Автор Тема: Программа инвентаризации сети, построения её схемы и мониторинга безопасности  (Прочитано 8660 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
ila_rendered

Скачать установочный msi-файл можно здесь: https://vk.com/public123696327), размер которого (12 МБ вместе с базой) к сожалению не позволяет разместить его на этом ресурсе.
Для работы потребуется регистрация.

1.2.   Место A2AD в системе обеспечения ИБ

Систему A2AD нельзя отнести ни к одному из рассмотренных выше (1.1) классов средств защиты.

Изначально A2AD проектировалась как система контроля за эффективностью работы уже действующих в автоматизированной системе средств защиты и выявления фактов нарушений пользователями политик безопасности. В части регистрации и учета событий безопасности в A2AD выполнены все требования регуляторов для автоматизированных систем класса защиты от НСД не ниже 1Г и 4-му уровню защищённости персональных данных.
Возможности A2AD по обнаружению не санкционированных подключений к сети могли бы отнести её к сетевым NAC или NIDS. Защита сетевых ресурсов и компьютеров от не авторизованного доступа либо несанкционированного управления - к классу узловых HIPS, а защита от утечек информации - к DLP.

Рассматривать информационную безопасность только как защиту от санкционированного доступа не верно. Ущерб информации может быть нанесён опосредованно, поэтому построение системы защиты должно быть комплексным, охватывающим все элементы инфраструктуры автоматизированной системы: от каналов связи и коммуникации, до электропитания и кондиционирования. Реализованные в A2AD функции мониторинга состояния каналов связи, доступности сетевых сервисов, обнаружение выхода за допустимые пределы любых технологических параметров оборудования и многие другие значительно расширяют круг решаемых задач.


1.2.1.   A2AD для системных администраторов

Консоль управления A2AD включает в себя комплекс инструментальных средств, позволяющим решать большой объём задач в едином информационном пространстве.
•   Инвентаризация сети
-   построение интерактивной карты сети и её топологии (коммутационных соединений и VLAN),
-   учёт оборудования сетевой инфраструктуры (MAC-адрес / IP-адрес / имя в сети),
-   учёт аппаратной конфигурации серверов и рабочих станций;
-   учёт используемого программного обеспечения и лицензий,
•   Мониторинг в реальном времени
-   активности устройств в сети;
-   подключений к сети и изменений настроек сетевых адаптеров,
-   загрузки процессора, оперативной памяти, жёстких дисков серверов и рабочих станций,
-   загрузки процессора, оперативной памяти, портов, ошибок пакетов, очередей ввода/вывода сетевых коммутаторов и маршрутизаторов,
-   доступность сетевых сервисов и служб,
-   параметров сетевого оборудования по протоколу SNMP.
•   Контроль
-   работающих процессов на станциях и серверах,
-   сообщений из журналов событий операционной системы,
-   учётных записей компьютеров и пользователей в домене (Active Directory),
-   используемых в системе дисков,
-   общих сетевых ресурсов,
-   файлов в общих папках или сетевых хранилищах,
-   сетевых подключений.
•   В распоряжении системного администратора
-   анализатор сетевого трафика (sniffer),
-   сканер сетевых устройств по протоколам ARP, ICMP или TCP,
-   сканер открытых TCP-портов,
-   трассировщик маршрутов TCP-пакетов в сети,
-   обозреватель SNMP,
-   сервис WhoIs.


1.2.2.   A2AD для специалистов по информационной безопасности

Программные Агенты A2AD, устанавливаемые на контролируемых рабочих станциях или серверах, в реальном времени собирают и передают на Консоль управления сведения о наиболее критичных событиях, происходящих в системе (например, запуск процесса, подключение внешнего диска, доступ к запрещённому сайту, событие журналов ОС System, Security и Application).

В зависимости от строгости принятых правил часть таких событий может трактоваться Консолью как угроза информационной безопасности. При этом, содержание обнаруженной угрозы документируется, а Агенту направляется задание по её ликвидации – это может быть предупредительное сообщение пользователю в случае его противоправных действий, отключение диска, прекращение работы приложения, выключение компьютера и др.
Общий перечень регистрируемых инцидентов:
-   не санкционированные подключения к сети,
-   изменение настроек сетевого оборудования (MAC-адрес / IP-адрес / Имя хоста),
-   отказ коммутационного оборудования (коммутаторы, маршрутизаторы, …) и каналов связи;
-   отказ в работе сетевых служб серверов,
-   выход параметров оборудования за допустимые пределы,
-   сбои в работе оборудования, операционных систем, попытки несанкционированных регистраций,
-   запуск на компьютерах не регламентного программного обеспечения,
-   подключение внешних накопителей,
-   копирование файлов на внешние накопители,
-   подключения к общим файловым ресурсам и изменения в их файловых системах,
-   контроль за возможными утечками информации из автоматизированной системы.


Кому интересно - пишите здесь или на S1-64@yandex.ru



« Последнее редактирование: 19 июня 2018, 11:53:51 от S64 »

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
Не, ну интересно в целом... Сейчас качну, посмотрю.
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
а также ссылки на сайты с целью повышения их посещаемости
У ВК и без нас посещаемость немалая :D

S64, перетащи сюда побольше данных, не у всех ВК вообще открыт.
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Навскидку интересно, но смотреть буду в понедельник.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн AlexeyVN

  • Новичок
  • *
  • Сообщений: 1
  • Рейтинг: 1
  • Пол: Мужской
    • g3bron77
    • Просмотр профиля
  • Откуда: BY
Подскажите с чем может быть связанна вот такая ошибка?

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Ошибка была связана с тем, что попутал версию программы и базы данных (программа пыталась получить информацию из таблицы базы данных, в которой нет требуемого столбца). В данной ситуации это сообщение можно проигнорировать.

Спасибо!
« Последнее редактирование: 05 июля 2017, 17:32:33 от S64 »

Оффлайн DedMagarbI4

  • Ветеран
  • *****
  • Сообщений: 1921
  • Рейтинг: 12
  • Пол: Мужской
    • Просмотр профиля
mib базы каких вендеров есть в программе?
насколько они актуальны для разных вендоров?
можно ли их подключать вручную?

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
СисАдмину: Наблюдение за сетью и кон
« Ответ #7 : 13 февраля 2017, 17:11:10 »
DedMagarbI4, программа доработана.
Теперь можно настроить функции построения карты сети и контроля загруженности коммутаторов/маршрутизаторов для оборудования, используемого на вашем предприятии.


Выкладываю и методику построения карты сети по SNMP, поскольку многие мучаются:

1.   Индексы (ifIndex) и названия интерфейсов.
Здесь не существует каких-либо проблем и OID .1.3.6.1.2.1.2.2.1.1 или .1.3.6.1.2.1.31.1.1.1.1 возвращают требуемые параметры.
Результат Индекс интерфейса (целое число) – это последняя группа в OID, а его название – текстовая строка в результате.

IfName
.1.3.6.1.2.1.31.1.1.1.1
.1.3.6.1.2.1.31.1.1.1.1.3      4.Oct      Gi1/0/1
.1.3.6.1.2.1.31.1.1.1.1.4      4.Oct      Gi1/0/2
.1.3.6.1.2.1.31.1.1.1.1.5      4.Oct      Gi1/0/3
.1.3.6.1.2.1.31.1.1.1.1.38     4.Oct      Po4

2.   Состояние интерфейсов.
Не является обязательным, используется для наглядности отображения итоговых данных: всё, что не Up (1), выводится серым цветом.
Результат Индекс интерфейса (см. п.1 ifIndex) – это последняя группа в OID, а его состояние (Up (1), Down (2) или Testing (3))  – целое число в результате.

ifOperStatus
.1.3.6.1.2.1.2.2.1.8
.1.3.6.1.2.1.2.2.1.8.3      2. Int      1
.1.3.6.1.2.1.2.2.1.8.4      2. Int      2
.1.3.6.1.2.1.2.2.1.8.5      2. Int      2
.1.3.6.1.2.1.2.2.1.8.38     2. Int      2


3.   Идентификаторы и названия VLan.
Не является обязательным, однако следует учесть следующее. Любой коммутатор оперирует понятием виртуальных сетей, и, если даже они специально не назначались, виртуальная сеть с индексом 1 и именем default уже существует. Для построения схемы сети необходима информация о подключении устройств (их МАС-адреса) к сетевым интерфейсам. Если в коммутаторе назначено несколько VLan (больше 1), то для получения полной картины требуется подключение к каждой из них по идентификатору виртуальной сети. Основная проблема в том, что для получения идентификаторов виртуальных сетей не все изготовители используют типовой OID, - причины и понятны и, объяснимы. Например, в коммутаторах Cisco используется OID .1.3.6.1.4.1.9.9.46.1.3.1.1.4.1
Результат Идентификатор VLan – это последняя группа в OID, а её название – текстовая строка в результате.

dot1qVlanStaticName
.1.3.6.1.2.1.17.7.1.4.3.1.1
.1.3.6.1.2.1.17.7.1.4.3.1.1.1        4.Oct      default
.1.3.6.1.2.1.17.7.1.4.3.1.1.100      4.Oct      Users
.1.3.6.1.2.1.17.7.1.4.3.1.1.101      4.Oct      Voice
.1.3.6.1.2.1.17.7.1.4.3.1.1.120      4.Oct      Printers


4.   Идентификаторы портов и индексы интерфейсов.
Таблица соответствий идентификаторов портов (basePort) и индексов интерфейсов (ifIndex из п.1) строится для каждой из виртуальных сетей (подключение к VLan по их идентификаторам из п.3).
Результат Идентификатор порта (basePort) – это последняя группа в OID, а индекс интерфейса (ifIndex) – целое число в результате.

dot1dBasePortIfIndex (@Vlan)
.1.3.6.1.2.1.17.1.4.1.2
.1.3.6.1.2.1.17.1.4.1.2.9         2.Int      3
.1.3.6.1.2.1.17.1.4.1.2.2315      2.Int      4
.1.3.6.1.2.1.17.1.4.1.2.2317      2.Int      5
.1.3.6.1.2.1.17.1.4.1.2.2318      2.Int      38


5.   MAC-адреса и идентификаторы портов.
Опрос производится каждой из виртуальных сетей (подключение к VLan по их идентификаторам из п.3).
Результат МАС-адреса представлены последними 6-ю группами в OID (в несколько не привычном 10 виде), а идентификатор порта (это basePort, определённый в п.4) – целое число в результате.

dot1dTpFdbPort (@Vlan)
.1.3.6.1.2.1.17.4.3.1.2
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.122.150      2.Int      9
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.122.186      2.Int      2315
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.124.96       2.Int      2315
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.124.119      2.Int      2315
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.83.179.23       2.Int      2317
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.83.179.147      2.Int      2318


« Последнее редактирование: 20 июля 2017, 14:36:37 от S64 »

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Вирусы не страшны для компьютеров, находящихся под защитой этой программы!
Программа не только обнаруживает факты нарушения правил по обеспечению информационной безопасности (здесь она схожа с SIEM), но и может предпринять меры по блокировке инцидента.
« Последнее редактирование: 29 июня 2017, 16:58:16 от S64 »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
S64, а можно рассказать чуть подробнее про
обнаруживает факты нарушения правил по обеспечению информационной безопасности (здесь она схожа с SIEM), но и может предпринять меры по блокировке инцидента.


Что за правила, откуда они берутся, как контролируется исполнение и т.п.?
« Последнее редактирование: 28 июня 2017, 14:02:03 от shs »

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
shs, если вкратце.

Программные Агенты устанавливаются на контролируемые рабочие станции. Они в реальном времени передают на Консоль управления (это та же программулина о которой здесь шла речь) сведения о наиболее критичных событиях, происходящих в системе (например, запуск процессов, подключение внешних дисков, содержание журналов ОС System и Security).

В зависимости от строгости принятых правил (они определяются в нашей программулине) часть таких событий может трактоваться Консолью управления как угроза информационной безопасности. Содержание обнаруженной угрозы документируется, а Агенту отправляется задание по её ликвидации – это может быть предупредительное сообщение пользователю в случае его противоправных действий, отключение диска, прекращение работы приложения, выключение компьютера и др. Как реагировать на угрозу определяете Вы.

В отношении вирусов
Используемый нами способ защиты Ваших компьютеров от вирусов не является новым, смотрите, например,
- AppLocker от Microsoft https://technet.microsoft.com/ru-ru/library/ee424367
- Защита папок в Windows Deffender от Microsoft https://geektimes.ru/post/290645/
- Белые списки приложений от Касперского http://whitelist.kaspersky.ru/ru

В этой же программулине Вы найдёте комплексное решение по контролю и защите Вашей сети, а не только блокировку отдельных приложений!
« Последнее редактирование: 03 июля 2017, 14:23:52 от S64 »

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Добавлен мониторинг параметров устройств (коммутаторов, маршрутизаторов, принтеров, ИБП,  систем кондиционирования, и, конечно же, компьютеров....) по SNMP.

 :beer:  При выходе значения контролируемого параметра за допустимые пределы администратору выдаётся звуковое оповещение.
(Верхнее окно - Настройка, нижнее - как это выглядит)
« Последнее редактирование: 30 января 2018, 15:36:57 от S64 »