Baru-baru ini, kami menerbitkan sebuah artikel berjudul “
Pemantauan Jaringan dan Deteksi Aktivitas Jaringan Abnormal Menggunakan Solusi Flowmon Networks ”. Di sana kami meninjau secara singkat fitur-fitur dari produk ini dan proses pemasangan. Tanpa diduga bagi kami, setelah artikel dan
webinar , kami menerima sejumlah besar permintaan untuk
menguji Flowmon . Dan proyek percontohan pertama mengungkapkan beberapa masalah jaringan yang tidak akan Anda lihat tanpa menggunakan NetFlow. Harus segera dicatat bahwa selama pengujian produk, hasil yang paling menarik diperoleh berkat Modul Deteksi Anomali (ADS). Setelah "pelatihan" singkat (setidaknya seminggu), kami mulai merekam berbagai insiden. Pada artikel ini kami akan mempertimbangkan yang paling umum.
1. Seseorang memindai jaringan
Di setiap pilot, kami menemukan host yang memindai jaringan. Host yang seharusnya tidak melakukan ini. Dalam beberapa kasus, ternyata perangkat lunak "spesifik" ini dan masalahnya diselesaikan dengan aturan yang biasa pada firewall. Namun, dalam kebanyakan kasus, perusahaan tersebut menunjukkan semacam "bajingan" yang bermain dengan Kali Linux, mengambil kursus PenTest (yang sangat terpuji!). Hanya sekali ditemukan PC yang benar-benar terinfeksi yang secara otomatis memindai jaringan.
2. Kerugian besar pada jaringan (diunduh 60mb, pengguna mencapai 10)
Cukup sering, Anda dapat menemukan masalah dengan kerugian di bagian-bagian tertentu dari jaringan. Dalam insiden Flowmon, itu bisa berarti 60mb diunduh dari sistem target, sementara pengguna yang dihubungi hanya menerima 10mb. Ya, terkadang pengguna benar-benar mengatakan yang sebenarnya bahwa beberapa aplikasi sangat lambat. Flowmon mungkin berguna dalam kasus seperti itu.
3. Banyak koneksi dari perangkat periferal (printer, kamera) ke server
Kami menemukan kejadian ini hampir setiap waktu. Setelah membuat filter paling sederhana, Anda dapat melihat bahwa ada permintaan berkala dari perangkat periferal ke pengontrol domain. Setelah memulai penyelidikan, mereka sering sampai pada kesimpulan bahwa koneksi / permintaan ini seharusnya tidak. Meskipun ada hal-hal “legal”. Bagaimanapun, setelah itu, "penjaga keamanan" tiba-tiba menemukan bahwa mereka memiliki seluruh kelas perangkat yang juga perlu mereka pantau dan setidaknya pindah ke segmen terpisah.
4. Menghubungkan ke server melalui port non-standar
Juga sering terjadi. Sebagai contoh, server DNS ditemukan dimana permintaan dikirim tidak hanya pada port 53, tetapi juga pada sekelompok orang lain. Dua masalah segera muncul di sini:
- Seseorang mengizinkan port lain ke server DNS pada ME;
- Layanan lain dimunculkan pada server DNS.
Kedua masalah tersebut membutuhkan uji coba.
5. Koneksi ke negara lain
Ini ditemukan di hampir setiap pilot. Ini sangat menarik untuk segmen apa pun dengan kamera atau sistem kontrol akses. Ternyata beberapa perangkat Cina secara agresif “mengetuk” ke tanah air mereka atau di suatu tempat di Bangladesh.
6. Sebelum pemecatan karyawan, lalu lintasnya meningkat tajam
Kami menemukan ini di dua pilot terakhir. Kami tidak mengambil bagian dalam proses, tetapi kemungkinan besar pengguna hanya melakukan backup dari beberapa jenis informasi yang berfungsi. Apakah ini diizinkan oleh kebijakan perusahaan tidak diketahui oleh kami.
7. Beberapa permintaan DNS dari host pengguna
Masalah ini sering merupakan tanda dari PC yang terinfeksi, atau "fitur" dari beberapa perangkat lunak tertentu. Bagaimanapun, ini adalah informasi yang berguna untuk dipikirkan, terutama ketika komputer pengguna menghasilkan 1000 permintaan DNS per jam.
8. Server DHCP "kiri" di jaringan
Penyakit lain dari banyak jaringan besar. Pengguna memulai VirtualBox atau VMWare Workstation, pada saat yang sama lupa mematikan server DHCP bawaan, dari mana beberapa segmen jaringan meletakkan secara berkala. Analisis NetFlow di sini sangat cepat membantu mengidentifikasi penyusup kami.
9. "Loop" di jaringan lokal
"Loop" ditemukan di hampir setiap proyek percontohan, di mana dimungkinkan untuk membungkus NetFlow / sFlow / jFlow / IPFIX dari sakelar akses, dan bukan hanya dari kernel. Di beberapa perusahaan, sakelar berhasil mengatasi loop ini (mengingat konfigurasi peralatan yang tepat) dan tidak ada yang memperhatikannya. Dan di beberapa - seluruh jaringan secara berkala badai dan tidak ada yang bisa mengerti apa yang terjadi. Flowmon akan sangat membantu di sini.
Kesimpulan
Analisis jaringan semacam itu dapat bermanfaat bagi hampir semua perusahaan. Terutama ketika Anda menganggap itu dapat dilakukan sebagai bagian dari periode uji coba gratis.
Di sini kita sudah bicara tentang bagaimana cara menyebarkan solusi sendiri. Tetapi Anda selalu dapat
menghubungi kami untuk bantuan dalam mengatur, menganalisis hasil, atau hanya
memperpanjang mode uji coba !
Jika Anda tertarik pada bahan-bahan tersebut, tetaplah mengikuti
perkembangan (
Telegram ,
Facebook ,
VK ,
TS Solution Blog )!