Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Detailní report nezávislého Network auditu pro FIRMA, s.r.o. na základě výsledků měření sítě v období 01-02/2014. Digital Telecommunications s.r.o.. Obránců míru 208/12, Ostrava, 703 00 IČ: 00575810, DIČ: CZ00575810 Tomáš Vrba jednatel +420 603 485 960 tomas.vrba@dto.cz www.dto.cz

1. Obsah 2. POPIS měření... 5 3. VÝSLEDKY měření sítě LAN - období 21. 1. 2014 až 27. 2. 2014... 6 3.1. Rozložení celkového provozu sítě:... 6 3.2. Celkový objem přenesených dat:... 6 3.3. Nejčastěji využívané síťové služby TCP:... 7 3.4. Nejčastěji využívané síťové služby UDP:... 7 3.5. Poštovní provoz:... 8 3.6. Protokoly messenger klientů:... 9 3.7. Servisní provoz:... 10 3.8. Stanice s největším množstvím TOKŮ:... 11 3.9. Stanice s největším počtem ODESLANÝCH dat:... 12 3.10. Stanice s největším objemem STAŽENÝCH dat v síti:... 13 3.11. Stanice s největšími DATOVÝMI PŘENOSY:... 14 3.12. TOP WEBOVÉ SERVERY:... 15 3.13. TOP klienti WEBOVÝCH SERVERŮ:... 16 3.14. TOP odesílatelé pošty a SMTP servery:... 17 3.15. TOP uživatelé pošty a POP3/IMAP servery:... 18 3.16. Manažerský souhrn TOP 10... 19 4. ADS SYSTÉM detekce anomálií a nežádoucího chování v datové síti v období 21.1.-27.2.2014... 22 5. ANALÝZA sítě LAN:... 35 5.1. LAN 10.0.10/24... 35 5.2. LAN 10.0.88/24... 36 5.3. LAN 10.0.99/24... 37 5.4. LAN 10.0.100/24... 38 5.5. LAN 10.10.1/24... 39 5.6. LAN 10.21/16... 40 5.7. LAN 10.23/16... 41 5.8. LAN 10.34.138/24... 42 5.9. LAN 10.34.139/24... 43 5.10. LAN 172.16.0/24... 44 5.11. LAN 192.168.1.0/24... 45 5.12. LAN 192.168.100.0/24... 46 5.13. LAN 239.255.255/24 (multicast)... 47 5.14. LAN ostatní = not net 10.0/16 and not net 10.34/16 and not net 172.16/16... 48 5.15. VLAN tags... 49 2

5.16. VLAN tag = 10... 49 5.17. VLAN tag = 2... 50 5.18. LAN ALL - order by IP with SUM trafic (Bytes)... 50 5.19. src net 10.0.88/24 and dst net 10.34.138/24... 51 5.20. src net 10.0.99/24 and dst net 10.34.138/24... 51 5.21. src net 10.0.100/24 and dst net 10.34.138/24... 51 5.22. src net 10.10.1/24 and dst net 10.34.138/24... 51 5.23. src net 10.21/16 and dst net 10.34.138/24... 52 5.24. src net 10.23/16 and dst net 10.34.138/24... 52 5.25. src net 10.34.138/24 and dst net 10.0.88/24... 52 5.26. src net 10.34.138/24 and dst net 10.0.99/24... 52 5.27. src net 10.34.138/24 and dst net 10.0.100/24... 53 5.28. src net 10.34.138/24 and dst net 10.21/16... 53 5.29. src net 10.34.138/24 and dst net 10.23/16... 53 5.30. src net 10.34.138/24 and dst net 10.34.139/24... 53 5.31. src net 10.34.138/24 and dst net 172.16/16... 53 5.32. src net 10.34.138/24 and dst net 192.168/16... 54 5.33. src net 10.34.139/24 and dst net 10.34.138/24... 54 5.34. src net 192.168/16 and dst net 10.34.138/24... 54 5.35. IP 10.34.138.1 = CISCO... 55 5.36. IP 10.34.138.5 =?... 56 5.37. IP 10.34.138.6 = AD... 57 5.38. IP 10.34.138.7 = MAIL... 58 5.39. IP 10.34.138.9 = SERVER DELL rack... 59 5.40. IP 10.34.138.10 = SERVER DELL tower... 60 5.41. IP 10.34.138.14 = RADIUS... 61 5.42. IP 10.34.138.15 =?... 62 5.43. IP 10.34.138.16... 63 5.44. IP 10.34.138.17 = TERMINAL... 64 5.45. IP 10.34.138.22 = CERT.AUTORITA CA... 65 5.46. IP 10.34.138.29 =?... 66 5.47. IP 10.34.138.30 = SWITCH 1... 67 5.48. IP = 10.34.138.31 = SWITCH 2... 67 5.49. IP 10.34.138.51 = VIDEOPŘENOSY 1... 68 5.50. IP 10.34.138.52 = VIDEOPŘENOSY 2... 69 5.51. VIDEOPŘENOS ze dne 30.1.2014 od 16:00 do 23:55 (IP 10.34.138.51, 10.34.138.52)... 70 5.52. IP 10.34.138.61 = TISKÁRNA... 71 3

5.53. IP 10.34.138.62 = TISKÁRNA... 71 5.54. IP 10.34.138.64 = TISKÁRNA... 72 5.55. IP 10.34.138.65 = TISKÁRNA... 72 5.56. IP 10.34.138.66 = TISKÁRNA... 73 5.57. IP 10.34.138.67 = TISKÁRNA... 73 5.58. IP 10.34.138.68 = TISKÁRNA... 73 5.59. IP 10.34.138.69 = TISKÁRNA... 74 5.60. IP 10.34.138.71 = TISKÁRNA... 74 5.61. IP 10.34.138.72 = TISKÁRNA... 74 5.62. IP 10.34.138.73 = TISKÁRNA... 75 5.63. IP 10.34.138.74 = TISKÁRNA... 75 5.64. IP 10.34.138.75 = TISKÁRNA... 75 5.65. IP 10.34.138.76 = TISKÁRNA... 76 5.66. IP 10.34.138.77 = TISKÁRNA... 76 5.67. IP 10.34.138.78 = TISKÁRNA... 76 5.68. IP 10.34.138.79 = TISKÁRNA... 77 5.69. IP 10.34.138.80 = TISKÁRNA... 77 5.70. IP 10.34.138.81 = TISKÁRNA... 77 5.71. IP 10.34.138.82 = TISKÁRNA... 78 5.72. IP 10.34.138.83 = TISKÁRNA... 78 5.73. IP 10.34.138.97 = TISKÁRNA... 78 5.74. IP 10.34.138.100 = PC... 79 5.75. IP 10.34.138.129 = PC... 80 5.76. IP 10.34.138.221 = TEST PC... 81 5.77. IP 10.34.138.241 = WiFi AP1... 82 5.78. IP 10.34.138.242 = WiFi AP2... 83 5.79. IP 10.34.138.243 = WiFi AP3... 84 5.80. WiFi test přenosu 14.2.2014 (8:00-9:30)... 85 5.81. IP 10.34.138.250 = management IT (?)... 87 5.82. IP 10.34.138.254 = management IT (UPS)... 88 6. RYCHLOST INTERNETu... 89 7. OTEVŘENÉ/NEZABEZPČENÉ porty na veřejných IP adresách... 89 4

2. POPIS měření Měření probíhalo v období 21.1.2014 až 27.2.2014 za pomocí síťové sondy NetFlow IFP-4000-CU a FlowMon Monitoringu a FlowMon ADS. Termíny: od 21.1.2014 do 13.2.2014 (24 dnů) měření sítě LAN nastavení MIRROR u vybraných portů v hlavním switchi: 1/g22 > připojení k metropolitní síti Brna + internet 1/g23 > připojení k virtuální telefonní síti Vodafone (pevné IP linky) 2/g23 + 2/g24 > Připojení serveru R710 (virtuální servery: Mail, CA, Terminálový server) 3/g23 + 3/g24 > Připojení serveru T300 (virtuální servery: AD, DHCP, DNS) 4/g23 + 4/g24 > Připoení ke switchi se zapojenými tiskárnami a WiFi přístupovými body. od 14.2.2014 do 27.2.2014 (14 dnů) měření sítě TISK+WiFi nastavení MIRROR u všech portů v pomocném switchi Certifikace pro autorizované zpracování výsledků: 5

3. VÝSLEDKY měření sítě LAN - období 21. 1. 2014 až 27. 2. 2014 3.1. Rozložení celkového provozu sítě: celkový provoz sítě vykazuje pravidelný průběh a je zobrazen v počtech bitů, paketů a toků za sekundu 3.2. Celkový objem přenesených dat: 6

3.3. Nejčastěji využívané síťové služby TCP: zobrazení deseti nejpoužívanějších TCP portů. Služby využívající známé porty (tzv. well-known ports) jsou již označeny odpovídajícím jménem služby, ostatní (neznámé, popř. dynamicky přidělované) jsou označeny numerickou hodnotou. 3.4. Nejčastěji využívané síťové služby UDP: zobrazení deseti nejpoužívanějších UDP portů 7

3.5. Poštovní provoz: zobrazení poštovního provozu v síti včetně souhrnných statistik dle jednotlivých protokolů 8

3.6. Protokoly messenger klientů: zobrazení provozu používaných messenger klientů 9

3.7. Servisní provoz: zobrazení služeb servisního provozu sítě 10

3.8. Stanice s největším množstvím TOKŮ: zobrazení deseti nejaktivnějších stanic v síti z pohledu počtu zaznamenaných toků. Nadměrný výskyt může indikovat pokus o prolomení počítačové sítě (lámání hesel, skenování sítě, aj.) či šíření virů a červů v síti. 11

3.9. Stanice s největším počtem ODESLANÝCH dat: zobrazení deseti nejaktivnějších stanic v síti z pohledu objemu odeslaných dat. Zobrazené stanice způsobují největší vytížení interní infrastruktury. 12

3.10. Stanice s největším objemem STAŽENÝCH dat v síti: zobrazení deseti nejaktivnějších stanic v síti z pohledu objemu stažených dat 13

3.11. Stanice s největšími DATOVÝMI PŘENOSY: zobrazení deseti nejaktivnějších stanic v síti s největším objemem přenesených dat (stažených i přijatých). Stanice uvedené v tomto seznamu by měly spadat do kategorie serverů, klíčových síťových prvků infrastruktury. 14

3.12. TOP WEBOVÉ SERVERY: zobrazení deseti nejvyužívanějších webových serverů 15

3.13. TOP klienti WEBOVÝCH SERVERŮ: zobrazení deseti nejaktivnějších stanic v síti z pohledu aktivity na webových serverch, tzn. stanice využívající porty TCP/80 a TCP/443 16

3.14. TOP odesílatelé pošty a SMTP servery: zobrazení deseti nejaktivnějších stanic v síti z pohledu SMTP provozu, čili klienti, kteří odesílají nejvíce pošty a nejvíce využívané poštovní (SMTP) servery. 17

3.15. TOP uživatelé pošty a POP3/IMAP servery: zobrazení deseti nejaktivnějších stanic v síti z pohledu POP3, SPOP3, IMAP, IMAPS provozu, čili uživatelé pošty a nejvíce využívané poštovní servery. 18

3.16. Manažerský souhrn TOP 10 19

20

21

4. ADS SYSTÉM detekce anomálií a nežádoucího chování v datové síti v období 21.1.-27.2.2014 22

23

24

25

26

27

28

29

30

31

32

33

34

5. ANALÝZA sítě LAN: 5.1. LAN 10.0.10/24 35

5.2. LAN 10.0.88/24 36

5.3. LAN 10.0.99/24 37

5.4. LAN 10.0.100/24 38

5.5. LAN 10.10.1/24 39

5.6. LAN 10.21/16 40

5.7. LAN 10.23/16 41

5.8. LAN 10.34.138/24 42

5.9. LAN 10.34.139/24 43

5.10. LAN 172.16.0/24 44

5.11. LAN 192.168.1.0/24 45

5.12. LAN 192.168.100.0/24 46

5.13. LAN 239.255.255/24 (multicast) 47

5.14. LAN ostatní = not net 10.0/16 and not net 10.34/16 and not net 172.16/16 48

5.15. VLAN tags 5.16. VLAN tag = 10 49

5.17. VLAN tag = 2 5.18. LAN ALL - order by IP with SUM trafic (Bytes) 50

5.19. src net 10.0.88/24 and dst net 10.34.138/24 5.20. src net 10.0.99/24 and dst net 10.34.138/24 5.21. src net 10.0.100/24 and dst net 10.34.138/24 5.22. src net 10.10.1/24 and dst net 10.34.138/24 51

5.23. src net 10.21/16 and dst net 10.34.138/24 5.24. src net 10.23/16 and dst net 10.34.138/24 5.25. src net 10.34.138/24 and dst net 10.0.88/24 5.26. src net 10.34.138/24 and dst net 10.0.99/24 52

5.27. src net 10.34.138/24 and dst net 10.0.100/24 5.28. src net 10.34.138/24 and dst net 10.21/16 5.29. src net 10.34.138/24 and dst net 10.23/16 5.30. src net 10.34.138/24 and dst net 10.34.139/24 5.31. src net 10.34.138/24 and dst net 172.16/16 53

5.32. src net 10.34.138/24 and dst net 192.168/16 5.33. src net 10.34.139/24 and dst net 10.34.138/24 5.34. src net 192.168/16 and dst net 10.34.138/24 54

5.35. IP 10.34.138.1 = CISCO 55

5.36. IP 10.34.138.5 =? 56

5.37. IP 10.34.138.6 = AD 57

5.38. IP 10.34.138.7 = MAIL 58

5.39. IP 10.34.138.9 = SERVER DELL rack 59

5.40. IP 10.34.138.10 = SERVER DELL tower 60

5.41. IP 10.34.138.14 = RADIUS 61

5.42. IP 10.34.138.15 =? 62

5.43. IP 10.34.138.16 63

5.44. IP 10.34.138.17 = TERMINAL 64

5.45. IP 10.34.138.22 = CERT.AUTORITA CA 65

5.46. IP 10.34.138.29 =? 66

5.47. IP 10.34.138.30 = SWITCH 1 5.48. IP = 10.34.138.31 = SWITCH 2 67

5.49. IP 10.34.138.51 = VIDEOPŘENOSY 1 68

5.50. IP 10.34.138.52 = VIDEOPŘENOSY 2 69

5.51. VIDEOPŘENOS ze dne 30.1.2014 od 16:00 do 23:55 (IP 10.34.138.51, 10.34.138.52) 70

5.52. IP 10.34.138.61 = TISKÁRNA 5.53. IP 10.34.138.62 = TISKÁRNA 71

5.54. IP 10.34.138.64 = TISKÁRNA 5.55. IP 10.34.138.65 = TISKÁRNA 72

5.56. IP 10.34.138.66 = TISKÁRNA 5.57. IP 10.34.138.67 = TISKÁRNA 5.58. IP 10.34.138.68 = TISKÁRNA 73

5.59. IP 10.34.138.69 = TISKÁRNA 5.60. IP 10.34.138.71 = TISKÁRNA 5.61. IP 10.34.138.72 = TISKÁRNA 74

5.62. IP 10.34.138.73 = TISKÁRNA 5.63. IP 10.34.138.74 = TISKÁRNA 5.64. IP 10.34.138.75 = TISKÁRNA 75

5.65. IP 10.34.138.76 = TISKÁRNA 5.66. IP 10.34.138.77 = TISKÁRNA 5.67. IP 10.34.138.78 = TISKÁRNA 76

5.68. IP 10.34.138.79 = TISKÁRNA 5.69. IP 10.34.138.80 = TISKÁRNA 5.70. IP 10.34.138.81 = TISKÁRNA 77

5.71. IP 10.34.138.82 = TISKÁRNA 5.72. IP 10.34.138.83 = TISKÁRNA 5.73. IP 10.34.138.97 = TISKÁRNA 78

5.74. IP 10.34.138.100 = PC 79

5.75. IP 10.34.138.129 = PC 80

5.76. IP 10.34.138.221 = TEST PC 81

5.77. IP 10.34.138.241 = WiFi AP1 82

5.78. IP 10.34.138.242 = WiFi AP2 83

5.79. IP 10.34.138.243 = WiFi AP3 84

5.80. WiFi test přenosu 14.2.2014 (8:00-9:30) a) Veřejná, otevřená WiFi přidělená IP adresa = 192.168.100.99 / 255.255.255.0 / 192.168.100.1 výstupní veřejná IP = x.x.x.x rychlost internetu = 0,17 Mbps / 0,24 Mbps povolené porty OUT = 80 (ale na vnitřní 10.34.138.7 OK) povolené porty IN = otevřený telnet 23, ostatní směrem dovnitř odmítnuto připojené přes AP = 10.34.138.242 (=192.168.10.1, =192.168.100.1) b) Interní, skrytá WiFi přidělená IP adresa = 192.168.1.73 / 255.255.255.0 / 192.168.1.1 výstupní veřejná IP = x.x.x.x rychlost internetu = 20,85 Mbps / 24,72 Mbps povolené porty OUT = neblokováno povolené porty IN = otevřený telnet 23, ostatní směrem dovnitř odmítnuto připojené přes AP = 10.34.138.242 (=192.168.10.1, =192.168.100.1) Při testu dne 14.2.2014 bylo zkopírováno cca 330MB dat z počítače 10.34.138.100 na WiFi NTB 192.168.1.73 (čas 8:28 8:34). Měření sítě zaznamenalo toto kopírování následujícím způsobem: 85

86

5.81. IP 10.34.138.250 = management IT (?) 87

5.82. IP 10.34.138.254 = management IT (UPS) 88

6. RYCHLOST INTERNETu 7. OTEVŘENÉ/NEZABEZPČENÉ porty na veřejných IP adresách 89

90