Plus récemment, nous avons publié un article intitulé «
Surveillance et détection des activités réseau anormales à l'aide de solutions de réseaux Flowmon ». Nous y avons brièvement passé en revue les caractéristiques de ce produit et le processus d'installation. De façon inattendue pour nous, après l'article et le
webinaire , nous avons reçu un grand nombre de demandes de
test de Flowmon . Et les tout premiers projets pilotes ont révélé plusieurs problèmes de réseau typiques que vous ne verriez pas sans utiliser NetFlow. Il est à noter tout de suite que lors des tests du produit, les résultats les plus intéressants ont été obtenus grâce au module de détection d'anomalies (ADS). Après une courte «formation» (au moins une semaine), nous avons commencé à enregistrer divers incidents. Dans cet article, nous examinerons les plus courants d'entre eux.
1. Quelqu'un analyse le réseau
Dans chaque pilote, nous avons trouvé des hôtes qui analysent le réseau. Hôtes qui ne devraient pas faire cela. Dans quelques cas, il s'est avéré que ce logiciel «spécifique» et le problème étaient résolus par les règles habituelles sur le pare-feu. Cependant, dans la plupart des cas, la société a montré une sorte de «bâtard» qui joue avec Kali Linux, prenant des cours PenTest (ce qui est très louable!). Une seule fois, un ordinateur vraiment infecté a été détecté qui analysait automatiquement le réseau.
2. Grandes pertes sur le réseau (téléchargé 60 Mo, l'utilisateur a atteint 10)
Très souvent, vous pouvez rencontrer des problèmes de pertes dans certaines parties du réseau. Dans un incident Flowmon, cela pourrait signifier que 60 Mo ont été téléchargés à partir du système cible, tandis que l'utilisateur qui a contacté n'a reçu que 10 Mo. Oui, parfois les utilisateurs disent vraiment la vérité que certaines applications sont très lentes. Flowmon peut être utile dans de tels cas.
3. Nombreuses connexions des périphériques (imprimantes, appareils photo) aux serveurs
Nous trouvons cet incident presque à chaque fois. Après avoir créé le filtre le plus simple, vous pouvez voir qu'il y a des demandes périodiques des périphériques vers le contrôleur de domaine. Après avoir commencé l'enquête, ils sont souvent arrivés à la conclusion que ces connexions / demandes ne devraient pas l'être. Bien qu'il y ait des choses «légales». Dans tous les cas, après cela, les "agents de sécurité" découvrent soudain qu'ils ont toute une classe d'appareils qu'ils doivent également surveiller et au moins placer dans un segment distinct.
4. Connexion aux serveurs via des ports non standard
Aussi un cas fréquent. Par exemple, un serveur DNS est trouvé auquel les demandes sont envoyées non seulement sur le port 53, mais également sur un tas d'autres. Deux problèmes surgissent immédiatement ici:
- Quelqu'un a autorisé d'autres ports au serveur DNS sur le ME;
- D'autres services sont déclenchés sur le serveur DNS.
Les deux questions nécessitent un procès.
5. Connexions avec d'autres pays
On le trouve dans presque tous les pilotes. Ceci est particulièrement intéressant pour tout segment avec des caméras ou des systèmes de contrôle d'accès. Il s'avère que certains appareils chinois «agressent» violemment leur pays d'origine ou quelque part au Bangladesh.
6. Avant le licenciement d'un employé, son trafic augmente fortement
Nous l'avons trouvé dans les deux derniers pilotes. Nous n'avons pas pris part à la procédure, mais il est fort probable que l'utilisateur ait simplement effectué des sauvegardes d'une sorte d'informations de travail. Nous ne savons pas si cela est autorisé par la politique de l'entreprise.
7. Plusieurs requêtes DNS de l'hôte utilisateur
Ce problème est souvent le signe d'un PC infecté ou des «fonctionnalités» de certains logiciels spécifiques. Dans tous les cas, ce sont des informations utiles à la réflexion, en particulier lorsque l'ordinateur de l'utilisateur génère 1 000 requêtes DNS par heure.
8. Le serveur DHCP «gauche» sur le réseau
Une autre maladie de nombreux grands réseaux. L'utilisateur a démarré VirtualBox ou VMWare Workstation, tout en oubliant d'éteindre le serveur DHCP intégré, à partir duquel certains segments de réseau s'établissent périodiquement. L'analyse NetFlow ici permet d'identifier très rapidement notre intrus.
9. «Boucles» dans le réseau local
Des «boucles» se trouvent dans presque tous les projets pilotes, où il est possible d'envelopper NetFlow / sFlow / jFlow / IPFIX à partir de commutateurs d'accès, et pas seulement à partir du noyau. Dans certaines entreprises, les commutateurs gèrent avec succès ces boucles (compte tenu de la bonne configuration de l'équipement) et personne ne les remarque particulièrement. Et dans certains - l'ensemble du réseau prend régulièrement d'assaut et personne ne peut comprendre ce qui se passe. Flowmon sera très utile ici.
Conclusion
Une telle analyse de réseau peut être utile pour presque toutes les entreprises. Surtout quand on considère que cela peut être effectué dans le cadre de la période d'essai gratuite.
Ici, nous avons déjà expliqué comment déployer la solution vous-même. Mais vous pouvez toujours
nous contacter pour obtenir de l'aide dans la configuration, l'analyse des résultats ou simplement l'
extension du mode d'essai !
Si vous êtes intéressé par de tels matériaux, alors restez à l'écoute (
Telegram ,
Facebook ,
VK ,
TS Solution Blog )!