трафика пользователей. Объемы трафика, используемые приложения, проблемы в работе с корпоративными сервисами.
  • Оценка работы приложений — выявление причины проблем в работе корпоративных приложений (сетевые задержки, время отклика сервисов, баз данных, приложений).
  • Мониторинг SLA — автоматически определяет и сообщает о критических задержках и потерях при использовании ваших публичных web-приложений на основе реального трафика.
  • Поиск сетевых аномалий — DNS/DHCP spoofing, петли, ложные DHCP-сервера, аномальный DNS/SMTP трафик и многое другое.
  • Проблемы с конфигурациями — обнаружение нелегитимного трафика пользователей или серверов, что может свидетельствовать о неверных настройках коммутаторов или межсетевых экранов.
  • Комплексный отчет — подробный отчет о состоянии вашей ИТ-инфраструктуры позволяющий спланировать работы или закупку дополнительного оборудования.

Что сможет проверить специалист по ИБ:


  • Вирусная активность — выявляет вирусный трафик внутри сети, в том числе неизвестных зловредов (0-day) на основе поведенческого анализа.
  • Распространение шифровальщиков — возможность детектировать шифровальщики, даже если распространение идет между соседними компьютерами не выходя из своего сегмента.
  • Аномальная активность — аномальный трафик пользователей, серверов, приложений, ICMP/DNS туннелирование. Выявление реальных или потенциальных угроз.
  • Сетевые атаки — сканирование портов, brut-force атаки, DoS, DDoS, перехват трафика (MITM).
  • Утечка корпоративных данных — обнаружение аномального скачивания (или выгрузки) корпоративных данных с файловых серверов компании.
  • Неавторизованные устройства — обнаружение нелегитимных устройств подключенных к корпоративной сети (определение производителя и операционной системы).
  • Нежелательные приложения — использование внутри сети запрещенных приложений (Bittorent, TeamViewer, VPN, Анонимайзеры и т.д.).
  • Криптомайнеры и Botnets — проверка сети на наличие зараженных устройств подключающихся к известным C&C серверам.

Отчетность


По результатам аудита вы сможете увидеть всю аналитику на дашбордах Flowmon, либо в PDF-отчетах. Ниже несколько примеров.

Общая аналитика трафика



Кастомный дашборд



Аномальная активность



Обнаруженные устройства



Типовая схема тестирования


Сценарий №1 — один офис



Ключевая особенность — вы можете анализировать как внешний, так и внутренний трафик, который не попадает под анализ устройствами защиты периметра сети (NGFW, IPS, DPI и т.д.).

Сценарий №2 — несколько офисов



Видеоурок




Резюме


Аудит CheckFlow это отличная возможность для ИТ/ИБ руководителей:

  1. Выявить актуальные и потенциальные проблемы в вашей ИТ-инфраструктуре;
  2. Обнаружить проблемы с информационной безопасностью и эффективностью существующих средств защиты;
  3. Определить ключевую проблему в работе бизнес-приложений (сетевая часть, серверная, программная) и ответственных за ее решение;
  4. Существенно уменьшить время устранения неполадок в ИТ-инфраструктуре;
  5. Обосновать необходимость расширения каналов, серверных мощностей или дополнительную закупку средств защиты.

Также рекомендую к прочтению нашу предыдущую статью — 9 типовых проблем в сети, которые можно обнаружить с помощью анализа NetFlow (на примере Flowmon).
Если вам интересна данная тема, то следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Используете ли вы анализаторы NetFlow/sFlow/jFlow/IPFIX?

  • 35,7%Да5
  • 35,7%Нет, но планирую использовать5
  • 28,6%Нет4
TS Solution
Системный интегратор

Комментарии 0

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое