Протоколирование и сетевой аудит. Аудит локальной сети
Аудит локальный сетей заключается в их комплексной проверке с выдачей профессионального заключения. Аудит ЛВС позволяет локализировать проблемные участки сети, которые характеризуют общее состояние, дать оценку качеству обслуживания.
Когда требуется аудит сетей?
Необходимость в аудите возникает в следующих ситуациях:
1. Нужно оценить состояние сетей, доставшихся при аренде помещения. Специалист проверит их безопасность и возможность использования для решения конкретных задач;
2. Проверка только созданных сетей на новом объекте. Ее важно провести, если нет уверенности в профессионализме монтажников;
3. Требуется расширить сеть или модернизировать существующее оборудование;
4. Сети и системы связи работают со сбоями, при нормальном состоянии оконечного оборудования;
Особенности проведения аудита ЛВС
Сети компаний связаны с многочисленными сетями. В данном случае особое внимание уделяется конфиденциальности передаваемых данных. Так как безопасность информации определяется надежностью сети, то становится востребованным их проектирование и аудит. Грамотно использованные результаты аудита позволяют увеличить безопасность сети без дополнительных финансовых вложений.
В аудит локальных сетей входит:
· Анализ характеристик аппаратных и программных ресурсов;
· Проверка информационных мощностей, их стойкости к отказам;
· Оценка возможности создания резервных копий данных;
· Проверка возможности подключения к сети;
Профессиональный аудит включает осмотр сетевых мощностей, анализ топологии сети, проверку сетевой инфраструктуры, тестирование. На основе собранных в ходе проверки данных составляется таблица, схемы оборудования, особенности работы ЛВС. Затем разрабатывается финальный отчет с результатами и анализом полученной информации, которые рекомендуют методики улучшения IT-инфраструктуры.
Отправьте заявку на расчет стоимости услуг, заполнив мгновенную форму обратной связи, которая появится ниже после нажатия кнопки. Если у вас имеется спецификация необходимого вам оборудования или перечень услуг, вы можете прикрепить пожелания к письму.
Под аудитом компьютерной сети или ее инвентаризацией принято понимать способ построения ЛВС, проверку того, правильно ли она была организована, есть ли сбои при функционировании каких-либо ее узлов и возможны ли они в будущем.
Аудит сети предприятия необходимо проводить:
- если отсутствует документация на сеть;
- для проверки работ, произведенных другой компанией;
- при возникновении неполадок;
- после переезда в новый офис, где уже есть проложенная сеть.
Нередки случаи, когда в офисном или производственном здании во время первоначального проектирования не было предусмотрено создание кабельной сети. В этом случае ни о какой документации говорить не приходится. Бывает и так, что сеть была создана достаточно давно, и документы на нее утеряны. В то же время за долгие периоды работы любая сеть, особенно слаботочная, подвергается многочисленным изменениям. Постепенно это приводит к тому, что потребителю становится все сложнее разобраться в ее работе.
Если запустить состояние сети, то в будущем это приведет к серьезным расходам. Гораздо предусмотрительнее не доводить до этого, периодически заказывая аудит компьютерной сети, например, в компании ALP Group. Наши специалисты обладают достаточными знаниями для того, чтобы провести полную диагностику вашей системы и сделать это в наиболее короткие сроки. Рекомендации экспертов помогут оптимизировать функционирование ЛВС, а значит, и всего предприятия в целом.
Помимо составления актуальной документации на сеть, проверка позволит и убедиться в том, что компания, создавшая или внесшая в ЛВС изменения, правильно выполнила свою задачу. Это распространенная практика, помогающая руководству компании удостовериться в том, что выделенные на построение либо модификацию локально-вычислительной сети средства были потрачены не зря. К тому же, если все же интегратор системы допустил какие-либо ошибки, их можно будет оперативно устранить, и таким образом, предотвратить возникновение проблем в будущем.
Это особенно важно еще и потому, что очень часто работы по монтажу сети доверяются той же фирме, которая выполняла электрические силовые или же общестроительные задачи. В подавляющем большинстве случаев ее специалисты имеют весьма туманное представление о принципах построения сети и о технологиях производства работ, не учитывая еще и ГОСТы, СНИПы и остальные стандарты. В такой ситуации ни о каком стабильном функционировании ЛВС говорить просто не приходится. Как бы строители ни убеждали, что справятся с построением сети самостоятельно, всегда поручайте его только специализированным компаниям, имеющим для этого все ресурсы и опыт, как ALP Group.
Аудит сети предприятия поможет устранить проблемы
Если в работе ЛВС «происходит что-то странное», по отзывам сотрудников предприятия, а штатный системный администратор не может с этим разобраться, выход может быть только один: пригласить квалифицированных аудиторов. Так, все сетевые узлы по отдельности могут функционировать исправно, но один или даже несколько компьютеров постоянно отключаются от ЛВС, и причины этого неясны. В этом случае только комплексная проверка позволит обнаружить источник проблем, а значит, и ликвидировать его.
Так же аудит компьютерной сети необходимо проводить сразу же, как только ваша фирма переехала в новый офис. Если там уже есть локальная сеть, не факт, что она будет работать как надо. Не стоит рисковать непрерывностью бизнеса, лучше сразу же пригласить специалистов из ALP Group и дать им задание провести полное обследование сети.
К тому же, иногда после переезда новый собственник помещения обнаруживает, что бывший владелец забрал с собой некоторые важные составляющие - например, рамку модульных патч-панелей или даже телекоммуникационный шкаф, предварительно обрезав все подходящие к нему провода. В этом случае руководству фирмы придется оплачивать демонтаж старой сети и прокладку новой. Проведение аудита компьютерной сети позволит составить перечень списка работ, необходимых для восстановления ее работоспособности. Это поможет сэкономить время и финансы при их осуществлении.
Основные виды работ по аудиту сети предприятия:
- общее обследование объекта (выполняется при первичном выезде специалистов);
- составление графика и сметы на производство работ;
- получение или же составление схемы помещения;
- обнаружение кабелей и портов;
- проведение их маркировки;
- восстановление работоспособности ЛВС;
- тестирование и сертификация на соответствие принятым стандартам;
- составление и предоставление заказчику технической документации на сеть;
- выполнение дополнительных работ (при необходимости).
Особенности технического аудита сети предприятия
Данный вид аудита представляет собой комплексную проверку с составлением заключения о качестве функционирования ИТ инфраструктуры компании, в котором должны содержаться подробные сведения о параметрах работы ЛВС, данные об обнаруженных проблемах и участках, где требуется модернизация. Обычно заключение экспертов также включает в себя и рекомендации по улучшению качества работы сети. В результате проведения аудита владельцы бизнеса получают объективную оценку состояния своей информационной инфраструктуры и могут решать вопрос дальнейших инвестиций в нее более конструктивно.
Во время проверки можно узнать ответы на следующие вопросы и решить данные задачи:
- произвести ревизию имеющегося оборудования;
- оценить действия сотрудников ИТ отдела и других служб;
- определить причины возрастания расходов на интернет-трафик;
- найти слабые места в сетевой безопасности;
- протестировать пропускную способность корпоративной сети.
В процессе проведения диагностики проверяется работа СКС и проводится обследование локальной сети наряду с активным компьютерным и сетевым оборудованием. В ходе ИТ аудита должны быть проверены:
- рабочие станции;
- активное сетевое оборудование (включая коммутаторы, точки доступа, маршрутизаторы и пр.);
- серверы;
- ПО для сетевого оборудования и компьютеров;
- работа периферийных устройств.
Доверьте проведение аудита команде ALP Group, чтобы получить гарантии безупречной работы ИТ инфраструктуры вашего предприятия в течение многих лет. Опытные специалисты проведут обследование быстро и грамотно, выявят все присутствующие и возможные проблемы и найдут лучшие пути для их скорейшего устранения.
Рассмотрим пример аудита сети на предмет сбора сведений о структуре, выявлении уязвимости, получения учётных данных пользователей.
На большинстве предприятий организации защиты сетевой инфраструктуры оставляет желать лучшего. Наличие в сети беспроводных точек доступа лишь упрощает проникновение в сеть, стоит только злоумышленнику подключить свой компьютер в свободную розетку, как скорее всего он получит всё необходимое...
Итак, приступим: подключаемся через любой доступный метод (в нашем случае для наглядности методов был произведён брутфорс wifi). Проникновение не стало серьёзной проблемой т.к. пароли в офисах часто ставятся понятные для персонала и относительно легко запоминающиеся, в нашем случае было именно так. После получения сетевого адреса выяснить адреса серверов DHCP и DNS не составляет труда. Следующим шагом было сканирование нужного диапазона сети и выявление компьютера администратора сети. Отметим основные признаки, по которым можно судить, что данный компьютер системного администратора:
- Название машины (Admin, root, или похожие по смыслу);
- Использование Linux в качестве операционной системы;
- Использование красивых ip-адресов (172.16.100.100 10.10.10.10 и т.д.);
- Характерные открытые порты.
В данном случае быстрый осмотр имён компьютеров не дал желаемого результата: в сети было много машин на основе разных платформ, насколько подсетей. Тем не менее, компьютер администратора сети был выявлен Lesno-v. Выяснилось это при помощи утилиты сканера портов Nmap. Согласитесь что у обычного пользователя не будут открыты ssh, vnc, web-vnc, webmin, rdp, и что самое подозрительное это порт 5190:). Узнав адрес машины 192.168.0.6 начинаем прослушку пакетов. Для данной цели была использована атака MitM (Man in the Middle) Для реализации такой атаки необходим так называемый ARP-spoofing. Суть его в следующем:
Когда админ лезет почитать руборд, его компьютер кричит на всю сеть - кто тут знает, в какой стороне руборд? Обычно шлюз отвечает "я знаю". Суть ARP-spoofing в том, что компьютер злоумышленника тоже начинает отвечать, что он знает где руборд и компьютер админа ему верит. В итоге все пакеты админа идут через компьютер атакующего на шлюз и дальше в интернет. По такой же цепочке пакеты возвращаются к компу админа. Соответственно все учетные данные в открытом или шифрованном виде проходят через атакующий компьютер. Кстати, это одна из самых популярных атак в банковских сетях. Итак посмотрим сто получится... запускаем backtrack. Идем в меню, находим утилиту Ettercap и запускаем ее. В меню утилиты выбираем Unified sniffing и указываем наш сетевой интерфейс (обычно eth0 или eth1).После чего указываем, какой компьютер атаковать (Select target). Указываем ip адрес вот так /192.168.0.6/ . Если нужен диапазон, то вот так /192.168.0.2-16/ Выбираем в меню Start Sniffing, теперь сканируем хосты с помощью меню Scan for hosts. Выбираем тип атаки ARP poisoning. После чего в появившемся окне ставим флажок sniff remote connections и нажимаем Start mitm attack. Открываем список соединеий (Connections) И ждем. Как только админ отправит учетные данные на подключение к чему либо, мы сразу это увидим.
После непродолжительного ожидания мы выявили необходимы нам данные. Админ решил зайти на mail.ru и судя по названию на корпоративную почту. Как видите, после проникновения в сеть получение критичных к распространению данных - лишь вопрос времени. Давайте рассмотрим плюсы и минусы такой атаки и методы защиты.
Плюсы:
- Работает практически всегда, не зависит от типа ОС;
- Если подменить сертификат можно получить данные из SSL трафика;
- Не зашифрованные данные ловятся моментально;
- Некоторые зашифрованные протоколы можно отловить при обмене ключами, например, протокол управления удалённым рабочим столом RDP.
Минусы:
- Позволяет прослушивать сеть до первого роутера. У роутера свои ARP-таблицы и проскочить через него с этим типом атаки в другую подсеть будет очень проблематично, но как правило на предприятиях один роутер;
- В случае шифрованных данных показывает hash, который приходится ломать перебором по словарям;
- При установленных VPN подключениях вообще ничего не показывает. Так и должно быть.
Все действия были проведены с предварительного разрешения управляющей компании. Не применяйте данный метод у себя в локальной сети, администраторы Вашей сети могут быть подготовлены к таким действиям и успеют разогреть паяльник до того как поднимутся к Вам в кабинет:)
Теперь о главном - меры предосторожности:
- Шифрование данным асимметричными ключами, передача и обмен ключами только по надёжным каналам;
- Обязательное использование фаерволлов на клиентских компьютерах;
- Пристальное внимание к централизованному управлению политиками безопасности;
- Использование VPN каналов.
Активное развитие технологий в области передачи данных, выход на рынок новых бизнес-приложений и интеграция IT инфраструктуры с системами безопасности всё чаще вызывают несостоятельность ИТ систем у предприятий малого и среднего бизнеса. В моменты, когда можно зарабатывать еще больше за счет открывающихся возможностей, владельцы бизнеса сталкиваются с необходимостью модернизации IT инфраструктуры. Порой улучшение в работе корпоративной сети может дать покупка нового оборудования, а иногда помогает изменение сетевой топологии. В обоих случаях рекомендуется сперва провести профессиональный аудит своей IT инфраструктуры. Как показывает практика, аудит корпоративной сети довольно часто запрашивается владельцем бизнеса еще и с целью проверки деятельности своей IT службы или системного администратора.
Что представляет из себя технический аудит IT инфраструктуры?
Технический аудит корпоративной сети - это её комплексная проверка с выдачей заключения о качестве работы IT инфраструктуры. В заключении содержится подробная информация о параметрах работы сети, сведения о выявленных проблемах и узких местах, где необходима модернизация. Завершается оно конкретными рекомендациями по улучшению качества работы корпоративной сети.
Т.Е. владелец бизнеса получает объективную оценку состояния IT инфраструктуры и может подходить к вопросу дальнейших инвестиций более конструктивно.
В ходе аудита удается получить ответы на следующие вопросы и задачи:
- Выполнение ревизии компьютерной техники;
- Оценка действий сотрудников IT службы и других отделов;
- Выявление причин роста затрат на трафик в Интернете;
- Обнаружение проблем сетевой безопасности;
- Тестирование пропускной способности корпоративной локальной сети.
В ходе аудита проверяется работа структурированной кабельной системы и проводится обследование локальной сети вместе с активным сетевым и компьютерным оборудованием.
Давайте рассмотрим состав обследуемого оборудования более подробно. В ходе аудита проверяются:
В ходе проверки СКС оценивается корректность укладки кабелей, качество обжатия коннекторов, температура в серверных помещениях и т.п. Параллельно с этим аудиторы оценивают деятельность штатной IT службы на предмет профессионализма в их действиях. Отслеживается уровень информационной безопасности серверов и Wi-Fi сети , а также определяется топология корпоративной сети.
Из каких этапов состоит аудит корпоративной локальной сети?
Технический аудит состоит из трех основных этапов: подготовка, обследование и выдача рекомендаций Заказчику.
Давайте рассмотрим, как происходит процесс подготовки. После заключения договора и внесения предоплаты определяется область проведения обследования (составляется список исследуемых объектов). В сотрудничестве с руководством Заказчика осуществляется сбор необходимых для обследования данных (проектная документация по СКС, понимание структуры сети и пр.). Завершается подготовка после составления программы предстоящих работ.
- Интервьюирование или анкетирование сотрудников организации, которые включены в работу IT подсистем;
- При помощи специального программного обеспечения , которое устанавливается на рабочих станциях и серверах, составляется структурная схема корпоративной сети. Попутно собираются данные о конфигурации компьютеров, серверов и сетевого оборудования. Фактически проводится инвентаризация компьютерной техники;
- Исследование журналов системных событий на серверах и рабочих станциях;
- Проводится мониторинг работы и состояния активного сетевого оборудования;
- Проводится исследование сетевой безопасности и определяется уровень защиты от проникновений из Интернета;
- Оцениваются перспективы развития ИТ инфраструктуры в компании.
На основании данных, которые были получены в ходе обследования, формируется сводная таблица параметров рабочих станций. Кроме неё создается схема размещения и работы сетевого оборудования, где подробно описывается работа каждого порта.
Таким образом, анализ складывается из совокупности программных тестов и оценок IT инфраструктуры со стороны аудиторов.