Detailní report nezávislého Network auditu pro FIRMA, s.r.o

Detailní report nezávislého Network auditu pro FIRMA, s.r.o. na základě výsledků měření sítě v období 01-02/2014.

Digital Telecommunications s.r.o. . Obránců míru 208/12, Ostrava , 703 00 IČ: 00575810, DIČ: CZ00575810

Tomáš Vrba | jednatel | +420 603 485 960 | [email protected]

www.dto.cz

Obránců míru 208/12, Ostrava - Vítkovice , 703 00, IČ: 00575810, DIČ: CZ 00575810 Mob.: +420 603 485 960, E-mail: [email protected], www.dto.cz

1. 2.

Obsah POPIS měření ........................................................................................................................................................................................ 5

3.

VÝSLEDKY měření sítě LAN - období 21. 1. 2014 až 27. 2. 2014 .............................................................................................................. 6 3.1.

Rozložení celkového provozu sítě: .........................................................................................................................................................6

3.2.

Celkový objem přenesených dat: ...........................................................................................................................................................6

3.3.

Nejčastěji využívané síťové služby TCP:..................................................................................................................................................7

3.4.

Nejčastěji využívané síťové služby UDP: .................................................................................................................................................7

3.5.

Poštovní provoz:.....................................................................................................................................................................................8

3.6.

Protokoly messenger klientů: .................................................................................................................................................................9

3.7.

Servisní provoz: ....................................................................................................................................................................................10

3.8.

Stanice s největším množstvím TOKŮ: .................................................................................................................................................11

3.9.

Stanice s největším počtem ODESLANÝCH dat: ....................................................................................................................................12

3.10.

Stanice s největším objemem STAŽENÝCH dat v síti:.......................................................................................................................13

3.11.

Stanice s největšími DATOVÝMI PŘENOSY: .....................................................................................................................................14

3.12.

TOP WEBOVÉ SERVERY: ...................................................................................................................................................................15

3.13.

TOP klienti WEBOVÝCH SERVERŮ: ...................................................................................................................................................16

3.14.

TOP odesílatelé pošty a SMTP servery: ...........................................................................................................................................17

3.15.

TOP uživatelé pošty a POP3/IMAP servery: .....................................................................................................................................18

3.16.

Manažerský souhrn TOP 10 .............................................................................................................................................................19

4.

ADS SYSTÉM detekce anomálií a nežádoucího chování v datové síti v období 21.1.-27.2.2014 .............................................................22

5.

ANALÝZA – sítě LAN: ............................................................................................................................................................................35 5.1.

LAN 10.0.10/24.....................................................................................................................................................................................35

5.2.

LAN 10.0.88/24.....................................................................................................................................................................................36

5.3.

LAN 10.0.99/24.....................................................................................................................................................................................37

5.4.

LAN 10.0.100/24...................................................................................................................................................................................38

5.5.

LAN 10.10.1/24.....................................................................................................................................................................................39

5.6.

LAN 10.21/16........................................................................................................................................................................................40

5.7.

LAN 10.23/16........................................................................................................................................................................................41

5.8.

LAN 10.34.138/24.................................................................................................................................................................................42

5.9.

LAN 10.34.139/24.................................................................................................................................................................................43

5.10.

LAN 172.16.0/24 ..............................................................................................................................................................................44

5.11.

LAN 192.168.1.0/24 .........................................................................................................................................................................45

5.12.

LAN 192.168.100.0/24 .....................................................................................................................................................................46

5.13.

LAN 239.255.255/24 (multicast) ......................................................................................................................................................47

5.14.

LAN ostatní = not net 10.0/16 and not net 10.34/16 and not net 172.16/16 .................................................................................48

5.15.

VLAN tags ........................................................................................................................................................................................49 2 Obránců míru 208/12, Ostrava - Vítkovice , 703 00, IČ: 00575810, DIČ: CZ 00575810 Mob.: +420 603 485 960, E-mail: [email protected], www.dto.cz

5.16.

VLAN tag = 10 ..................................................................................................................................................................................49

5.17.

VLAN tag = 2 ....................................................................................................................................................................................50

5.18.

LAN ALL - order by IP with SUM trafic (Bytes) .................................................................................................................................50

5.19.

src net 10.0.88/24 and dst net 10.34.138/24 ..................................................................................................................................51

5.20.


5.21.

src net 10.0.100/24 and dst net 10.34.138/24 ................................................................................................................................51

5.22.


5.23.

src net 10.21/16 and dst net 10.34.138/24 .....................................................................................................................................52

5.24.

src net 10.23/16 and dst net 10.34.138/24 .....................................................................................................................................52

5.25.


5.26.


5.27.

src net 10.34.138/24 and dst net 10.0.100/24 ................................................................................................................................53

5.28.

src net 10.34.138/24 and dst net 10.21/16 .....................................................................................................................................53

5.29.

src net 10.34.138/24 and dst net 10.23/16 .....................................................................................................................................53

5.30.

src net 10.34.138/24 and dst net 10.34.139/24 ..............................................................................................................................53

5.31.

src net 10.34.138/24 and dst net 172.16/16 ...................................................................................................................................53

5.32.

src net 10.34.138/24 and dst net 192.168/16 .................................................................................................................................54

5.33.

src net 10.34.139/24 and dst net 10.34.138/24 ..............................................................................................................................54

5.34.

src net 192.168/16 and dst net 10.34.138/24 .................................................................................................................................54

5.35.

IP 10.34.138.1 = CISCO ....................................................................................................................................................................55

5.36.

IP 10.34.138.5 = ? ............................................................................................................................................................................56

5.37.

IP 10.34.138.6 = AD .........................................................................................................................................................................57

5.38.

IP 10.34.138.7 = MAIL ......................................................................................................................................................................58

5.39.

IP 10.34.138.9 = SERVER DELL rack..................................................................................................................................................59

5.40.

IP 10.34.138.10 = SERVER DELL tower .............................................................................................................................................60

5.41.

IP 10.34.138.14 = RADIUS ................................................................................................................................................................61

5.42.

IP 10.34.138.15 = ? ..........................................................................................................................................................................62

5.43.

IP 10.34.138.16 ................................................................................................................................................................................63

5.44.

IP 10.34.138.17 = TERMINAL ...........................................................................................................................................................64

5.45.

IP 10.34.138.22 = CERT.AUTORITA CA .............................................................................................................................................65

5.46.

IP 10.34.138.29 = ? ..........................................................................................................................................................................66

5.47.

IP 10.34.138.30 = SWITCH 1 ............................................................................................................................................................67

5.48.

IP = 10.34.138.31 = SWITCH 2 .........................................................................................................................................................67

5.49.

IP 10.34.138.51 = VIDEOPŘENOSY 1 ................................................................................................................................................68

5.50.

IP 10.34.138.52 = VIDEOPŘENOSY 2 ................................................................................................................................................69

5.51.

VIDEOPŘENOS ze dne 30.1.2014 od 16:00 do 23:55 (IP 10.34.138.51, 10.34.138.52) ....................................................................70

5.52.

IP 10.34.138.61 = TISKÁRNA ............................................................................................................................................................71 3 Obránců míru 208/12, Ostrava - Vítkovice , 703 00, IČ: 00575810, DIČ: CZ 00575810 Mob.: +420 603 485 960, E-mail: [email protected], www.dto.cz

5.53.

IP 10.34.138.62 = TISKÁRNA ............................................................................................................................................................71

5.54.

IP 10.34.138.64 = TISKÁRNA ............................................................................................................................................................72

5.55.

IP 10.34.138.65 = TISKÁRNA ............................................................................................................................................................72

5.56.

IP 10.34.138.66 = TISKÁRNA ............................................................................................................................................................73

5.57.

IP 10.34.138.67 = TISKÁRNA ............................................................................................................................................................73

5.58.

IP 10.34.138.68 = TISKÁRNA ............................................................................................................................................................73

5.59.

IP 10.34.138.69 = TISKÁRNA ............................................................................................................................................................74

5.60.

IP 10.34.138.71 = TISKÁRNA ............................................................................................................................................................74

5.61.

IP 10.34.138.72 = TISKÁRNA ............................................................................................................................................................74

5.62.

IP 10.34.138.73 = TISKÁRNA ............................................................................................................................................................75

5.63.

IP 10.34.138.74 = TISKÁRNA ............................................................................................................................................................75

5.64.

IP 10.34.138.75 = TISKÁRNA ............................................................................................................................................................75

5.65.

IP 10.34.138.76 = TISKÁRNA ............................................................................................................................................................76

5.66.

IP 10.34.138.77 = TISKÁRNA ............................................................................................................................................................76

5.67.

IP 10.34.138.78 = TISKÁRNA ............................................................................................................................................................76

5.68.

IP 10.34.138.79 = TISKÁRNA ............................................................................................................................................................77

5.69.

IP 10.34.138.80 = TISKÁRNA ............................................................................................................................................................77

5.70.

IP 10.34.138.81 = TISKÁRNA ............................................................................................................................................................77

5.71.

IP 10.34.138.82 = TISKÁRNA ............................................................................................................................................................78

5.72.

IP 10.34.138.83 = TISKÁRNA ............................................................................................................................................................78

5.73.

IP 10.34.138.97 = TISKÁRNA ............................................................................................................................................................78

5.74.

IP 10.34.138.100 = PC ......................................................................................................................................................................79

5.75.

IP 10.34.138.129 = PC ......................................................................................................................................................................80

5.76.

IP 10.34.138.221 = TEST PC .............................................................................................................................................................81

5.77.

IP 10.34.138.241 = WiFi AP1 ............................................................................................................................................................82

5.78.

IP 10.34.138.242 = WiFi AP2 ............................................................................................................................................................83

5.79.

IP 10.34.138.243 = WiFi AP3 ............................................................................................................................................................84

5.80.

WiFi test přenosu 14.2.2014 (8:00-9:30) .........................................................................................................................................85

5.81.

IP 10.34.138.250 = management IT (?) ............................................................................................................................................87

5.82.

IP 10.34.138.254 = management IT (UPS) .......................................................................................................................................88

6.

RYCHLOST INTERNETu ..........................................................................................................................................................................89

7.

OTEVŘENÉ/NEZABEZPČENÉ porty na veřejných IP adresách .................................................................................................................89

4 Obránců míru 208/12, Ostrava - Vítkovice , 703 00, IČ: 00575810, DIČ: CZ 00575810 Mob.: +420 603 485 960, E-mail: [email protected], www.dto.cz

2. POPIS měření Měření probíhalo v období 21.1.2014 až 27.2.2014 za pomocí síťové sondy NetFlow IFP-4000-CU a FlowMon Monitoringu a FlowMon ADS.  Termíny:  od 21.1.2014 do 13.2.2014 (24 dnů) měření sítě LAN – nastavení MIRROR u vybraných portů v hlavním switchi: 1/g22 > připojení k metropolitní síti Brna + internet 1/g23 > připojení k virtuální telefonní síti Vodafone (pevné IP linky) 2/g23 + 2/g24 > Připojení serveru R710 (virtuální servery: Mail, CA, Terminálový server) 3/g23 + 3/g24 > Připojení serveru T300 (virtuální servery: AD, DHCP, DNS) 4/g23 + 4/g24 > Připoení ke switchi se zapojenými tiskárnami a WiFi přístupovými body. 

od 14.2.2014 do 27.2.2014 (14 dnů) měření sítě TISK+WiFi – nastavení MIRROR u všech portů v pomocném switchi

 Certifikace pro autorizované zpracování výsledků:


3. VÝSLEDKY měření sítě LAN - období 21. 1. 2014 až 27. 2. 2014 3.1. Rozložení celkového provozu sítě:  celkový provoz sítě vykazuje pravidelný průběh a je zobrazen v počtech bitů, paketů a toků za sekundu

3.2. Celkový objem přenesených dat:


3.3. Nejčastěji využívané síťové služby TCP:  zobrazení deseti nejpoužívanějších TCP portů. Služby využívající známé porty (tzv. well-known ports) jsou již označeny odpovídajícím jménem služby, ostatní (neznámé, popř. dynamicky přidělované) jsou označeny numerickou hodnotou.

3.4. Nejčastěji využívané síťové služby UDP:  zobrazení deseti nejpoužívanějších UDP portů


3.5. Poštovní provoz:  zobrazení poštovního provozu v síti včetně souhrnných statistik dle jednotlivých protokolů


3.6. Protokoly messenger klientů:  zobrazení provozu používaných messenger klientů


3.7. Servisní provoz:  zobrazení služeb servisního provozu sítě


3.8. Stanice s největším množstvím TOKŮ:  zobrazení deseti nejaktivnějších stanic v síti z pohledu počtu zaznamenaných toků. Nadměrný výskyt může indikovat pokus o prolomení počítačové sítě (lámání hesel, skenování sítě, aj.) či šíření virů a červů v síti.


3.9. Stanice s největším počtem ODESLANÝCH dat:  zobrazení deseti nejaktivnějších stanic v síti z pohledu objemu odeslaných dat. Zobrazené stanice způsobují největší vytížení interní infrastruktury.


3.10.

Stanice s největším objemem STAŽENÝCH dat v síti:  zobrazení deseti nejaktivnějších stanic v síti z pohledu objemu stažených dat


3.11.

Stanice s největšími DATOVÝMI PŘENOSY:  zobrazení deseti nejaktivnějších stanic v síti s největším objemem přenesených dat (stažených i přijatých). Stanice uvedené v tomto seznamu by měly spadat do kategorie serverů, klíčových síťových prvků infrastruktury.


3.12.

TOP WEBOVÉ SERVERY:  zobrazení deseti nejvyužívanějších webových serverů


3.13.

TOP klienti WEBOVÝCH SERVERŮ:

 zobrazení deseti nejaktivnějších stanic v síti z pohledu aktivity na webových serverch, tzn. stanice využívající porty TCP/80 a TCP/443


3.14.

TOP odesílatelé pošty a SMTP servery:  zobrazení deseti nejaktivnějších stanic v síti z pohledu SMTP provozu, čili klienti, kteří odesílají nejvíce pošty a nejvíce využívané poštovní (SMTP) servery.


3.15.

TOP uživatelé pošty a POP3/IMAP servery:

 zobrazení deseti nejaktivnějších stanic v síti z pohledu POP3, SPOP3, IMAP, IMAPS provozu, čili uživatelé pošty a nejvíce využívané poštovní servery.


3.16.

Manažerský souhrn TOP 10




4. ADS SYSTÉM detekce anomálií a nežádoucího chování v datové síti v období 21.1.-27.2.2014














5. ANALÝZA – sítě LAN: 5.1. LAN 10.0.10/24


5.2. LAN 10.0.88/24


5.3. LAN 10.0.99/24


5.4. LAN 10.0.100/24


5.5. LAN 10.10.1/24


5.6. LAN 10.21/16


5.7. LAN 10.23/16


5.8. LAN 10.34.138/24


5.9. LAN 10.34.139/24


5.10.

LAN 172.16.0/24


5.11.

LAN 192.168.1.0/24


5.12.

LAN 192.168.100.0/24


5.13.

LAN 239.255.255/24 (multicast)


5.14.

LAN ostatní = not net 10.0/16 and not net 10.34/16 and not net 172.16/16


5.15.

VLAN tags

5.16.

VLAN tag = 10


5.17.

VLAN tag = 2

5.18.

LAN ALL - order by IP with SUM trafic (Bytes)


5.19.

src net 10.0.88/24 and dst net 10.34.138/24

5.20.


5.21.


5.22.



5.23.

src net 10.21/16 and dst net 10.34.138/24

5.24.


5.25.


5.26.



5.27.


5.28.

src net 10.34.138/24 and dst net 10.21/16

5.29.


5.30.


5.31.



5.32.


5.33.


5.34.



5.35.

IP 10.34.138.1 = CISCO


5.36.

IP 10.34.138.5 = ?


5.37.

IP 10.34.138.6 = AD


5.38.

IP 10.34.138.7 = MAIL


5.39.

IP 10.34.138.9 = SERVER DELL rack


5.40.

IP 10.34.138.10 = SERVER DELL tower


5.41.

IP 10.34.138.14 = RADIUS


5.42.

IP 10.34.138.15 = ?


5.43.

IP 10.34.138.16


5.44.

IP 10.34.138.17 = TERMINAL


5.45.

IP 10.34.138.22 = CERT.AUTORITA CA


5.46.

IP 10.34.138.29 = ?


5.47.

IP 10.34.138.30 = SWITCH 1

5.48.

IP = 10.34.138.31 = SWITCH 2


5.49.

IP 10.34.138.51 = VIDEOPŘENOSY 1


5.50.

IP 10.34.138.52 = VIDEOPŘENOSY 2


5.51.

VIDEOPŘENOS ze dne 30.1.2014 od 16:00 do 23:55 (IP 10.34.138.51, 10.34.138.52)


5.52.

IP 10.34.138.61 = TISKÁRNA

5.53.

IP 10.34.138.62 = TISKÁRNA


5.54.

IP 10.34.138.64 = TISKÁRNA

5.55.

IP 10.34.138.65 = TISKÁRNA


5.56.

IP 10.34.138.66 = TISKÁRNA

5.57.

IP 10.34.138.67 = TISKÁRNA

5.58.

IP 10.34.138.68 = TISKÁRNA


5.59.

IP 10.34.138.69 = TISKÁRNA

5.60.

IP 10.34.138.71 = TISKÁRNA

5.61.

IP 10.34.138.72 = TISKÁRNA


5.62.

IP 10.34.138.73 = TISKÁRNA

5.63.

IP 10.34.138.74 = TISKÁRNA

5.64.

IP 10.34.138.75 = TISKÁRNA


5.65.

IP 10.34.138.76 = TISKÁRNA

5.66.

IP 10.34.138.77 = TISKÁRNA

5.67.

IP 10.34.138.78 = TISKÁRNA


5.68.

IP 10.34.138.79 = TISKÁRNA

5.69.

IP 10.34.138.80 = TISKÁRNA

5.70.

IP 10.34.138.81 = TISKÁRNA


5.71.

IP 10.34.138.82 = TISKÁRNA

5.72.

IP 10.34.138.83 = TISKÁRNA

5.73.

IP 10.34.138.97 = TISKÁRNA


5.74.

IP 10.34.138.100 = PC


5.75.

IP 10.34.138.129 = PC


5.76.

IP 10.34.138.221 = TEST PC


5.77.

IP 10.34.138.241 = WiFi AP1


5.78.

IP 10.34.138.242 = WiFi AP2


5.79.

IP 10.34.138.243 = WiFi AP3


5.80.

WiFi test přenosu 14.2.2014 (8:00-9:30) a)

b)

Veřejná, otevřená WiFi přidělená IP adresa výstupní veřejná IP rychlost internetu povolené porty OUT povolené porty IN připojené přes AP

= 192.168.100.99 / 255.255.255.0 / 192.168.100.1 = x.x.x.x = 0,17 Mbps / 0,24 Mbps = 80 (ale na vnitřní 10.34.138.7 OK) = otevřený telnet 23, ostatní směrem dovnitř odmítnuto = 10.34.138.242 (=192.168.10.1, =192.168.100.1)

Interní, skrytá WiFi přidělená IP adresa = 192.168.1.73 / 255.255.255.0 / 192.168.1.1 výstupní veřejná IP = x.x.x.x rychlost internetu = 20,85 Mbps / 24,72 Mbps povolené porty OUT = neblokováno povolené porty IN = otevřený telnet 23, ostatní směrem dovnitř odmítnuto připojené přes AP = 10.34.138.242 (=192.168.10.1, =192.168.100.1) Při testu dne 14.2.2014 bylo zkopírováno cca 330MB dat z počítače 10.34.138.100 na WiFi NTB 192.168.1.73 (čas 8:28 – 8:34). Měření sítě zaznamenalo toto kopírování následujícím způsobem:



5.81.

IP 10.34.138.250 = management IT (?)


5.82.

IP 10.34.138.254 = management IT (UPS)


6. RYCHLOST INTERNETu

7. OTEVŘENÉ/NEZABEZPČENÉ porty na veřejných IP adresách



Detailní report nezávislého Network auditu pro FIRMA, s.r.o

Recommend Documents