Советы. Интернет. Программы. Настройки. Безопасность. Гаджеты
Вы здесь: » »

Аутсорсинг IT инфраструктуры офиса: обслуживание информационных систем предприятия. Аудит локальных сетей Отчет документ аудит локальной сети

Протоколирование - это сбор и накопление информации о событиях, происходящих в информационной системе в процессе ее функционирования.

Аудит - это анализ накопленной информации, проводимый оперативно или периодически (например, один раз в день).

Реализация протоколирования и аудита в системах защиты преследует следующие основные цели:

Обеспечение подотчетности пользователей и администра­торов;

Обеспечение возможности реконструкции последователь­ности событий;

Обнаружение попыток нарушения информационной без­опасности;

Предоставление информации для выявления анализа проблем.

Принцип работы систем обнаружения нарушения информа­ционной безопасности заключается в том, что отслеживаются аномалии сетевого трафика. Отклонения в большинстве случаев являются признаком сетевой атаки. Например, нетипичная длина сетевого пакета, неполная процедура установления соедине­ния - все эти критерии фиксируются системами обнаружения атак (СОВ). У данного способа обнаружения атак был и остается один существенный недостаток - он имеет дело с уже свершив­шимися событиями, т.е. с уже реализованными атаками. Знания о совершенных несанкционированных действиях позволяют предотвратить повторение этих действий.

Примеры вопросов

1. Протоколирование действий пользователей дает возможность:

Решать вопросы управления доступом;

Восстанавливать утерянную информацию;

Обеспечивать конфиденциальность информации;

реконструировать ход событий при реализации угрозы безопас­ности информации?

2. Сетевой аудит включает:

Выборочный анализ действий пользователей в сети;

Протоколирование действий всех пользователей в сети;

Анализ всех действий пользователей в сети;

Анализ безопасности каждой новой системы (как программной, так и аппаратной) при ее инсталляции в сеть?

Экранирование

Экран контролирует информационные потоки между узлами сети. Контроль потоков состоит в их фильтрации с выполнением некоторых преобразований.

Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, определяемых политикой безопасности организации. Межсетевые экраны про­изводят логический анализ получаемой информации. При этом учитываются содержание информации, порт, через который по­ступил сетевой запрос, и т.д.

Примеры вопросов

1. Какое средство наиболее эффективно для защиты от сетевых
атак:

использование сетевых экранов, или Firewall;

Посещение только «надежных» интернет-узлов;

Использование антивирусных программ;

Использование только сертифицированных программ-браузеров при доступе к сети Интернет?

2. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ) заключается в том, что:

Принципиальных отличий МЭ от СОВ нет;

МЭ работают только на сетевом уровне, а СОВ - еще и на физическом;

МЭ были разработаны для активной или пассивной защиты, а СОВ - для активного или пассивного обнаружения;

МЭ были разработаны для активного или пассивного обнару­жения, а СОВ - для активной или пассивной защиты?

Шифрование

Различают два основных метода шифрования: симметричный и асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для шифрования, и для расшифровки данных. Во втором используются два ключа. Один из них несе­кретный (он может публиковаться вместе с адресом пользовате­ля), используется для шифрования сообщения, другой, секретный (известный только получателю) - для расшифровки.

Криптография необходима для реализации трех сервисов безопасности: шифрования; контроля целостности и аутенти­фикации.

Пример вопроса

Криптографическое преобразование информации - это:

Ограничение доступа;

Резервное копирование;

Использование системы паролей;

шифрование?

Электронная подпись

Электронная цифровая подпись (ЭЦП) - реквизит электронного до­кумента, предназначенный для защиты данного электронного до­кумента от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифициро­вать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Алгоритм шифрования подписи должен определять секретный ключ пользователя, известный только владельцу ключа. Алгоритм проверки правильности подписи должен определять открытый ключ пользователя, известный абонентам-получателям. При та­ком подходе воспользоваться подписью может только владелец ключа, а проверить ее подлинность - любой абонент, которому передан открытый ключ, путем дешифрования сообщения этим ключом.

Пример вопроса

1. Электронно-цифровая подпись позволяет:

удостовериться в истинности отправителя и целостности сообще­ния;

Восстанавливать поврежденные сообщения:

Пересылать сообщение по секретному каналу;

Зашифровать сообщение для сохранения его секретности.

Антивирусная защита

Классификация вирусов. Компьютерный вирус - это программа, способная к самостоятельному размножению и функциони­рованию, и имеющая защитные механизмы от обнаружения и уничтожения. В настоящее время известно более 5000 программ­ных вирусов, которые можно классифицировать по различным признакам.

В зависимости от среды обитания вирусы подразделяются на сетевые, файловые и загрузочные.

Сетевые вирусы распространяются по различным компью­терным сетям.

Файловые вирусы инфицируют главным образом исполняемые файлы с расширениями СОМ и ЕХЕ.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска.

По способу заражения вирусы делятся на резидентные и не­резидентные.

Резидентные вирусы при заражении компьютера помещаются в оперативную память. Они перехватывают обращения опера­ционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряются в них.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия, можно лишь выделить основные типы:

вирусы-репликаторы (черви) распространяются по ком­пьютерным сетям, вычисляют адреса сетевых компьютеров и
записывают по этим адресам свои копии. Вирусы-черви не изменяют содержимое файлов, однако они очень опасны, так как
уменьшают пропускную способность сети и замедляют работу серверов;

вирусы-невидимки (стеле-вирусы) очень трудно обнаружи­ваются и обезвреживаются, так как они перехватывают обраще­ния операционной системы к пораженным файлам и секторамдисков и подставляют вместо своего тела незараженные участки диска;

вирусы-мутанты содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса
не имеют ни одной повторяющейся цепочки байтов;

квазивирусные, или «троянские», программы не способны к самораспространению, но очень опасны, так как, маскируясь под
полезную программу, разрушают загрузочный сектор и файловую систему дисков или собирают на компьютере информацию, не
подлежащую разглашению.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также ком­пьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с носителя информации, содержащего вирус.

Основные признаки появления вирусов:

Медленная работа компьютера, частые зависания и сбои;

Исчезновение файлов и каталогов или искажение их со­держимого;

Изменение размера, даты и времени модификации фай­лов;

Значительное увеличение количества файлов на диске;

Уменьшение размера свободной оперативной памяти;

Вывод на экран непредусмотренных сообщений или звуковых сигналов.

Примеры вопросов

1. Вирусы распространяются:

При чтении файла;

при выполнении исполняемого файла;

При создании файла;

При копировании файла?

2. Основным путем заражения вирусами по сети является:

HTML-документ;
. SMS;

почтовое сообщение;

Сообщения с Интернет-пейджера?

3. Вирусы по способу заражения среды обитания подразделяются:

На растровые - векторные;

На резидентные - нерезидентные;

На физические - логические;

Па цифровые - аналоговые?

4. Файловые вирусы поражают:

Аппаратную часть компьютера;

Оперативную память;

Системные области компьютера;

программы на внешних носителях памяти?

5. Сетевые черви - это:

Программы, которые изменяют файлы на дисках и распростра­няются в пределах компьютера;

Программы, распространяющиеся только при помощи электронной почты через Интернет;

программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или
пользователей и рассылают по этим адресам свои копии;

Вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от электросети?

6. Троянской программой является:

Программа, проникающая на компьютер пользователя через Интернет;

вредоносная программа, которая сама не размножается, а выдает себя за что-то полезное, тем самым пытаясь побудить пользо­вателя переписать и установить на свой компьютер программу
самостоятельно;

Программа, вредоносное действие которой выражается в уда­лении или модификации системных файлов компьютера;

Программа, заражающая компьютер независимо от действий пользователя?

7. Заражение компьютерным вирусом не может проявляться как:

вибрация монитора;

Изменение даты и времени модификации файлов;

Замедление работы компьютера;

Появление на экране непредусмотренных сообщений?

Классификация антивирусных программ. Антивирусные про­граммы подразделяются на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (им-мунизаторы).

Программы- детекторы позволяют обнаруживать файлы, за­раженные одним из известных вирусов. Эти программы проверяют файлы на указанном пользователем логическом диске на наличие в них специфической для данного вируса комбинации байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Большинство программ-детекторов имеют режимы лечения или уничтожения зараженных файлов. Программы-детекторы, как правило, не способны обнаруживать в памяти компьютера «невидимые» вирусы.

Программы-ревизоры запоминают сведения о состоянии си­стемы (до заражения), после чего на всех последующих этапах работы программа-ревизор сравнивает характеристики программ и системных областей дисков с исходным состоянием и сооб­щает пользователю о выявленных несоответствиях. Как правило, сравнение состояний производится сразу после загрузки опера­ционной системы. При сравнении проверяются длина файла, контрольная сумма файла, дата и время последней модификации. Многие программы-ревизоры могут отличать изменения в фай­лах, сделанные пользователем, от изменений, вносимых вирусом, так как вирусы обычно производят одинаковые изменения в разных программных файлах.

Программы-доктора, или фаги - программы, которые не только обнаруживают зараженные файлы и системные области дисков, но и «лечат» их в случае заражения. Вначале своей работы фаги ищут вирусы в оперативной памяти, уничтожают их, после чего переходят к «лечению» файлов. Среди фагов можно выделить полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Программы-фильтры, или «сторожа» располагаются в опе­ративной памяти компьютера и перехватывают обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда программной среде:

Попытки коррекции загрузочных файлов;

Цель аудита сети - анализ уязвимостей компонентов автоматизированных систем (таких как сервера баз данных, межсетевые экраны, маршрутизаторы, сервера приложений, терминальные, почтовые, WEB, рабочие станции) с целью устранения этих уязвимостей, оптимизации и повышения надежности.

Аудит локальной сети - это комплексная диагностика платформы функционирования информационной системы и ее составной части - компьютерной сети с целью локализации дефектов и "узких мест", характеризующих общее состояние, а также дающее возможность оценить количественные характеристики и качество обслуживания.

В рамках технического аудита сети проводится комплекс работ, позволяющих сделать достоверные выводы о производительности и исправности серверов, рабочих станций, активного оборудования, каналов связи локальной и распределенной сети, каналов связи с Internet (качество услуг ISP), а также о качестве работы основных сетевых сервисов (WEB, SQL, SMTP).

Для чего нужен аудит ЛВС

Многие организации производят стыковку своих сетей с общественными сетями передачи данных (Public Data Networks), в частности с Internet. В связи с этим обеспечение безопасности передаваемой и хранимой информации требует все больших усилий. Кроме того, безопасность информации напрямую зависит и от надежности работы самой сети, поэтому неудивительно, что все меньше остается предприятий, желающих строить сети кустарным способом. Большинство их доверяют проектирование и построение сетей специализированным фирмам. Это дает возможность предприятию получить грамотно реализованную компьютерную сеть, но, конечно, не гарантирует безопасности информации. Для этого необходимо осуществлять специальные организационно-технические меры.

При правильном использовании возможностей аудита можно без дополнительных финансовых затрат существенно повысить безопасность информации в имеющейся компьютерной сети.

Аудит ЛВС целесообразно проводить в следующих случаях:

  1. перед модернизацией сети, если Вы хотите спроектировать новую сеть на основе объективных "цифр", а не на основе "субъективных ощущений" администратора сети
  2. чтобы установить истину, когда одна сторона утверждает, что виновата сеть, а другая сторона, что виноваты прикладные программы
  3. после модернизации сети, чтобы убедиться, что сеть была спроектирована адекватно требованиям ТЗ, например, если системный интегратор при сдаче сети заказчику не проводил ее комплексное тестирование (а проверил, например, только качество кабельной системы)
  4. при запуске нового программного обеспечения, когда необходимо установить является ли существующая сеть приемлемой технически и/или субъективно, для функционирования нового комплекса
  5. при возникновении подозрений в утечке трафика и несанкционированного доступа к ресурсам локальной сети Заказчика
  6. для оценки качество сервиса. Например, чтобы убедиться, что ISP выполняет взятые на себя обязательства по качеству предоставляемого сервиса (производительности канала, его доступности и т.п.)
  7. при передаче функций администрирования локальной сети другому лицу или организации

Что входит в аудит локальных вычислительных сетей

Внутренний аудит ресурсов локальной сети

  • изучение особенностей аппаратных и программных ресурсов рабочих станций и серверов локальной сети Заказчика
  • состояние носителей информации, их отказоустойчивость
  • наличие систем резервного копирования информации
  • анализ распределения прав доступа и возможностей получения информации из публичных или удалённых сетей
Сканирование локальной компьютерной сети заказчика

Сканирование позволяет выявить уязвимости, которые есть в сети, даст четкую картину того, что видит взломщик при атаке на компьютеры или сеть.

Любой узел, предоставляющий какой-нибудь сервис, не может быть на 100% защищен. Если компьютер уязвим, то уязвимость в какой-то момент времени может быть использована. Даже наиболее сложные системы безопасности могут иметь "дыры" и аудит системы безопасности с внешней стороны является наилучшим способом обнаружить это. Сканирование включает более 1000 тестов для ОС UNIX, Windows и активного сетевого оборудования. Некоторые тесты называются "сбор информации" и они производятся для того, чтобы показать, что постороннее лицо может узнать о вашем компьютере. Остальные тесты проверяют уязвимость систем, производиться сканирование на наличие известных "дыр". Каждый компьютер сканируется на наличие открытых портов, и пользователи будет знать, какие из запущенных сервисов видны и уязвимы для хакерских атак.

Сканирование не наносит вреда, так как "разрушительные" действия не предпринимаются.

При сканировании риск минимизируется, избегается перегрузка сети или превышение максимума пропускной способности сети.

Однако не стоит считать сканирование панацеей от всех бед. Эти работы ни в коем случае не заменяют полного комплекса мер по обеспечению режима безопасности. Они всего лишь помогают быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.

Надо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.

Внешний аудит, тестирование на проникновение

Выявление в предоставленных для исследования Интернет-ресурсах Заказчика уязвимостей и определение их уровня;

В случае обнаружения уязвимостей, Исполнитель предоставляет документальные доказательства возможности компрометации, искажения, уничтожения критичной информации Заказчика в предоставленных для исследования Интернет-ресурсах Заказчика;

На основании результатов проведенных работ Заказчик сможет:

  • Определить эффективность защиты критичной информации от несанкционированного доступа через Интернет
  • Устранить существующие уязвимости принадлежащих Заказчику Интернет-ресурсах
  • Уменьшить риск несанкционированной компрометации, искажения, уничтожения критичной информации Заказчика со стороны глобальной компьютерной сети Интернет

Результаты аудита локальных вычислительных сетей

В результате проведения обследования Заказчик получает:

  • перечень выявленных уязвимостей (слабых мест) в настройках оборудования, сетевых сервисов, операционных систем, прикладного программного обеспечения
  • подробное описание каждой обнаруженной уязвимости, ее расположение и оценка возможных последствий ее использования злоумышленниками
  • рекомендации по нейтрализации уязвимостей (снижению возможного ущерба от их использования злоумышленниками), изменению конфигурации и настроек компонент АС, используемых защитных механизмов, установке необходимых обновлений (patches, hot-fixes) установленного программного обеспечения и т.п.
Технический Аудит Сети - это комплексная проверка сети, результатами которой являются:
  1. письменное заключение о качестве работы сети:
    • информация о характеристиках работы сети
    • дефектах
    • "узких местах"
  2. рекомендации по улучшению работы сети

Почему у нас

Наша компания специализируется на администрировании офисных компьютерных сетей и имеет большой опыт по их настройке. Работая с различными организациями, мы хорошо изучили их потребности.

Анкета (список вопросов)

Вопросы к Клиенту для проведения аудита сети на выявление угроз информационной безопасности
  1. Существует ли схема (паспорт) Вашей сети? (с названием серверов, доменов, обозначением клиентских мест, обозначением IP адресов
  2. Что представляет из себя внутренняя сеть компании (главное отделение, филиалы), какими каналами связи соединены филиалы с главным офисом, имеются ли мобильные пользователи, подключающиеся через удаленный доступ (модем или выделенная линия)
  3. Какая доменная (или иная) структура сети (Unix, Windows Server, Novell, другое)
  4. Какие операционные системы установлены на серверах и рабочих станциях, общее количество и процентное соотношение
  5. Имеется ли выход в Интернет, для всех пользователей или нет, указать количество и машины, где имеются
  6. Какие почтовые, WEB, VPN, терминальные сервера имеются в компании
  7. Имеются ли модемы, используют ли сотрудники съемные накопители или флэш-карты, опечатаны ли корпуса компьютеров
  8. Имеются ли средства защищенности, описать каждое (антивирусы, IDS, файрволы, смарт-карты, VPN, другое)
  9. Имеются ли внешние Интернет сервисы (Web сайт), используется ли ICQ
  10. Используются ли базы данных, описать тип

Процедура АУДИТА

Технический аудит ЛВС проводят сертифицированные специалисты компании "ТэТ-СЕРВИСс" совместно с представителями заказчика.

Результаты технического аудита позволяю руководителям компаний:

  • Объективно оценить соответствие ИТ требованиям бизнеса
  • Провести анализ выявленных недостатков и упущений
  • Обосновать потребность в инвестициях в управленческую деятельность
  • Прогнозировать развитие ситуации и надежно управлять ею
  • Эффективно планировать развитие ИТ-структуры организации
  • Осознавать выгоды и риск при внесении изменений в информационную систему
  • Прогнозировать возникновение проблемных ситуаций (проблем и инцидентов)
  • Обосновано решать проблемы информационной безопасности и контроля деятельности
  • Аргументированно приобретать или модернизировать аппаратно-программные средства
  • Принимать своевременное решение о приобретении технических услуг (outsourcing)
  • Проводить планомерное повышение квалификации сотрудников ИТ-подразделений
  • Управлять ИТ-составляющей бизнес-проектов (контролировать время и стоимость их реализации, оценивать полноту достижения целей)

Аудит локальных вычислительных сетей
Аудит маршрутизатора ЛВС на предмет уязвимости от атак через сеть Интернет 6000
Комплексный аудит ЛВС, до 2-х серверов и 20 рабочих станций 10000
Комплексный аудит ЛВС, до 4-х серверов и 50 рабочих станций 20000
Комплексный аудит ЛВС, до 6-х серверов и 100 рабочих станций 30000
Все цены указаны в рублях, с НДС.

Активное развитие технологий в области передачи данных, выход на рынок новых бизнес-приложений и интеграция IT инфраструктуры с системами безопасности всё чаще вызывают несостоятельность ИТ систем у предприятий малого и среднего бизнеса. В моменты, когда можно зарабатывать еще больше за счет открывающихся возможностей, владельцы бизнеса сталкиваются с необходимостью модернизации IT инфраструктуры. Порой улучшение в работе корпоративной сети может дать покупка нового оборудования, а иногда помогает изменение сетевой топологии. В обоих случаях рекомендуется сперва провести профессиональный аудит своей IT инфраструктуры. Как показывает практика, аудит корпоративной сети довольно часто запрашивается владельцем бизнеса еще и с целью проверки деятельности своей IT службы или системного администратора.

Что представляет из себя технический аудит IT инфраструктуры?

Технический аудит корпоративной сети - это её комплексная проверка с выдачей заключения о качестве работы IT инфраструктуры. В заключении содержится подробная информация о параметрах работы сети, сведения о выявленных проблемах и узких местах, где необходима модернизация. Завершается оно конкретными рекомендациями по улучшению качества работы корпоративной сети.

Т.Е. владелец бизнеса получает объективную оценку состояния IT инфраструктуры и может подходить к вопросу дальнейших инвестиций более конструктивно.

В ходе аудита удается получить ответы на следующие вопросы и задачи:

  • Выполнение ревизии компьютерной техники;
  • Оценка действий сотрудников IT службы и других отделов;
  • Выявление причин роста затрат на трафик в Интернете;
  • Обнаружение проблем сетевой безопасности;
  • Тестирование пропускной способности корпоративной локальной сети.

В ходе аудита проверяется работа структурированной кабельной системы и проводится обследование локальной сети вместе с активным сетевым и компьютерным оборудованием.

Давайте рассмотрим состав обследуемого оборудования более подробно. В ходе аудита проверяются:

В ходе проверки СКС оценивается корректность укладки кабелей, качество обжатия коннекторов, температура в серверных помещениях и т.п. Параллельно с этим аудиторы оценивают деятельность штатной IT службы на предмет профессионализма в их действиях. Отслеживается уровень информационной безопасности серверов и Wi-Fi сети , а также определяется топология корпоративной сети.

Из каких этапов состоит аудит корпоративной локальной сети?

Технический аудит состоит из трех основных этапов: подготовка, обследование и выдача рекомендаций Заказчику.
Давайте рассмотрим, как происходит процесс подготовки. После заключения договора и внесения предоплаты определяется область проведения обследования (составляется список исследуемых объектов). В сотрудничестве с руководством Заказчика осуществляется сбор необходимых для обследования данных (проектная документация по СКС, понимание структуры сети и пр.). Завершается подготовка после составления программы предстоящих работ.

  • Интервьюирование или анкетирование сотрудников организации, которые включены в работу IT подсистем;
  • При помощи специального программного обеспечения , которое устанавливается на рабочих станциях и серверах, составляется структурная схема корпоративной сети. Попутно собираются данные о конфигурации компьютеров, серверов и сетевого оборудования. Фактически проводится инвентаризация компьютерной техники;
  • Исследование журналов системных событий на серверах и рабочих станциях;
  • Проводится мониторинг работы и состояния активного сетевого оборудования;
  • Проводится исследование сетевой безопасности и определяется уровень защиты от проникновений из Интернета;
  • Оцениваются перспективы развития ИТ инфраструктуры в компании.

На основании данных, которые были получены в ходе обследования, формируется сводная таблица параметров рабочих станций. Кроме неё создается схема размещения и работы сетевого оборудования, где подробно описывается работа каждого порта.
Таким образом, анализ складывается из совокупности программных тестов и оценок IT инфраструктуры со стороны аудиторов.

Привет, %username%! Готов поспорить, что рано или поздно все сисадмины относительно небольших компаний сталкиваются с такой волшебной задачей от руководства, как составление проекта развития ИТ-инфраструктуры компании. Особенно если тебе предложили должность и сразу же попросили составить план развития и бюджетирования. Вот и мне однажды поставили такую задачу. О всех подводных камнях, с которыми можно столкнуться, я и напишу. Всем заинтересовавшимся велкам под кат!


Сразу поясню, что вы тут не найдете советов о том, какое оборудование выбирать для тех или иных решений, какие программные продукты выбирать, open source или платное ПО, с какими интеграторами общаться стоит, а с какими нет. Это все полностью индивидуально и будет напрямую зависеть от вас и того, что в итоге вы хотите - залатать дыры в текущем корыте или построить ИТ-инфраструктуру таким образом, чтобы любая задача сводилась к нажатию кнопки “СДЕЛАТЬ ХОРОШО” (да я ленивый).


Данная статья больше нацелена на тех, кто совсем мало в этой сфере работает и от него требуют всего и сразу. Думаю молодым сисадминам небольших компаний будет полезно.


Вот собственно примерный список проблем, с которыми можно столкнуться при проведении аудита ИТ-инфраструктуры:


1. Отсутствие тех, у кого можно хоть что-то спросить - именно такая проблема встала передо мной, когда руководство поручило провести аудит с целью улучшения инфраструктуры в целом. На тот момент я являлся самым старым сотрудником отдела компании и поинтересоваться мне было просто не у кого. По этой причине времени на ковыряние и попытку понять “за каким же это хреном сделано” было затрачено не мало, ведь пока я был простым сисадмином меня почти не посвящали в тонкости организации ИТ-инфраструктуры.


2. Отсутствие четко поставленных хотелок со стороны руководства - все думаю согласятся с тем, что нам - айтишникам - по долгу службы приходится быть немного экстрасенсами, т.к. довольно много приходится додумывать и допонимать, опираясь на контекст поставленной задачи. В моем случае приходилось додумывать варианты направления развития бизнеса в целом.


3. Отсутствие четкого (документированного) описания текущей инфраструктуры - увы (! ) этого не было никогда ранее. Никто и никогда не составлял банальную карту сети офиса. Не описывал как организована связь между филиалами (коих более 10 штук по всей стране). Я уже не говорю про банальную маркировку кабелей на маршрутизаторах.


4. Полное отсутствие документации - вообще! Абсолютно никакой документации не велось в отделе никогда. И это категорически печально. Ведь банальные копии договоров (на телефонию, интернет, обслуживание 1С, аренду хостинга и прочее) хотя бы в электронном виде должны быть в отделе. И это одно из обязательных условий, ведь любой сотрудник отдела ИТ должен знать, к кому обратиться в случае если упал интернет в другом регионе (где время +3 к Москве).


5. Отсутствие общей базы паролей - все пароли были разные и менялись от случая к случаю. Весь этот ворох приходилось держать в голове, т.к. “все что записано однажды - может быть и считано”. Для того, чтобы предоставить новому сотруднику определенный доступ, необходимо переписать в почте (или на бумажке) все логины и пароли и передать их лично ему. А если ты еще не правильно пароль вспомнил… Ужас!


6. Отсутствие информации о том, как все организованно в регионах - имелась информация лишь о том, сколько там человек, кто руководитель и… всё! Т.е. имелась просто абстракция под названием “Региональное представительство в городе Мухосранске, где сидит 15 человек”. Никто никогда не задавался вопросом, как там устроена сеть, какие у нее слабые места, как происходит доступ сотрудников представительства в сеть Интернет, как организован доступ сотрудников к сетевым ресурсам центрального офиса.


И это еще не полный список, т.к. таких косяков просто огромное количество. И все они встретились мне на пути. Одним из тяжелейших моментов могу назвать тот факт, что я этим занимался впервые и ударить в грязь лицом не хотелось.


Понимая немного психологию в целом и учитывая, что огромная часть нас - айтишников - это интроверты, при составлении такого аудита в большинстве случаев побоятся обратиться к руководству компании с банальными вопросами. И мне было страшно. Но тем не менее я был вынужден переступить через свои страхи и задать те банальные вопросы, на которые мне способно дать ответ руководство.

Я не стану напоминать о том, что необходимо сделать инвентаризацию для того, чтобы понимать с чем работаешь, что является устаревшим, что можно заменить на более производительное. Это обязательное мероприятие. А вот о том, что после переписи всего оборудования надо все разделить всё на категории (активное сетевое, workstaion, bussiness-critical servers and service) напомню. При наличии доступа к административной панели сделать бэкапы конфигураций, описать “что”, “зачем” и “для чего” настроено в конкретной железке, переписать все сетевые адреса серверов, управляемых железок (да простят меня господа сетевики), сетевых хранилищ, принтеров и всего, что имеет доступ к сети (ну кроме рабочих станций).


Следующим этапом можно попытаться составить примерную схему того, как устроена сеть на план-схеме этажа, чтобы понимать где может быть бутылочное горлышко. В моем случае была проблема в том, что сеть этажа поделена на две части и в дальней от серверной части были проблемы с сетью, а оказалось все банально - не экранированная витая пара лежала вместе с силовой линией этажа бизнес-центра напряжением на 220 и 380 вольт - какая к черту сеть, ребята. После этого можно приступать к анализу железа.


Анализ железячной составляющей это одно из важных мероприятий. Необходимо понимать, насколько актуально на текущий момент времени используемое железо (как сетевое и серверное, так и пользовательские ПК). Обычно на этом этапе выясняется (с поддержкой от бухгалтерии, а так же коммерческих отделов), что вся bussiness-critical информация хранится в виде документов Excell на сервере, у которого жесткие диски работают уже третий гарантийный срок (! ) и все удивляются тому, что “файлы по сети медленно открываются” и сам сервер шумит дисками как больной психиатрии стучащий ложкой по кастрюле. А сетевые железки сняты с производства еще за год до того, как их купили в компанию и по отзывам они ужасны. Или например wi-fi в офисе поднят на точках доступа, которые по всем отзывам считаются такой дрянью, которую врагу не пожелаешь.

Далее, необходимо оценить текущие серверные мощности

Необходимо именно оценить серверные мощности. Т.е. необходимо оценить работу текущих серверов (физических и виртуальных, если в вашей организации присутствует виртуализация) и оценить то, насколько используются ресурсы. Может быть стоит какие-то сервера (или серверы?) ликвидировать вообще, т.к. необходимость в них отпала уже давно, а убрать их боялись. Какие-то сервисы может быть удобнее объединить, а какие-то наоборот разделить, потому что они несовместимы на одной машине и чрезмерно нагружают систему.

Виртуализируйте все!

Когда парк ваших серверов и сервисов достигает критической массы и вы вынуждены заходя в серверную смотреть, что это за систменик или тыкаться по KVM в поисках нужного сервера, то вам явно требуется виртуализация. Все системы, которые можно запустить на виртуалке необходимо перевести в виртуальную среду (всяческие СКУДы, сервер корпоративного портала, корпоративное облако, etc). Современных, а главное удобных инструментов для этого предостаточно (VMware, Proxmox, Xen, Hyper-V). Просто определитесь с тем, что вам нужно/нравится/можно купить и запускайте в работу.

Виртуализацию в топку! Даешь только хардвер!

Не виртуализируйте критичные вещи - такие как шлюзы, маршрутизаторы, VPN-сервера используемые для аварийного доступа в сеть, сервера 1С (тут в меня могу полететь тухлые помидоры). Важно здраво оценивать все факторы, руководствуясь которыми вы принимаете решение о том, что загонять в виртуальную среду, а что нет. Идеальных решений не существует.

Организация сетей между филиалами

Вопрос довольно обширный и имеет множество решений. От самого простого - выделять каждому удаленному сотруднику логин и пароль для VPN, дорогого - арендовать L2-сеть у одного провайдера и до безумного - наставить самых различных сетевых железок от разных вендоров, с помощью которых организовать доступ в сеть на местах и доступ к сетевым ресурсам внутри компании (сетевые хранилища и т.п.). Оцените все “за” и “против” и примите верное и лучшее решение в конкретно вашем случае. Для простоты и понимания “что делать” и “как делать” смело приглашайте системных интеграторов и консультируйтесь с ними. За спрос не дадут по шее, а дадут понять как можно решить одну и ту же проблему разными способами (дешево и дорого). Уже после пары-тройки таких встреч вы сможете более точно и более четко описать для себя самого все свои хотелки и возможные способы их решения.


После всех выше описанных работ можно приступить к составлению примерного бюджета. Для выбора конкретных моделей оборудования обращайтесь за помощью в специализированные чаты (сам использовал чаты в Телеграм, т.к. там всегда живой народ и больше шансов получить быстрый ответ; список можно загуглить). Все оборудование, которое вы выбираете рассчитывайте с запасом на перспективу и рост потребностей ваших прямых клиентов - сотрудников компании. Больше общайтесь с руководством на тему дальнейшего развития бизнеса компании. Возможно они сами вам подскажут ответ на то, на что вы не знали ответа.

Вместо заключения

Правильно организуйте работу вашего отдела, особенно когда вас в отделе больше двух человек. Никогда не создавайте такую ситуацию, в которой какие-то вещи завязаны на одно человека. Это ваша точка отказа!


Старайтесь максимально документировать все свои действия на серверах в процессе изменения конфигураций сервисов. Это поможет и вам в дальнейшем, и вашим коллегам, которые будут работать вместе с вами (или вместо вас, когда вы пойдете на повышение/другую работу/отпуск).


И запомните две вещи:

  1. Идеальной инструкции не существует!
  2. Идеальной защиты не существует!

P.S.: На этом все. Жду ваших комментариев и здравой критики.

Теги: Добавить метки

Цель аудита сети - анализ уязвимостей компонентов автоматизированных систем (таких как сервера баз данных, межсетевые экраны, маршрутизаторы, сервера приложений, терминальные, почтовые, WEB, рабочие станции) с целью устранения этих уязвимостей, оптимизации и повышения надежности.

Аудит локальной сети - это комплексная диагностика платформы функционирования информационной системы и ее составной части - компьютерной сети с целью локализации дефектов и «узких мест», характеризующих общее состояние, а также дающее возможность оценить количественные характеристики и качество обслуживания.

В рамках технического аудита сети проводится комплекс работ, позволяющих сделать достоверные выводы о производительности и исправности серверов, рабочих станций, активного оборудования, каналов связи локальной и распределенной сети, каналов связи с Internet (качество услуг ISP), а также о качестве работы основных сетевых сервисов (WEB, SQL, SMTP).

Для чего нужен аудит ЛВС

Многие организации производят стыковку своих сетей с общественными сетями передачи данных (Public Data Networks), в частности с Internet. В связи с этим обеспечение безопасности передаваемой и хранимой информации требует все больших усилий.

Кроме того, безопасность информации напрямую зависит и от надежности работы самой сети, поэтому неудивительно, что все меньше остается предприятий, желающих строить сети кустарным способом. Большинство их доверяют проектирование и построение сетей специализированным фирмам. Это дает возможность предприятию получить грамотно реализованную компьютерную сеть, но, конечно, не гарантирует безопасности информации. Для этого необходимо осуществлять специальные организационно-технические меры.

При правильном использовании возможностей аудита можно без дополнительных финансовых затрат существенно повысить безопасность информации в имеющейся компьютерной сети.

Аудит ЛВС целесообразно проводить в следующих случаях:

1. перед модернизацией сети, если Вы хотите спроектировать новую сеть на основе объективных «цифр», а не на основе «субъективных ощущений» администратора сети

2. чтобы установить истину, когда одна сторона утверждает, что виновата сеть, а другая сторона, что виноваты прикладные программы

3. после модернизации сети, чтобы убедиться, что сеть была спроектирована адекватно требованиям ТЗ, например, если системный интегратор при сдаче сети заказчику не проводил ее комплексное тестирование (а проверил, например, только качество кабельной системы)

4. при запуске нового программного обеспечения, когда необходимо установить является ли существующая сеть приемлемой технически и/или субъективно, для функционирования нового комплекса

5. при возникновении подозрений в утечке трафика и несанкционированного доступа к ресурсам локальной сети Заказчика

6. для оценки качество сервиса. Например, чтобы убедиться, что ISP выполняет взятые на себя обязательства по качеству предоставляемого сервиса (производительности канала, его доступности и т.п.)

7. при передаче функций администрирования локальной сети другому лицу или организации.

Что входит в аудит локальных вычислительных сетей

Внутренний аудит ресурсов локальной сети:

Изучение особенностей аппаратных и программных ресурсов рабочих станций и серверов локальной сети Заказчика

Состояние носителей информации, их отказоустойчивость

Наличие систем резервного копирования информации

Анализ распределения прав доступа и возможностей получения информации из публичных или удалённых сетей

Сканирование локальной компьютерной сети заказчика

Сканирование позволяет выявить уязвимости, которые есть в сети, даст четкую картину того, что видит взломщик при атаке на компьютеры или сеть.

Любой узел, предоставляющий какой-нибудь сервис, не может быть на 100% защищен. Если компьютер уязвим, то уязвимость в какой-то момент времени может быть использована. Даже наиболее сложные системы безопасности могут иметь «дыры» и аудит системы безопасности с внешней стороны является наилучшим способом обнаружить это.

Сканирование включает более 1000 тестов для ОС UNIX, Windows и активного сетевого оборудования. Некоторые тесты называются «сбор информации» и они производятся для того, чтобы показать, что постороннее лицо может узнать о вашем компьютере. Остальные тесты проверяют уязвимость систем, производиться сканирование на наличие известных «дыр».

Каждый компьютер сканируется на наличие открытых портов, и пользователи будет знать, какие из запущенных сервисов видны и уязвимы для хакерских атак.

Сканирование не наносит вреда, так как «разрушительные» действия не предпринимаются.

При сканировании риск минимизируется, избегается перегрузка сети или превышение максимума пропускной способности сети.

Однако не стоит считать сканирование панацеей от всех бед. Эти работы ни в коем случае не заменяют полного комплекса мер по обеспечению режима безопасности. Они всего лишь помогают быстро проверить сотни узлов, в т.ч. и находящихся на других территориях.

Они помогут обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.

Надо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.

Внешний аудит, тестирование на проникновение

Выявление в предоставленных для исследования Интернет-ресурсах Заказчика уязвимостей и определение их уровня.

В случае обнаружения уязвимостей, Исполнитель предоставляет документальные доказательства возможности компрометации, искажения, уничтожения критичной информации Заказчика в предоставленных для исследования Интернет-ресурсах Заказчика;

На основании результатов проведенных работ Заказчик сможет:

Определить эффективность защиты критичной информации от несанкционированного доступа через Интернет

Устранить существующие уязвимости принадлежащих Заказчику Интернет-ресурсах

Уменьшить риск несанкционированной компрометации, искажения, уничтожения критичной информации Заказчика со стороны глобальной компьютерной сети Интернет

Результаты аудита локальных вычислительных сетей

В результате проведения обследования Заказчик получает:

Перечень выявленных уязвимостей (слабых мест) в настройках оборудования, сетевых сервисов, операционных систем, прикладного программного обеспечения

Подробное описание каждой обнаруженной уязвимости, ее расположение и оценка возможных последствий ее использования злоумышленниками

Рекомендации по нейтрализации уязвимостей (снижению возможного ущерба от их использования злоумышленниками), изменению конфигурации и настроек компонент АС, используемых защитных механизмов, установке необходимых обновлений (patches, hot-fixes) установленного программного обеспечения и т.п.

Технический Аудит Сети - это комплексная проверка сети, результатами которой являются:

1. письменное заключение о качестве работы сети:

Информация о характеристиках работы сети

Дефектах

Процедура АУДИТА

Технический аудит ЛВС проводят специалисты компании СЦ Компьютерные системы.

Результаты технического аудита позволяют руководителям компаний:

Объективно оценить соответствие ИТ требованиям бизнеса

Провести анализ выявленных недостатков и упущений

Обосновать потребность в инвестициях в управленческую деятельность

Прогнозировать развитие ситуации и надежно управлять ею

Эффективно планировать развитие ИТ-структуры организации

Осознавать выгоды и риск при внесении изменений в информационную систему

Прогнозировать возникновение проблемных ситуаций (проблем и инцидентов)

Обосновано решать проблемы информационной безопасности и контроля деятельности

Аргументированно приобретать или модернизировать аппаратно-программные средства

Принимать своевременное решение о приобретении технических услуг (outsourcing)

Проводить планомерное повышение квалификации сотрудников ИТ-подразделений

Управлять ИТ-составляющей бизнес-проектов (контролировать время и стоимость их реализации, оценивать полноту достижения целей).

Рубрика: Интернет
Поделиться