Автор Тема: Программа инвентаризации сети, построения её схемы и мониторинга безопасности  (Прочитано 2816 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
ila_rendered

Скачать установочный msi-файл можно здесь: https://vk.com/public123696327), размер которого (12 МБ вместе с базой) к сожалению не позволяет разместить его на этом ресурсе.


Системные администраторы откроют для себя очень интересный набор инструментальных средств, используемых ими в повседневной работе. Функции интегрированы в единое интерактивное приложение и опираются на сетевые протоколы и объектные модели разного уровня (ARP, NetBIOS, ICMP, SMB, SNMP, LDAP, WMI,...). Решается очень широкий круг задач: от проверки связи с сервером, инвентаризации инфраструктуры сети и построения её коммутационных соединений, до ведения учёта конфигурации компьютеров и управления работой служб и процессов на них. Приложение интегрировано с Active Directory.

Не меньший интерес может представлять программа и в части реализации защиты конфиденциальной информации и персональных данных от несанкционированного доступа. Система не только полностью закрывает все требования регуляторов для подавляющего числа предприятий (в частности, РД АС http://fstec.ru/component/attachments/download/296, ч. 2. Подсистема регистрации и учета для класса не ниже 1Г и Приказа №21 ФСТЭК РФ для 3 уровня защищённости ПДн), но и значительно превышает их. Программные Агенты, устанавливаемые на контролируемых рабочих станциях и серверах, в реальном времени передают на Консоль управления сведения о наиболее критичных событиях, происходящих в системе (например, запуск процессов, подключение внешних дисков, содержание журналов ОС System и Security).
В зависимости от строгости принятых правил часть таких событий может трактоваться Консолью управления как угроза информационной безопасности. Содержание обнаруженной угрозы документируется, а Агенту отправляется задание по её ликвидации – это может быть предупредительное сообщение пользователю в случае его противоправных действий, отключение диска, прекращение работы приложения, выключение компьютера и др.


Кому интересно - пишите здесь или на S1-64@yandex.ru



« Последнее редактирование: 16 Февраля 2018, 16:24:32 от S64 »

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6080
  • Рейтинг: 53
  • Пол: Мужской
    • fray@sysadminz.ru
    • lushikafu
    • lushikafu
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
Не, ну интересно в целом... Сейчас качну, посмотрю.
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6080
  • Рейтинг: 53
  • Пол: Мужской
    • fray@sysadminz.ru
    • lushikafu
    • lushikafu
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
а также ссылки на сайты с целью повышения их посещаемости
У ВК и без нас посещаемость немалая :D

S64, перетащи сюда побольше данных, не у всех ВК вообще открыт.
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5589
  • Рейтинг: 37
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
Навскидку интересно, но смотреть буду в понедельник.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн AlexeyVN

  • Новичок
  • *
  • Сообщений: 1
  • Рейтинг: 1
  • Пол: Мужской
    • g3bron77
    • Просмотр профиля
  • Откуда: BY
Подскажите с чем может быть связанна вот такая ошибка?

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Ошибка была связана с тем, что попутал версию программы и базы данных (программа пыталась получить информацию из таблицы базы данных, в которой нет требуемого столбца). В данной ситуации это сообщение можно проигнорировать.

Спасибо!
« Последнее редактирование: 05 Июля 2017, 17:32:33 от S64 »

Оффлайн DedMagarbI4

  • Ветеран
  • *****
  • Сообщений: 1716
  • Рейтинг: 11
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: г.Невинномысск
mib базы каких вендеров есть в программе?
насколько они актуальны для разных вендоров?
можно ли их подключать вручную?

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
СисАдмину: Наблюдение за сетью и кон
« Ответ #7 : 13 Февраля 2017, 17:11:10 »
DedMagarbI4, программа доработана.
Теперь можно настроить функции построения карты сети и контроля загруженности коммутаторов/маршрутизаторов для оборудования, используемого на вашем предприятии.


Выкладываю и методику построения карты сети по SNMP, поскольку многие мучаются:

1.   Индексы (ifIndex) и названия интерфейсов.
Здесь не существует каких-либо проблем и OID .1.3.6.1.2.1.2.2.1.1 или .1.3.6.1.2.1.31.1.1.1.1 возвращают требуемые параметры.
Результат Индекс интерфейса (целое число) – это последняя группа в OID, а его название – текстовая строка в результате.

IfName
.1.3.6.1.2.1.31.1.1.1.1
.1.3.6.1.2.1.31.1.1.1.1.3      4.Oct      Gi1/0/1
.1.3.6.1.2.1.31.1.1.1.1.4      4.Oct      Gi1/0/2
.1.3.6.1.2.1.31.1.1.1.1.5      4.Oct      Gi1/0/3
.1.3.6.1.2.1.31.1.1.1.1.38     4.Oct      Po4

2.   Состояние интерфейсов.
Не является обязательным, используется для наглядности отображения итоговых данных: всё, что не Up (1), выводится серым цветом.
Результат Индекс интерфейса (см. п.1 ifIndex) – это последняя группа в OID, а его состояние (Up (1), Down (2) или Testing (3))  – целое число в результате.

ifOperStatus
.1.3.6.1.2.1.2.2.1.8
.1.3.6.1.2.1.2.2.1.8.3      2. Int      1
.1.3.6.1.2.1.2.2.1.8.4      2. Int      2
.1.3.6.1.2.1.2.2.1.8.5      2. Int      2
.1.3.6.1.2.1.2.2.1.8.38     2. Int      2


3.   Идентификаторы и названия VLan.
Не является обязательным, однако следует учесть следующее. Любой коммутатор оперирует понятием виртуальных сетей, и, если даже они специально не назначались, виртуальная сеть с индексом 1 и именем default уже существует. Для построения схемы сети необходима информация о подключении устройств (их МАС-адреса) к сетевым интерфейсам. Если в коммутаторе назначено несколько VLan (больше 1), то для получения полной картины требуется подключение к каждой из них по идентификатору виртуальной сети. Основная проблема в том, что для получения идентификаторов виртуальных сетей не все изготовители используют типовой OID, - причины и понятны и, объяснимы. Например, в коммутаторах Cisco используется OID .1.3.6.1.4.1.9.9.46.1.3.1.1.4.1
Результат Идентификатор VLan – это последняя группа в OID, а её название – текстовая строка в результате.

dot1qVlanStaticName
.1.3.6.1.2.1.17.7.1.4.3.1.1
.1.3.6.1.2.1.17.7.1.4.3.1.1.1        4.Oct      default
.1.3.6.1.2.1.17.7.1.4.3.1.1.100      4.Oct      Users
.1.3.6.1.2.1.17.7.1.4.3.1.1.101      4.Oct      Voice
.1.3.6.1.2.1.17.7.1.4.3.1.1.120      4.Oct      Printers


4.   Идентификаторы портов и индексы интерфейсов.
Таблица соответствий идентификаторов портов (basePort) и индексов интерфейсов (ifIndex из п.1) строится для каждой из виртуальных сетей (подключение к VLan по их идентификаторам из п.3).
Результат Идентификатор порта (basePort) – это последняя группа в OID, а индекс интерфейса (ifIndex) – целое число в результате.

dot1dBasePortIfIndex (@Vlan)
.1.3.6.1.2.1.17.1.4.1.2
.1.3.6.1.2.1.17.1.4.1.2.9         2.Int      3
.1.3.6.1.2.1.17.1.4.1.2.2315      2.Int      4
.1.3.6.1.2.1.17.1.4.1.2.2317      2.Int      5
.1.3.6.1.2.1.17.1.4.1.2.2318      2.Int      38


5.   MAC-адреса и идентификаторы портов.
Опрос производится каждой из виртуальных сетей (подключение к VLan по их идентификаторам из п.3).
Результат МАС-адреса представлены последними 6-ю группами в OID (в несколько не привычном 10 виде), а идентификатор порта (это basePort, определённый в п.4) – целое число в результате.

dot1dTpFdbPort (@Vlan)
.1.3.6.1.2.1.17.4.3.1.2
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.122.150      2.Int      9
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.122.186      2.Int      2315
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.124.96       2.Int      2315
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.72.124.119      2.Int      2315
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.83.179.23       2.Int      2317
.1.3.6.1.2.1.17.4.3.1.2.0.11.130.83.179.147      2.Int      2318


« Последнее редактирование: 20 Июля 2017, 14:36:37 от S64 »

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Вирусы не страшны для компьютеров, находящихся под защитой этой программы!
Программа не только обнаруживает факты нарушения правил по обеспечению информационной безопасности (здесь она схожа с SIEM), но и может предпринять меры по блокировке инцидента.
« Последнее редактирование: 29 Июня 2017, 16:58:16 от S64 »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4395
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
S64, а можно рассказать чуть подробнее про
обнаруживает факты нарушения правил по обеспечению информационной безопасности (здесь она схожа с SIEM), но и может предпринять меры по блокировке инцидента.


Что за правила, откуда они берутся, как контролируется исполнение и т.п.?
« Последнее редактирование: 28 Июня 2017, 14:02:03 от shs »

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
shs, если вкратце.

Программные Агенты устанавливаются на контролируемые рабочие станции. Они в реальном времени передают на Консоль управления (это та же программулина о которой здесь шла речь) сведения о наиболее критичных событиях, происходящих в системе (например, запуск процессов, подключение внешних дисков, содержание журналов ОС System и Security).

В зависимости от строгости принятых правил (они определяются в нашей программулине) часть таких событий может трактоваться Консолью управления как угроза информационной безопасности. Содержание обнаруженной угрозы документируется, а Агенту отправляется задание по её ликвидации – это может быть предупредительное сообщение пользователю в случае его противоправных действий, отключение диска, прекращение работы приложения, выключение компьютера и др. Как реагировать на угрозу определяете Вы.

В отношении вирусов
Используемый нами способ защиты Ваших компьютеров от вирусов не является новым, смотрите, например,
- AppLocker от Microsoft https://technet.microsoft.com/ru-ru/library/ee424367
- Защита папок в Windows Deffender от Microsoft https://geektimes.ru/post/290645/
- Белые списки приложений от Касперского http://whitelist.kaspersky.ru/ru

В этой же программулине Вы найдёте комплексное решение по контролю и защите Вашей сети, а не только блокировку отдельных приложений!
« Последнее редактирование: 03 Июля 2017, 14:23:52 от S64 »

Оффлайн S64

  • Начинающий
  • *
  • Сообщений: 21
  • Рейтинг: 0
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Москва
Добавлен мониторинг параметров устройств (коммутаторов, маршрутизаторов, принтеров, ИБП,  систем кондиционирования, и, конечно же, компьютеров....) по SNMP.

 :beer:  При выходе значения контролируемого параметра за допустимые пределы администратору выдаётся звуковое оповещение.
(Верхнее окно - Настройка, нижнее - как это выглядит)
« Последнее редактирование: 30 Января 2018, 15:36:57 от S64 »