Menu

Flowmon

Monitoring provozu v lokální síti na úrovni paketů

Článek z Technické přílohy časopisu Login 2/2018

Systémů a řešení na analýzu síťových dat je celá řada. Naše společnost dlouhodobě nabízí a sama využívá řešení Flowmon pro analýzu síťové komunikace.

Tento systém zapůjčujeme našim zákazníkům a máme jej nasazen i v našem Cloudovém centru, kde monitorujeme provoz a hledáme případné síťové anomálie. Systém dokáže odhalit nejenom bezpečnostní problémy (například malvare, útoky SPAMu, nežádoucí aplikace), ale také konfigurační problémy či chyby systémů.
Uvádím seznam příkladů, které Flowmon pomohl vyřešit. Je z nich patrné, že nasazení může být projektové za účelem nalezení chyby/anomálie, ale také trvalé v případě sítí, kdy vyžadujeme vysokou míru bezpečnosti.

Příklady síťových incidentů


Chybná konfigurace firewallu

Hlavní ERP server vykazoval dlouhé odezvy na všechny operace. Výrobce ERP systému se snažil bezvýsledně optimalizovat svůj systém několik týdnů. Využitím řešení Flowmon bylo zjištěno, že chybně nakonfigurovaný firewall neustále zatěžuje ERP systém zbytečnými dotazy. Prostou úpravou konfigurace firewallu byl výkonnostní problém odstraněn.

Zálohování v pracovní dobu

Každý den po poledni vykazovala datová síť velmi pomalé odezvy napříč všemi systémy. Příčinu problému se nedařilo dlouho identifikovat a byl uvažován i upgrade páteře na 10Gps. Změřením provozu prostřednictvím řešení Flowmon se ukázalo, že některé produkční systémy jsou zálohovány ve špatných časech v průběhu pracovní doby na místo v noci. Problém byl vyřešen prostou změnou času provádění záloh.

Příliš podrobné logování

Ve výrobní části sítě výrobce automobilů začaly být neočekávaně dlouhé odezvy. Běžné zkoumání pomocí nástrojů typu Simple Network Management Protocol (SNMP) a firewallu potvrdily nárůst provozu, ale nezjistili příčinu. Po nasazení systému Flowmon se ukázalo, že jeden ze serverů tvořící součást výrobního systému odesílal objemy dat v řádu gigabitů denně do centrály. Na daném serveru bylo zjištěno, že na místo odesílání souhrnných a agregovaných dat odesílá kompletní výrobní logy, což není žádoucí konfigurace.

Výpadky spojení s pobočkami

Ze dne na den byly zaznamenány zásadní problémy s konektivitou mezi centrálou a pobočkami po celé republice. Poskytovatel datové konektivity navýšil kapacitu přípojky, ale nic nepomohlo. Nasazením řešení Flowmon bylo zjištěno, že systém vzdáleného dohledu a správy koncových stanic začal po poslední aktualizaci generovat extrémní datové přenosy mezi stanicemi a centrálním serverem. Tato situace byla vyřešena s dodavatelem systému.

Infekce novým typem malware

Obchodní zástupce se vrátil ze služební cesty z Asie. Ihned po připojení jeho notebooku do datové sítě organizace bylo zaznamenáno řešením Flowmon nestandardní chování jeho notebooku a byl automatizovaně upozorněn správce systému. Následná analýza notebooku odhalila malware v podově DLL knihovny, která se zaváděla při startu systému. Po cca týdnu se teprve signatura tohoto malware objevila v antivirovém systému. V době detekce šlo tedy o malware dosud neznámý.

Odposlech datového provozu

Díky řešení Flowmon byla zjištěna závažná infekce zařízení v síti. Šlo o standardní notebook, který dokázal přesměrovat komunikaci do internetu velkého množství zařízení na sebe. Choval se jako brána a malware mohl tuto komunikaci odposlouchávat, získávat hesla, případně přesměrovat na podvodné stránky. Díky automatické detekci prostřednictvím Flowmon ADS byl incident vyřešen do jedné hodiny.

Masivní kybernetický útok

Poskytovatel datové konektivity využívající Flowmon řešení zaznamenal u jednoho ze svých klientů problém, kdy infikovaná stanice nejprve provedla horizontální sken služby RDP na IP adresní rozsah Rumunska a následně zahájila masivní slovníkový útok na stanice, které na sken reagovaly. Klient byl na tento problém upozorněn a stanice byla zablokována.

Zdroj šíření SPAMu

Poskytovatel internetu upozornil svého klienta na pravděpodobné šíření SPAMu z jeho sítě. Protože klient používal NAT, nebyl schopen zdroj SPAMu jednoduše odhalit. Zápůjčkou zařízení Flowmon a provedením analýzy sítě byla infikovaná stanice okamžitě identifikována na základě zvýšeného počtu spojení na mail poskytovatele. Díky tomu nemuselo dojít k omezení služeb poskytovatelem internetu.

Falešný DHCP server

Zákazník zjišťoval občasné problémy s připojováním stanic do sítě. Situace se vyskytovala velmi nepravidelně, kdy stanice dostávali vadnou IP adresu. Díky řešení Flowmon ADS byla nalezen soukromý notebook jednoho uživatele, kde byla zapnutá služba DHCP serveru, který využíval doma. Zařízení bylo v síti okamžitě zablokováno a uživatel byl poučen o připojování soukromých zařízení do firemní sítě.

Únik dat

Řešení Flowmon zaznamenalo podezřelý upload dat ze sítě na veřejné datové úložiště. Šlo řádově o stovky MB dat. Jako zdroj byla identifikována konkrétní stanice v lokální síti. Zjistilo se, že šlo o zaměstnance, který ve společnosti končil a tímto způsobem si zálohoval data společnosti, která by mohl v budoucnu potřebovat.
Infography Flowmon Anomaly Detection System
Flowmon Anomaly Detection System (ADS) - Statistika toku dat
Infography Flowmon Application Performance Management
Flowmon Application Performance Management (APM) - Statistika síťové odezvy

Flowmon seriál:


GDPR


Tato technologie je vhodná pro řešení ochrany osobních údajů a bezpečnosti

Pro více informací o GDPR navštivte:

GDPR - nařízení o ochraně osobních údajů

Bezplatná konzultace

Máte zájem o bezplatnou konzultaci? Kontaktujte nás nebo nám zanechte svůj e-mail, my se vám ozveme.

Petr-Nepustil
Ing. Petr Nepustil
IT konzultant
 
+420 734 686 014
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.