Analýza síťového provozu

Analýza síťového provozu slouží pro vyhodnocení síťového provozu v dané lokalitě. Sondu je možné připojit do jakékoliv LAN nebo WAN sítě. Na základě výstupu ze sondy je možné provést vyhodnocení veškerého síťového provozu v dané lokalitě a určit, zda některé zařízení není např. napadeno škodlivým kódem, optimalizovat provoz jednotlivých zařizení, vyhodnotit stávajicí bezpečnostní opatření apod.

Jednotlivé výstupy jsou zpracovány jak číselně tak graficky

Vlastní sonda je pasivní, nezasahuje do provozu sítě, je možné měřit jakýkoliv druh provozu na bázi klasických IP protokolů. Celé zařízení (kromě HW) má licenci GPL. Zákazník tedy platí za HW, instalaci a konfiguraci sondy, ke které nabízíme tyto další služby:



Veškerá analýza síťového provozu probíhá tzv. "pasivním odposlechem", kdy síťová sonda (Analyzátor síťového provozu na bázi programového vybavení Suricata) je připojena k Mirror portu zařízení (Switch, Router) na kterém měříme síťový provoz. Veškerý provoz je pak zaznamenán, analyzován a vyhodnocen. Nedochází k ovlivňování provozu, prolamování šifer atp.

Podrobnější popis sondy je zde, naše sondy jsou vybaveny aktuální verzí Suricaty s GPL licencí. Za používání licence tedy platit nemusíte.

Podílíme se na vývoji a testování jednotlivých Suricata signatur, určených k zachycování a měření korektních i nekorektních průběhů jednotlivých protokolů, navazování spojení apod.


Vzorové zapojení analyzátoru síťového provozu (sonda Suricata)


Ukázka analýzy provozu mailového klienta


Přehled anomálií ve vystavování TLS spojení

Na dalším obrázku je detailnější pohled, který odhalí, že se jedná o anomálie ve spojení mezi mailovým klientem a mail serverem



Detail anomálie ve vystavování TLS spojení mezi mailovým klientem a mailovým serverem

Celý balík paketů můžeme exportovat ve formátu .pcap a dále podobit detailní analýze v aplikaci Wireshark

Bude následovat analýza struktury signatur, které označují toto spojení jako anomálii a revize konfigurace poštovního serveru




Ukázka analýzy šifrovaného provozu, konkrétně jednotlivých fází IKEv2


Analýza provozu na bázi IKEv2

Tento průběh vystavování spojení (obnovy klíčů) nemusí být souladu s doporučením NÚKIB, je třeba provést další měření.





Analýza provozu na bázi IKEv2

Tento průběh vystavování spojení (obnovy klíčů) je v souladu s doporučením NÚKIB.




Ukázka analýzy TLS provozu, zde se jedná o spojení mezi www prohlížečem a serverem


Vyhodnocení TLS provozu pomocí nástroje Moloch

Toto vyhodnocení je možné provádět přímo v prostředí měřící sondy (nástroj Moloch je součástí tohoto prostředí). Z výstupu je patrné, že vystavené spojení klient-server má tyto parametry:

Verze protokolu: TLS 1.2

Šifrovací parametry jsou TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256.

Tyto parametry jsou v souladu s doporučením NÚKIB a best practices BSI.