Más recientemente,
publicamos un artículo titulado "
Monitoreo y detección de redes de actividad anormal de la red utilizando las soluciones de redes Flowmon ". Allí revisamos brevemente las características de este producto y el proceso de instalación. Inesperadamente para nosotros, después del artículo y el
seminario web , recibimos una gran cantidad de solicitudes para
probar Flowmon . Y los primeros proyectos piloto revelaron varios problemas de red típicos que no vería sin usar NetFlow. Cabe señalar de inmediato que durante la prueba del producto, los resultados más interesantes se obtuvieron gracias al Módulo de Detección de Anomalías (ADS). Después de un breve "entrenamiento" (al menos una semana), comenzamos a registrar varios incidentes. En este artículo consideraremos el más común de ellos.
1. Alguien está escaneando la red
En cada piloto, encontramos hosts que escanean la red. Hosts que no deberían hacer esto. En un par de casos, resultó que este software "específico" y el problema se resolvió mediante las reglas habituales en el firewall. Sin embargo, en la mayoría de los casos, la compañía mostró algún tipo de "bastardo" que juega con Kali Linux, tomando cursos de PenTest (¡lo cual es muy recomendable!). Solo una vez se encontró una PC verdaderamente infectada que escaneaba automáticamente la red.
2. Grandes pérdidas en la red (descargado 60mb, el usuario alcanzó 10)
Muy a menudo, puede encontrar problemas con pérdidas en ciertas partes de la red. En un incidente de Flowmon, podría significar que se descargaron 60mb del sistema de destino, mientras que el usuario que contactó recibió solo 10mb. Sí, a veces los usuarios realmente dicen la verdad de que algunas aplicaciones son muy lentas. Flowmon puede ser útil en tales casos.
3. Muchas conexiones de dispositivos periféricos (impresoras, cámaras) a servidores
Encontramos este incidente casi siempre. Después de haber hecho el filtro más simple, puede ver que hay solicitudes periódicas de dispositivos periféricos al controlador de dominio. Habiendo comenzado la investigación, a menudo llegaron a la conclusión de que estas conexiones / solicitudes no deberían serlo. Aunque hay cosas "legales". En cualquier caso, después de eso, los "guardias de seguridad" descubren de repente que tienen una clase completa de dispositivos que también necesitan monitorear y al menos pasar a un segmento separado.
4. Conexión a servidores a través de puertos no estándar
También un caso frecuente. Por ejemplo, se encuentra un servidor DNS al que se envían solicitudes no solo en el puerto 53, sino también en muchos otros. Dos problemas surgen inmediatamente aquí:
- Alguien permitió otros puertos al servidor DNS en el ME;
- Otros servicios se generan en el servidor DNS.
Ambas cuestiones requieren juicio.
5. Conexiones a otros países.
Se encuentra en casi todos los pilotos. Esto es especialmente interesante para cualquier segmento con cámaras o sistemas de control de acceso. Resulta que algunos dispositivos chinos están "golpeando" agresivamente a su tierra natal o en algún lugar de Bangladesh.
6. Antes del despido de un empleado, su tráfico aumenta bruscamente
Encontramos esto en los últimos dos pilotos. No participamos en el proceso, pero lo más probable es que el usuario simplemente hiciera copias de seguridad de algún tipo de información de trabajo. No sabemos si esto está permitido por la política de la compañía.
7. Múltiples consultas DNS desde el host del usuario
Este problema es a menudo un signo de una PC infectada, o "características" de algún software específico. En cualquier caso, esta es información útil para pensar, especialmente cuando la computadora del usuario genera 1000 consultas DNS por hora.
8. El servidor DHCP "izquierdo" en la red
Otra enfermedad de muchas redes grandes. El usuario inició VirtualBox o VMWare Workstation, al mismo tiempo se olvidó de apagar el servidor DHCP incorporado, desde el cual se establece periódicamente algún segmento de red. El análisis de NetFlow aquí muy rápidamente ayuda a identificar a nuestro intruso.
9. "Bucles" en la red local
Los "bucles" se encuentran en casi todos los proyectos piloto, donde es posible envolver NetFlow / sFlow / jFlow / IPFIX desde los conmutadores de acceso, y no solo desde el núcleo. En algunas empresas, los conmutadores hacen frente con éxito a estos bucles (en vista de la configuración adecuada del equipo) y nadie los nota especialmente. Y en algunos, toda la red se tormenta periódicamente y nadie puede entender lo que está sucediendo. Flowmon será muy útil aquí.
Conclusión
Tal análisis de red puede ser útil para casi cualquier empresa. Especialmente cuando considera que se puede realizar como parte del período de prueba gratuito.
Aquí ya hablamos sobre cómo implementar la solución usted mismo. ¡Pero siempre puede
contactarnos para obtener ayuda con la configuración, el análisis de los resultados o simplemente
extender el modo de prueba !
Si está interesado en dichos materiales, ¡esté atento (
Telegram ,
Facebook ,
VK ,
Blog de soluciones TS )!