Mais recentemente, publicamos um artigo intitulado “
Monitoramento de rede e detecção de atividade de rede anormal usando soluções da Flowmon Networks ”. Analisamos brevemente os recursos deste produto e o processo de instalação. Inesperadamente, para nós, após o artigo e o
webinar , recebemos um grande número de solicitações para
testar o Flowmon . E os primeiros projetos-piloto revelaram vários problemas de rede típicos que você não veria sem usar o NetFlow. Deve-se notar imediatamente que, durante o teste do produto, os resultados mais interessantes foram obtidos graças ao Módulo de detecção de anomalias (ADS). Após um breve “treinamento” (pelo menos uma semana), começamos a registrar vários incidentes. Neste artigo, consideraremos o mais comum deles.
1. Alguém está escaneando a rede
Em todos os pilotos, encontramos hosts que examinam a rede. Hosts que não devem fazer isso. Em alguns casos, verificou-se que esse software "específico" e o problema foram resolvidos pelas regras usuais no firewall. No entanto, na maioria dos casos, a empresa apareceu algum tipo de "bastardo" que brinca com o Kali Linux, fazendo cursos no PenTest (o que é muito louvável!). Foi encontrada apenas uma vez um PC verdadeiramente infectado que varria automaticamente a rede.
2. Grandes perdas na rede (baixado 60mb, o usuário chegou a 10)
Frequentemente, você pode encontrar problemas com perdas em certas partes da rede. No incidente do Flowmon, isso pode significar que 60mb foram baixados do sistema de destino, enquanto o usuário que entrou em contato recebeu apenas 10mb. Sim, às vezes os usuários realmente dizem a verdade que algum aplicativo é muito lento. Flowmon pode ser útil nesses casos.
3. Muitas conexões de dispositivos periféricos (impressoras, câmeras) a servidores
Encontramos esse incidente quase sempre. Depois de criar o filtro mais simples, você pode ver que há solicitações periódicas de dispositivos periféricos para o controlador de domínio. Depois de iniciar a investigação, eles freqüentemente chegaram à conclusão de que essas conexões / solicitações não deveriam ser. Embora existam coisas "legais". De qualquer forma, depois disso, os "guardas de segurança" descobrem subitamente que possuem toda uma classe de dispositivos que também precisam monitorar e pelo menos colocar em um segmento separado.
4. Conectando aos servidores através de portas não padrão
Também é um caso frequente. Por exemplo, é encontrado um servidor DNS para o qual as solicitações são enviadas não apenas na porta 53, mas também em várias outras. Dois problemas emergem imediatamente aqui:
- Alguém permitiu outras portas para o servidor DNS no ME;
- Outros serviços são gerados no servidor DNS.
Ambos os problemas requerem julgamento.
5. Conexões com outros países
Pode ser encontrada em quase todos os pilotos. Isso é especialmente interessante para qualquer segmento com câmeras ou sistemas de controle de acesso. Acontece que alguns dispositivos chineses estão agressivamente "batendo" em sua terra natal ou em algum lugar do Bangladesh.
6. Antes da demissão de um funcionário, seu tráfego aumenta acentuadamente
Encontramos isso nos dois últimos pilotos. Não participamos do processo, mas provavelmente o usuário simplesmente fez backups de algum tipo de informação de trabalho. Não sabemos se isso é permitido pela política da empresa.
7. Várias consultas DNS do host do usuário
Esse problema geralmente é um sinal de um PC infectado ou "recursos" de algum software específico. De qualquer forma, essas informações são úteis, especialmente quando o computador do usuário gera 1000 consultas DNS por hora.
8. O servidor DHCP "esquerdo" na rede
Outra doença de muitas redes grandes. O usuário iniciou o VirtualBox ou VMWare Workstation e, ao mesmo tempo, esqueceu de desligar o servidor DHCP interno, a partir do qual algum segmento de rede estabelece periodicamente. A análise do NetFlow aqui muito rapidamente ajuda a identificar nosso invasor.
9. “Loops” na rede local
“Loops” são encontrados em quase todos os projetos-piloto, onde é possível agrupar o NetFlow / sFlow / jFlow / IPFIX a partir de switches de acesso, e não apenas do kernel. Em algumas empresas, os switches lidam com êxito com esses loops (tendo em vista a configuração adequada do equipamento) e ninguém os nota especialmente. E em alguns - toda a rede periodicamente tempestades e ninguém pode entender o que está acontecendo. Flowmon será muito útil aqui.
Conclusão
Essa análise de rede pode ser útil para quase qualquer empresa. Especialmente quando você considera que pode ser realizado como parte do período de avaliação gratuita.
Aqui já falamos sobre como implantar a solução você mesmo. Mas você sempre pode
entrar em contato conosco para obter ajuda na configuração, análise dos resultados ou simplesmente
estender o modo de teste !
Se você estiver interessado em tais materiais, fique atento (
Telegram ,
Facebook ,
VK ,
TS Solution Blog )!