In jüngerer Zeit haben wir einen Artikel mit dem Titel „
Netzwerküberwachung und Erkennung abnormaler Netzwerkaktivitäten mithilfe von Flowmon Networks Solutions “ veröffentlicht. Dort haben wir kurz die Funktionen dieses Produkts und den Installationsprozess besprochen. Unerwartet für uns haben wir nach dem Artikel und dem
Webinar eine große Anzahl von Anfragen zum
Testen von Flowmon erhalten . Und die allerersten Pilotprojekte haben einige typische Netzwerkprobleme aufgedeckt, die Sie ohne NetFlow nicht sehen würden. Es sollte sofort beachtet werden, dass während des Testens des Produkts die interessantesten Ergebnisse dank des Anomaly Detection Module (ADS) erzielt wurden. Nach einem kurzen „Training“ (mindestens eine Woche) begannen wir, verschiedene Vorfälle aufzuzeichnen. In diesem Artikel werden wir die häufigsten von ihnen betrachten.
1. Jemand scannt das Netzwerk
In jedem Piloten haben wir Hosts gefunden, die das Netzwerk scannen. Hosts, die dies nicht tun sollten. In einigen Fällen stellte sich heraus, dass diese „spezifische“ Software und das Problem durch die üblichen Regeln in der Firewall gelöst wurden. In den meisten Fällen zeigte das Unternehmen jedoch eine Art „Bastard“, der mit Kali Linux spielt und an PenTest-Kursen teilnimmt (was sehr lobenswert ist!). Nur einmal wurde ein wirklich infizierter PC gefunden, der das Netzwerk automatisch scannte.
2. Große Verluste im Netzwerk (heruntergeladen 60 MB, der Benutzer erreichte 10)
Sehr oft kann es in bestimmten Teilen des Netzwerks zu Problemen mit Verlusten kommen. In dem Flowmon-Vorfall könnte dies bedeuten, dass 60 MB vom Zielsystem heruntergeladen wurden, während der Benutzer, der Kontakt aufgenommen hat, nur 10 MB erhielt. Ja, manchmal sagen Benutzer wirklich die Wahrheit, dass einige Anwendungen sehr langsam sind. In solchen Fällen kann Flowmon nützlich sein.
3. Viele Verbindungen von Peripheriegeräten (Drucker, Kameras) zu Servern
Wir finden diesen Vorfall fast jedes Mal. Nachdem Sie den einfachsten Filter erstellt haben, können Sie feststellen, dass regelmäßig Anforderungen von Peripheriegeräten an den Domänencontroller gesendet werden. Nachdem sie mit der Untersuchung begonnen hatten, kamen sie häufig zu dem Schluss, dass diese Verbindungen / Anfragen nicht sein sollten. Obwohl es "legale" Dinge gibt. In jedem Fall stellen die „Sicherheitspersonal“ danach plötzlich fest, dass sie über eine ganze Klasse von Geräten verfügen, die sie ebenfalls überwachen und zumindest in ein separates Segment verschieben müssen.
4. Herstellen einer Verbindung zu Servern über nicht standardmäßige Ports
Auch ein häufiger Fall. Beispielsweise wird ein DNS-Server gefunden, an den Anforderungen nicht nur an Port 53, sondern auch an eine Reihe anderer gesendet werden. Hier treten sofort zwei Probleme auf:
- Jemand hat andere Ports zum DNS-Server auf dem ME zugelassen.
- Andere Dienste werden auf dem DNS-Server ausgelöst.
Beide Probleme müssen getestet werden.
5. Verbindungen zu anderen Ländern
Es ist in fast jedem Piloten zu finden. Dies ist besonders interessant für jedes Segment mit Kameras oder Zugangskontrollsystemen. Es stellt sich heraus, dass einige chinesische Geräte aggressiv in ihre Heimat oder irgendwo in Bangladesch „klopfen“.
6. Vor der Entlassung eines Mitarbeiters nimmt sein Verkehr stark zu
Wir haben dies bei den letzten beiden Piloten gefunden. Wir haben nicht an dem Verfahren teilgenommen, aber höchstwahrscheinlich hat der Benutzer einfach Sicherungskopien von Arbeitsinformationen erstellt. Ob dies nach Unternehmensrichtlinien zulässig ist, ist uns nicht bekannt.
7. Mehrere DNS-Abfragen vom Benutzerhost
Dieses Problem ist häufig ein Zeichen für einen infizierten PC oder für „Funktionen“ einer bestimmten Software. In jedem Fall sind dies nützliche Informationen, insbesondere wenn der Computer des Benutzers 1000 DNS-Abfragen pro Stunde generiert.
8. Der "linke" DHCP-Server im Netzwerk
Eine weitere Krankheit vieler großer Netzwerke. Der Benutzer startete VirtualBox oder VMWare Workstation und vergaß gleichzeitig, den integrierten DHCP-Server auszuschalten, von dem aus einige Netzwerksegmente regelmäßig festgelegt werden. Die NetFlow-Analyse hier hilft sehr schnell, unseren Eindringling zu identifizieren.
9. "Schleifen" im lokalen Netzwerk
"Schleifen" sind in fast jedem Pilotprojekt zu finden, in dem es möglich ist, NetFlow / sFlow / jFlow / IPFIX von Zugriffsschaltern und nicht nur vom Kernel aus zu verpacken. In einigen Unternehmen bewältigen die Switches diese Schleifen erfolgreich (im Hinblick auf die richtige Konfiguration der Geräte), und niemand bemerkt sie besonders. Und in einigen Fällen stürmt das gesamte Netzwerk regelmäßig und niemand kann verstehen, was passiert. Flowmon wird hier sehr hilfreich sein.
Fazit
Eine solche Netzwerkanalyse kann für fast jedes Unternehmen nützlich sein. Besonders wenn Sie bedenken, dass es im Rahmen der kostenlosen Testphase durchgeführt werden kann.
Hier haben wir bereits darüber gesprochen, wie Sie die Lösung selbst bereitstellen können. Sie können
uns jedoch jederzeit
kontaktieren, um Hilfe bei der Einrichtung, Analyse der Ergebnisse oder einfach bei der
Erweiterung des Testmodus zu erhalten !
Wenn Sie an solchen Materialien interessiert sind, bleiben Sie auf dem Laufenden (
Telegramm ,
Facebook ,
VK ,
TS Solution Blog )!