最近,我们发表了一篇名为“
使用Flowmon Networks解决方案进行网络监视和异常网络活动检测 ”的文章。 在那里,我们简要回顾了该产品的功能和安装过程。 对于我们来说,出乎意料的是,在文章和
网络研讨会之后 ,我们收到了大量
测试Flowmon的请求。 最初的试点项目揭示了一些典型的网络问题,如果不使用NetFlow则不会出现。 应当立即指出,在产品测试过程中,得益于异常检测模块(ADS),获得了最有趣的结果。 经过短暂的“培训”(至少一周),我们开始记录各种事件。 在本文中,我们将考虑其中最常见的。
1.有人正在扫描网络
在每个试点中,我们都发现了扫描网络的主机。 主机不应该这样做。 在某些情况下,事实证明,此“特定”软件和问题已通过防火墙上的常规规则解决。 但是,在大多数情况下,该公司出现了一些使用Kali Linux的“混蛋”,并参加了PenTest课程(这是非常值得称赞的!)。 只有一次真正感染病毒的PC会自动扫描网络。
2.网络上的大量损失(下载60mb,用户达到10)
通常,您会发现网络某些部分的损耗问题。 在Flowmon事件中,这可能意味着从目标系统下载了60mb,而与之联系的用户仅收到了10mb。 是的,有时候用户确实会说出某些应用程序非常慢的事实。 在这种情况下,Flowmon可能会有用。
3.从外围设备(打印机,照相机)到服务器的许多连接
我们几乎每次都会发现此事件。 做了最简单的过滤器后,您可以看到外围设备向域控制器发出了定期请求。 开始调查后,他们常常得出结论,这些联系/请求不应存在。 虽然有“合法”的东西。 无论如何,此后,“安全卫士”突然发现他们拥有一整类设备,他们也需要监视这些设备,至少将它们放在单独的网段中。
4.通过非标准端口连接到服务器
也很常见。 例如,找到一个DNS服务器,不仅将请求发送到端口53,还发送给其他服务器。 这里立即出现两个问题:
- 有人允许其他端口连接到ME上的DNS服务器。
- 在DNS服务器上引发其他服务。
这两个问题都需要审判。
5.与其他国家的联系
几乎每个飞行员都可以找到它。 这对于带有摄像头或访问控制系统的任何细分市场都特别有趣。 事实证明,一些中国设备正积极地“敲打”自己的家园或孟加拉国的某个地方。
6.在解雇雇员之前,他的业务量急剧增加
我们在最后两个试点中发现了这一点。 我们没有参与程序,但是用户很可能只是备份了某种工作信息。 我们不知道公司政策是否允许这样做。
7.来自用户主机的多个DNS查询
此问题通常是受感染的PC或某些特定软件的“功能”的标志。 无论如何,这都是有用的信息,尤其是当用户的计算机每小时生成1000个DNS查询时。
8.网络上的“左” DHCP服务器
许多大型网络的另一种疾病。 用户启动了VirtualBox或VMWare工作站,同时忘记了关闭内置DHCP服务器,某些网段会定期从该DHCP服务器上关闭。 此处的NetFlow分析可以非常快速地帮助识别入侵者。
9.本地网络中的“环路”
在几乎每个试点项目中都可以找到“循环”,可以从访问开关(而不只是内核)包装NetFlow / sFlow / jFlow / IPFIX。 在某些公司中,交换机成功地应对了这些环路(鉴于设备的正确配置),没有人特别注意它们。 在某些情况下-整个网络会定期出现风暴,没人能理解正在发生的事情。 Flowmon在这里将非常有帮助。
结论
这样的网络分析对于几乎所有公司而言都是有用的。 特别是当您认为可以将其作为免费试用期的一部分执行时。
在这里,我们已经讨论了如何自己部署解决方案。 但是您可以随时
与我们联系以获取设置,分析结果或只是
扩展试用模式的帮助 !
如果您对此类材料感兴趣,请继续关注(
Telegram ,
Facebook ,
VK ,
TS Solution Blog )!