Активное развитие технологий в области передачи данных, выход на рынок новых бизнес-приложений и интеграция IT инфраструктуры с системами безопасности всё чаще вызывают несостоятельность ИТ систем у предприятий малого и среднего бизнеса. В моменты, когда можно зарабатывать еще больше за счет открывающихся возможностей, владельцы бизнеса сталкиваются с необходимостью модернизации IT инфраструктуры. Порой улучшение в работе корпоративной сети может дать покупка нового оборудования, а иногда помогает изменение сетевой топологии. В обоих случаях рекомендуется сперва провести профессиональный аудит своей IT инфраструктуры. Как показывает практика, аудит корпоративной сети довольно часто запрашивается владельцем бизнеса еще и с целью проверки деятельности своей IT службы или системного администратора.
Что представляет из себя технический аудит IT инфраструктуры?
Технический аудит корпоративной сети - это её комплексная проверка с выдачей заключения о качестве работы IT инфраструктуры. В заключении содержится подробная информация о параметрах работы сети, сведения о выявленных проблемах и узких местах, где необходима модернизация. Завершается оно конкретными рекомендациями по улучшению качества работы корпоративной сети.
Т.Е. владелец бизнеса получает объективную оценку состояния IT инфраструктуры и может подходить к вопросу дальнейших инвестиций более конструктивно.
В ходе аудита удается получить ответы на следующие вопросы и задачи:
- Выполнение ревизии компьютерной техники;
- Оценка действий сотрудников IT службы и других отделов;
- Выявление причин роста затрат на трафик в Интернете;
- Обнаружение проблем сетевой безопасности;
- Тестирование пропускной способности корпоративной локальной сети.
В ходе аудита проверяется работа структурированной кабельной системы и проводится обследование локальной сети вместе с активным сетевым и компьютерным оборудованием.
Давайте рассмотрим состав обследуемого оборудования более подробно. В ходе аудита проверяются:
В ходе проверки СКС оценивается корректность укладки кабелей, качество обжатия коннекторов, температура в серверных помещениях и т.п. Параллельно с этим аудиторы оценивают деятельность штатной IT службы на предмет профессионализма в их действиях. Отслеживается уровень информационной безопасности серверов и Wi-Fi сети , а также определяется топология корпоративной сети.
Из каких этапов состоит аудит корпоративной локальной сети?
Технический аудит состоит из трех основных этапов: подготовка, обследование и выдача рекомендаций Заказчику.
Давайте рассмотрим, как происходит процесс подготовки. После заключения договора и внесения предоплаты определяется область проведения обследования (составляется список исследуемых объектов). В сотрудничестве с руководством Заказчика осуществляется сбор необходимых для обследования данных (проектная документация по СКС, понимание структуры сети и пр.). Завершается подготовка после составления программы предстоящих работ.
- Интервьюирование или анкетирование сотрудников организации, которые включены в работу IT подсистем;
- При помощи специального программного обеспечения , которое устанавливается на рабочих станциях и серверах, составляется структурная схема корпоративной сети. Попутно собираются данные о конфигурации компьютеров, серверов и сетевого оборудования. Фактически проводится инвентаризация компьютерной техники;
- Исследование журналов системных событий на серверах и рабочих станциях;
- Проводится мониторинг работы и состояния активного сетевого оборудования;
- Проводится исследование сетевой безопасности и определяется уровень защиты от проникновений из Интернета;
- Оцениваются перспективы развития ИТ инфраструктуры в компании.
На основании данных, которые были получены в ходе обследования, формируется сводная таблица параметров рабочих станций. Кроме неё создается схема размещения и работы сетевого оборудования, где подробно описывается работа каждого порта.
Таким образом, анализ складывается из совокупности программных тестов и оценок IT инфраструктуры со стороны аудиторов.
Аудит сети. Понятие и система
Определяя понятие аудит сети, сразу следует отметить, что это совокупность мер по проверке её работоспособности. Расширение, ремонт и усовершенствование локальной сети – это закономерный результат и цель такого аудита.
Для чего в конечном счете проводится аудит локальной сети?
Одним из эффектов проведения аудита сети является формирование её состава, по сути инвентаризация ее элементов и процессов, всей инфраструктуры. Последняя при этом подвергается оптимизации, сеть становится безопаснее. Увеличивается сложность (в хорошем смысле слова), функциональность сети.
Именно в результате аудита сети становится ясно, что работает не так, а что может выполнять свои функции на порядок лучше.
Указанный комплекс мероприятий проходит несколько этапов. Для начала определяются общие характеристики, проводится анализ топологии сети, её уязвимостей, проводится комплексная диагностика безопасности и общей функциональности сети. После этого формируется детальный отчёт о том, в каком состоянии находится локальная сеть, указываются конкретные её недостатки и предлагается техническое задание (ТЗ) на апгрейд либо устранение неполадок.
По таком шаблону производится аудит практически всех сетей – и локальных, и коммутированных систем, электро-, теплосетей, газовых систем.
Аудит локальной компьютерной сети компании – на страже безопасности
В компаниях, не важно – коммерческих или некоммерческих, остро стоит вопрос безопасности внутренней сети. Для её обеспечения и проводится аудит локальной сети предприятия
По результатам проверки составляется отчет, в котором фиксируются слабые места – терминалы, файрволы, почтовые ящики и аккаунты.
Не забудем провести аудит электрических сетей
Комплекс проверочных мероприятий, проводимых в рамках аудита электросетей, направлен на выработку мер экономии и снижении эксплуатационных, ремонтных и модернизационных издержек. В рамках данного типа аудита проверяется соответствие параметров сети документальным данным, определяется элементный состав систем и уровень их монтажа. Выявляется степень безопасности, проводятся обследования.
Для чего нужен технический аудит котельных и тепловых сетей по теплопотерям
Аудит теплосетей, подобно предыдущему типу аудита направлен на повышение энергической и, в конечном счете, экономической эффективности предприятия. Энергопотери в результате правильно проведенного аудита снижаются, а объем сбережённых ресурсов растет. Статистика свидетельствует о достижении пятидесятипроцентной экономии. В масштабах крупного предприятия — это колоссальные цифры.
Аудит тепловых сетей включает в себя проверку:
- котельных;
- сети теплоснабжения;
- потребительской сети.
Предприятия различных сфер хозяйства – аптечные сети, торговые предприятия, промышленные зоны – нуждаются в проведении грамотного аудита с привлечением квалицированных специалистов.
Рассмотрим пример аудита сети на предмет сбора сведений о структуре, выявлении уязвимости, получения учётных данных пользователей.
На большинстве предприятий организации защиты сетевой инфраструктуры оставляет желать лучшего. Наличие в сети беспроводных точек доступа лишь упрощает проникновение в сеть, стоит только злоумышленнику подключить свой компьютер в свободную розетку, как скорее всего он получит всё необходимое...
Итак, приступим: подключаемся через любой доступный метод (в нашем случае для наглядности методов был произведён брутфорс wifi). Проникновение не стало серьёзной проблемой т.к. пароли в офисах часто ставятся понятные для персонала и относительно легко запоминающиеся, в нашем случае было именно так. После получения сетевого адреса выяснить адреса серверов DHCP и DNS не составляет труда. Следующим шагом было сканирование нужного диапазона сети и выявление компьютера администратора сети. Отметим основные признаки, по которым можно судить, что данный компьютер системного администратора:
- Название машины (Admin, root, или похожие по смыслу);
- Использование Linux в качестве операционной системы;
- Использование красивых ip-адресов (172.16.100.100 10.10.10.10 и т.д.);
- Характерные открытые порты.
В данном случае быстрый осмотр имён компьютеров не дал желаемого результата: в сети было много машин на основе разных платформ, насколько подсетей. Тем не менее, компьютер администратора сети был выявлен Lesno-v. Выяснилось это при помощи утилиты сканера портов Nmap. Согласитесь что у обычного пользователя не будут открыты ssh, vnc, web-vnc, webmin, rdp, и что самое подозрительное это порт 5190:). Узнав адрес машины 192.168.0.6 начинаем прослушку пакетов. Для данной цели была использована атака MitM (Man in the Middle) Для реализации такой атаки необходим так называемый ARP-spoofing. Суть его в следующем:
Когда админ лезет почитать руборд, его компьютер кричит на всю сеть - кто тут знает, в какой стороне руборд? Обычно шлюз отвечает "я знаю". Суть ARP-spoofing в том, что компьютер злоумышленника тоже начинает отвечать, что он знает где руборд и компьютер админа ему верит. В итоге все пакеты админа идут через компьютер атакующего на шлюз и дальше в интернет. По такой же цепочке пакеты возвращаются к компу админа. Соответственно все учетные данные в открытом или шифрованном виде проходят через атакующий компьютер. Кстати, это одна из самых популярных атак в банковских сетях. Итак посмотрим сто получится... запускаем backtrack. Идем в меню, находим утилиту Ettercap и запускаем ее. В меню утилиты выбираем Unified sniffing и указываем наш сетевой интерфейс (обычно eth0 или eth1).После чего указываем, какой компьютер атаковать (Select target). Указываем ip адрес вот так /192.168.0.6/ . Если нужен диапазон, то вот так /192.168.0.2-16/ Выбираем в меню Start Sniffing, теперь сканируем хосты с помощью меню Scan for hosts. Выбираем тип атаки ARP poisoning. После чего в появившемся окне ставим флажок sniff remote connections и нажимаем Start mitm attack. Открываем список соединеий (Connections) И ждем. Как только админ отправит учетные данные на подключение к чему либо, мы сразу это увидим.
После непродолжительного ожидания мы выявили необходимы нам данные. Админ решил зайти на mail.ru и судя по названию на корпоративную почту. Как видите, после проникновения в сеть получение критичных к распространению данных - лишь вопрос времени. Давайте рассмотрим плюсы и минусы такой атаки и методы защиты.
Плюсы:
- Работает практически всегда, не зависит от типа ОС;
- Если подменить сертификат можно получить данные из SSL трафика;
- Не зашифрованные данные ловятся моментально;
- Некоторые зашифрованные протоколы можно отловить при обмене ключами, например, протокол управления удалённым рабочим столом RDP.
Минусы:
- Позволяет прослушивать сеть до первого роутера. У роутера свои ARP-таблицы и проскочить через него с этим типом атаки в другую подсеть будет очень проблематично, но как правило на предприятиях один роутер;
- В случае шифрованных данных показывает hash, который приходится ломать перебором по словарям;
- При установленных VPN подключениях вообще ничего не показывает. Так и должно быть.
Все действия были проведены с предварительного разрешения управляющей компании. Не применяйте данный метод у себя в локальной сети, администраторы Вашей сети могут быть подготовлены к таким действиям и успеют разогреть паяльник до того как поднимутся к Вам в кабинет:)
Теперь о главном - меры предосторожности:
- Шифрование данным асимметричными ключами, передача и обмен ключами только по надёжным каналам;
- Обязательное использование фаерволлов на клиентских компьютерах;
- Пристальное внимание к централизованному управлению политиками безопасности;
- Использование VPN каналов.
Аудит сетевой инфраструктуры - это комплекс мероприятий направленных на выяснение текущего состояния дел в сетевой инфраструктуре предприятия, поиск и идентификацию "узких мест". По результатам аудита готовится отчет описывающий текущее положение дел и содержащий рекомендации по дальнейшей модификации или эксплуатации сетtвой инфраструктуры.
Когда (в каких случаях) эта услуга востребована?
Аудит сети целесообразно проводить в следующих случаях:
- Перед модернизацией сети, чтобы можно было спроектировать новую сеть на основе объективных данных, а не на основе "субъективных ощущений".
- После модернизации сети , чтобы убедиться, что сеть была реализована адекватно требованиям бизнеса.
- Чтобы установить истину , когда одна сторона утверждает, что виновата сеть, а другая сторона, что виновато прикладное программное обеспечение
- Для оценки качества сервиса . Например, чтобы убедиться, что провайдер сети интернет выполняет взятые на себя обязательства по качеству предоставляемого сервиса (пропускная способность канала, время задержки, доступность канала и т.п.)
- При передаче функций администрирования локальной сети другому лицу или организации
Какие преимущества эта услуга дает заказчику?
Аудит можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита для потенциальных клиентов заключается в следующем:
- У стороннего подрядчика нет прямой заинтересованности в результатах аудита, поэтому объективность его выводов выше.
- Специалисты подрядчика не обладают никакими предварительными знаниями о сети заказчика и вынуждены получать информацию о ней, интервьюируя персонал, анализируя предоставленные заказчиком документы, изучая конфигурацию устройств. Таким образом, они получают актуальное представление о состоянии сети.
- Специалисты заказчика, эксплуатирующие сеть, могут иметь неадекватное представление о ней, не догадываясь об этом, и, соответственно, не проверить какую-то информацию, считая ее очевидной.
- Подрядчик непрерывно взаимодействует с различными заказчиками, поэтому у него больше опыта и наработана более высокая квалификация.
- У подрядчика имеется проработанная технология, а также большой опыт выполнения аналогичных проектов, поэтому аудит будет проведен быстрее, качественнее, а затраты могут оказаться даже ниже.
- Привлечение собственных специалистов отвлекает их от основной деятельности. Это сказывается и на качестве их работы, и на качестве результатов аудита.
Описание услуги
Вне зависимости от объекта обследования проведение аудита включает три основных этапа:
- Сбор данных
Постановка задачи и уточнение границ работ
На данном этапе проводятся организационные мероприятия по подготовке проведения аудита:
- Уточняются цели и задачи аудита
- Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита
Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.
Сбор данных. Инвентаризация сети.
Инвентаризация сети на этом этапе обычно совмещается с интервьюированием персонала заказчика, осмотр активного и пассивного оборудования, сбор конфигурационной и операционной информации, измерение различных параметров сети.
Сбор данных может включать следующие типовые работы:
- интервьюирование персонала заказчика
- документальное обследование (анализ представленных документов)
- визуальное обследование инфраструктуры, инвентаризацию сети
- инструментальное обследование (приборные измерения):
- нагрузочное (стрессовое) тестирование локальной сети.
- нагрузочное тестирование каналов связи распределенной сети.
- мониторинг "здоровья" сети и сетевых сервисов.
- оценка качества канала связи с Internet.
- сбор конфигурационной и операционной информации
Детальный перечень выполняемых работ обычно определяется в ТЗ на аудит.
Анализ данных и подготовка отчета
Эти работы также определяются ТЗ. При их выполнении проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.
Этап анализа данных и оформления результатов может включать следующие типовые работы:
- проверка и анализ собранных данных
- анализ структуры сети
- анализ конфигурационных файлов
- подготовка эксплуатационной документации
- подготовка отчета об аудите
Этап завершается передачей заказчику разработанных документов.
Результат
Результатом аудита является создание пакета документов, содержащего детализированные данные о сетевой инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования сети.
Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния сети, выводы о соответствии сетевой инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.