eAuditor V7 WEB

Skaner sieci systemu eAuditor – możliwości wykorzystania funkcjonalności

Skaner sieciowy w systemie eAuditor umożliwia skanowanie aktywnych urządzeń, usług oraz portów. Skaner pozwala na sprawdzenie, jakie usługi wykorzystują konkretne urządzenia.

Czym jest skaner sieci oraz w jaki sposób działa?

Skaner sieci jest to oprogramowanie, które przeszukuje sieć komputerową w celu odszukania wszystkich podłączonych urządzeń posiadających adres IP, który mieści się w zakresie adresów ustalonych podczas konfiguracji skanera. Przykładowy zakres wygląda następująco: 192.168.1.2 – 192.168.1.255

Dzięki takiemu ustawieniu skaner będzie wyszukiwał urządzenia w zakresie 253 adresów.

Wywołanie akcji skanowania może odbywać się na 3 różne sposoby:

  • ręcznie,
  • za pomocą harmonogramu,
  • wykorzystując żądania DHCP – każdy komputer, który po raz pierwszy podłącza się do sieci oraz ma włączoną usługę DHCP na karcie sieciowej, wysyła broadcastem informację (żądanie) do wszystkich w sieci. W tej informacji prosi o przydzielenie adresu IP, skaner sytemu eAuditor przechwytuje to żądanie i – po odpowiednim opóźnieniu – uruchamia skan sieci.

W jaki sposób działa wyszukiwanie?    

Skaner opiera się na protokole ICMP – jest to protokół sieciowy, na którym opiera się praktycznie wszystko w sieci, ale dla potrzeb tego dokumentu wystarczy nam informacja, że dzięki niemu działają takie programy jak: ping (sprawdza połączenie miedzy 2 hostami) i tracert (sprawdza trasę oraz to, przez jakie routery przechodzi pakiet). Skaner sieciowy wykorzystuje komunikat „ICMP Echo Request” wysyłany
z skanera do hosta, na który host musi odpowiedzieć. Hostem jest tutaj jeden adres
z ustawionego zakresu podczas konfiguracji skanera. Jeśli host nie odpowie komunikatem „ICMP Echo Reply”, to skaner sprawdza aktywne porty – jeśli nic nie wykryje, to znaczy że dany adres jest wolny i nie jest przypisane do niego żadne urządzenie.

Skaner sieciowy w systemie eAuditor umożliwia skanowanie również portów używanych przez komputery, dzięki czemu możemy dowiedzieć się, jakie usługi wykorzystują dane urządzenia w naszej organizacji. Skaner posiada też wsparcie dla protokołu SNMP, dzięki czemu możemy sprawdzić m.in. informacje o urządzeniach takich jak switche oraz stan ich portów – które są wolne, a które są zajęte itp.

Funkcjonalności skanera sieci

Skaner jest wbudowaną funkcjonalnością systemu eAuditor. Znajduje się w repozytorium.

Skaner sieciowy systemu eAuditor - widok repozytorium

Funkcjonalności skanera sieci systemu eAuditor:

  • skanowanie urządzeń po IP,
  • skanowanie portów urządzeń,
  • budowanie map sieci,
  • budowanie listy usług w oparciu o porty, z których korzystają,
  • zdalna instalacja oprogramowania w oparciu o WMI.

Aby wejść do poleceń zarządzających skanerem należy wybrać ikonę szachownicy dla ogólnych poleceń w zakładce wykryte.

Skaner sieciowy systemu eAuditor - wiersz polecenia

Po wybraniu ikony szachownicy zostanie wyświetlone okno wyboru jednego z następujących poleceń:

Skaner sieciowy systemu eAuditor - polecenia

Skanowanie sieci

W celu przeskanowania sieci wybierz:

  • porty (usługi), na których skaner ma nasłuchiwać,
  • zakres adresów IP, na które mają być wysyłane żądania ICMP Echo Request,
  • zaznacz, czy skanować SNMP.
Skaner sieciowy systemu eAuditor - skanowanie

Po dokonaniu wyboru dotyczącego zakresów IP oraz interesujących portów istnieje możliwość ustalenia automatycznego skanowania (zgodnie z harmonogramem). W celu ustalenia harmonogramu wybierz:

  • częstotliwość,
  • datę startu harmonogramu,
  • ustalenie, czy harmonogram ma być aktywny.

Ustawienia harmonogramu:

Skaner sieciowy systemu eAuditor - harmonogram

Usuwanie sesji skanowania

W celu zdalnego zainstalowania agenta, należy użyć opcji „Usuń sesję skanowania”. Po wybraniu tej opcji cała aktywnie widoczna sesja skanowania zostanie usunięta. W celu uzyskania nowych wyników skanowania, należy ponownie uruchomić skaner ręcznie lub poczekać na wykonanie automatyczne, zgodne z harmonogramem.

Zdalna instalacja agenta

W celu zdalnego zainstalowania agenta, należy użyć opcji „Zainstaluj zdalnie eAgenta”.

Skaner posiada funkcjonalność instalacji zdalnej agenta systemu eAuditor / Hyprovision na komputerach podłączonych do sieci i posiadających wspierany system operacyjny. Przed zdalnym zainstalowaniem wymagane jest skonfigurowanie odpowiednio komputera. Cały proces przedstawiony jest w punkcie „zdalna instalacja”.

Skaner sieciowy systemu eAuditor - instalacja eAgenta

Zdalna instalacja dowolnego oprogramowania

W celu zdalnego zainstalowania agenta należy użyć opcji „Zainstaluj zdalnie”. Skaner umożliwia instalacje dowolnego oprogramowania na komputerach (również niewyposażonych w agenta). Żeby zainstalować oprogramowanie na komputerach w naszej sieci muszą być spełnione dwa warunki:

  • aplikacja musi znajdować się w repozytorium na serwerze (jest możliwość dodania dowolnej aplikacji do repozytorium),
  • komputer musi posiadać odpowiedni system oraz odpowiednią konfigurację opisaną w punkcie „zdalna instalacja”.
Skaner sieciowy systemu eAuditor - zdalna instalacja oprogramowania

Dodawanie do urządzeń

Z poziomu skanera możemy bezpośrednio dodać odnalezione urządzenia do repozytorium systemu eAuditor.

Skaner sieciowy systemu eAuditor - dodawanie do urządzeń

Historia

Historia umożliwia porównanie aktywności urządzeń w tym portów oraz usług z dowolnego wybranego okresu, w którym zostało przeprowadzone skanowanie. Dzięki temu można stwierdzić, jakie usługi były aktywne lub nieaktywne w danym czasie.

Skaner sieciowy systemu eAuditor - historia

Mapy sieci

W skanerze sieci systemu eAuditor wbudowana jest funkcja budowania map sieci. Wbudowanych jest 8 map:

  • bez problemów (urządzenia nieposiadające żadnych problemów z usługami),
  • drukarki,
  • komputery offline,
  • komputery online,
  • problemy (urządzenia, w których występuje problem z usługą),
  • switche,
  • usługi.

Dodatkowo mapa posiada filtry dzięki którym możemy dostosować widok do naszych potrzeb:

  • powiększenie (od 20% do 400%),
  • status urządzenia (offline, online lub dowolny),
  • podsieć,
  • typ urządzenia (drukarka, komputer, router, switch, VoIP phone, n/a ),
  • port/usługa,
  • dowolna fraza do wyszukania.

Chcesz dowiedzieć się więcej o mapach sieci? Kliknij tutaj!

Skanowanie urządzeń w sieci

Skaner skanuje wszystkie aktywne i podłączone do sieci urządzenia, których IP jest w zakresie skanowania, dzięki czemu jesteśmy w stanie sprawdzić, czy nieautoryzowane urządzenia są podpięte do sieci. Do tej operacji nie potrzebujemy agenta zainstalowanego na komputerze. Skaner opiera się na broadcast’owym wysyłaniu zapytań do komputerów.

Skaner sieciowy systemu eAuditor - mapa sieci aktywnych urządzeń

Mapa sieci aktywnych urządzeń

Skanowanie aktywnych usług

Każda usługa korzysta z konkretnego portu do komunikacji w sieci. Przykładowo  serwer stron www działa na domyślnym porcie 80. Dzięki skanowaniu aktywnych portów możemy określić, jakie usługi są aktywne na danych komputerach. Jeśli monitorujemy konkretną usługę, np. na serwerze i port będzie nieaktywny, to wyświetli się monit o problemach z daną usługą i zostanie ona oznaczona kolorem czerwonym.

Przykład usługi pracującej prawidłowo (kolor zielony) oraz usługi posiadającej problem (kolor czerwony)

Skaner sieci systemu eAuditor - Usługi aktywne

Przedefiniowana lista usług

Kategoria Usługa Port
Usługa podstawowa FTP (data port) 20
Usługa podstawowa FTP (connection control) 21
Usługa podstawowa SSH 22
Usługa podstawowa Telnet 23
Usługa podstawowa WHOIS 43
Usługa podstawowa TACACS 49
Usługa podstawowa DNS 53
Usługa podstawowa DHCP (Server) 67
Usługa podstawowa DHCP (Client) 68
Usługa podstawowa TFTP 69
Usługa podstawowa Gopher protocol 70
Usługa podstawowa HTTP 80
Usługa podstawowa Kerberos 88
Usługa podstawowa POP3 110
Usługa podstawowa SFTP 115
Usługa podstawowa Structured Query Language (SQL) Services 118
Usługa podstawowa NNTP 119
Usługa podstawowa NTP 123
Usługa podstawowa NetBIOS (Name Service) 137
Usługa podstawowa NetBIOS (Datagram Service) 138
Usługa podstawowa NetBIOS (Session Service) 139
Usługa podstawowa IMAP 143
Usługa podstawowa SNMP 161
Usługa podstawowa BGP 179
Usługa podstawowa IRC 194
Usługa podstawowa MPP 218
Usługa podstawowa IMAPv3 220
Usługa podstawowa BGMP 264
Usługa podstawowa TSP 318
Usługa podstawowa LDAP 389
Peer to peer Direct Connect 411
Peer to peer Direct Connect 412
Usługa podstawowa SLP 427
Usługa podstawowa (szyfrowana) HTTPS 443
Usługa podstawowa SMB 445
Usługa podstawowa Kerberos 464
Usługa podstawowa (szyfrowana) SMTPS 465
Usługa podstawowa Print-spooler 515
Usługa podstawowa UUCP 540
Usługa podstawowa DHCPv6 (client) 546
Usługa podstawowa DHCPv6 (server) 547
Streaming RTSP 554
Usługa podstawowa (szyfrowana) NNTP (TLS/SSL) 563
Usługa podstawowa SMTP 587
Usługa podstawowa Printer-IPP 631
Usługa podstawowa (szyfrowana) LDAP (SSL) 636
Usługa podstawowa MSDP (PIM) 639
Usługa podstawowa LDP (MPLS) 646
Usługa podstawowa MMP 654
Gry Doom 666
Usługa podstawowa MS Exchange Routing 691
Usługa podstawowa iSCSI 860
Usługa podstawowa rsyns 873
Usługa podstawowa VMware Server 902
Usługa podstawowa (szyfrowana) FTPS (TLS/SSL) (data port) 989
Usługa podstawowa (szyfrowana) FTPS (TLS/SSL) (connection control) 990
Usługa podstawowa (szyfrowana) Telenet (TLS/SSL) 992
Usługa podstawowa (szyfrowana) IMAPS 993
Usługa podstawowa (szyfrowana) POP3S 995
Złośliwe oprogramowanie MyDoom 1080
Usługa podstawowa SOCKS proxy 1080
Usługa podstawowa OpenVPN 1194
Peer to peer Kazza 1214
Usługa podstawowa Nessus 1241
Peer to peer WASTE 1337
Usługa podstawowa MS SQL Server (server) 1433
Usługa podstawowa MS SQL Server (monitor) 1434
Usługa podstawowa WINS 1512
Usługa podstawowa PPTP 1723
Gry Steam 1725
Streaming MS Media Server 1755
Czat MSN 1863
Usługa podstawowa NFS 2049
Złośliwe oprogramowanie Bagle.h 2745
Usługa podstawowa Symantec System Center agent 2967
Usługa podstawowa MySQL 3306
Usługa podstawowa RDP 3389
Gry Niektóre gry firmy Blizzard 3724
Złośliwe oprogramowanie Blaster 4444
Peer to peer Emule 4711
Streaming Slingbox 5001
Usługa podstawowa iperf 5001
Streaming RTP 5004
Streaming RTCP 5005
Czat Yahoo! Messenger 5050
Usługa podstawowa SIP 5060
Usługa podstawowa (szyfrowana) SIP(TLS) 5061
Czat AIM/ICQ 5190
Czat XMPP/Jabber 5222
Czat XMPP/Jabber 5222
Usługa podstawowa PostgreSQL 5432
Usługa podstawowa VMware VAMI 5480
Złośliwe oprogramowanie Sasser 5554
Usługa podstawowa TeamViewier 5938
Gry Blizzard’s Battle.net 6112
Peer to peer Gnutella 6346
Gry GameSpy Arcade 6500
Czat IRC 6660
Czat IRC 6661
Czat IRC 6662
Czat IRC 6663
Czat IRC 6664
Czat IRC 6665
Czat IRC 6666
Czat IRC 6667
Czat IRC 6668
Czat IRC 6669
Peer to peer BitTorrent 6881
Peer to peer BitTorrent 6882
Peer to peer BitTorrent 6883
Peer to peer BitTorrent 6884
Peer to peer BitTorrent 6885
Peer to peer BitTorrent 6886
Peer to peer BitTorrent 6887
Peer to peer BitTorrent 6888
Peer to peer BitTorrent 6889
Peer to peer BitTorrent 6890
Peer to peer BitTorrent 6891
Streaming RTSP 7070
Streaming Radio internetowe 8000
Usługa podstawowa HTTP Proxy 8080
Złośliwe oprogramowanie Bagle.B 8866
Czat Mxit 9119
Złośliwe oprogramowanie Dabber 9898
Złośliwe oprogramowanie Rbot/Spybot 9988
Złośliwe oprogramowanie NetBus 12345
Gry Steam 27030
Złośliwe oprogramowanie Sub7 27374
Gry Killing Floor 28852
Gry Nintendo Wi-Fi Connection 28910
Gry Call of Duty 28960
Gry Jedi Knight: Jedi Academy 29070
Złośliwe oprogramowanie Back Orifice 31337
Usługa podstawowa LogMeIn Hamachi 32976
Gry Mu Online 44405

Monitorowanie szkodliwych lub potencjalnie szkodliwych usług/portów.

Nie tylko usługi czy protokoły sieciowe korzystają z portów do komunikacji.

Czym tak naprawdę jest port? Port sieciowy – interfejs (logiczny) służący do komunikacji w sieci komputerowej. Przechodzą i wychodzą przez niego pakiety protokołów internetowych (UDP lub TCP) wykorzystują wirtualne porty jako punkty połączenia do wymiany informacji i transmisji danych. Dane są przesyłane z portu na urządzeniu początkowym i docierają do końca linii odbiorczej. (Wikipedia)

Wszystko, co wysyłamy do sieci komputerowej musi korzystać z portu komputerowego do transmisji danych, więc chcąc zabezpieczyć się przed wyciekiem danych pierwszą rzeczą do monitorowania są właśnie porty.

Potencjalne szkodliwe / niepożądane aplikacje / usługi wysyłające dane do sieci:

  • Aplikacje typu gry sieciowe pracują też na określonych portach.
    Przykładowo gra DOOM pracuje na porcie 666, więc jeśli zauważymy aktywność na tym porcie, to istnieje prawdopodobieństwo, że pracownik korzysta z gry komputerowej.
  • Komunikatory służące do konwersacji pomiędzy użytkownikami. Jeśli nie chcemy by doszło do wycieku danych, powinniśmy monitorować porty komunikatorów sieciowych. Przykładowo komunikator TeamSpeak korzysta z portu 8767.
  • Aplikacje „peer to peer” najczęściej wykorzystywane do pobierania plików z sieci torrent. Przykładowo aplikacja BitTorrent pracuje na portach od 6881-6899.

Skaner sieciowy systemu eAuditor umożliwia dodanie własnych portów do monitorowania.

Skaner sieciowy systemu eAuditor - dodawanie usług sieciowych

Okno dodania własnego portu do skanowania

Budowanie map sieci

Skaner sieci umożliwia budowanie map sieci poprzez naniesienie połączeń pomiędzy komputerami, dzięki czemu można graficznie zaprezentować – za pomocą rożnego rodzaju filtrów – strukturę połączeń komputerów w sieci (w jakiej są topologii itd.).

Skaner sieciowy systemu eAuditor - graficzna struktura połączeń

Graficzna struktura połączeń

SNMP

Czym jest protokół SNMP? Protokół SNMP (Simple Network Management Protocol ) to standardowy protokół internetowy służący do zbierania i organizowania informacji o zarządzanych urządzeniach w sieciach IP oraz do modyfikowania tych informacji w celu zmiany zachowania urządzenia. (Wikipedia)

Skaner systemu eAuditor posiada wsparcie dla protokołu SNMP, dzięki czemu możemy sprawdzać aktualny stan urządzeń, np. switchy (o ile posiada on wsparcie dla protokołu SNMP) i możemy uzyskać informacje takie jak:

  • aktualny stan oraz ilość portów, które są podniesione, a które opuszczone,
  • informacje o interfejsie sieciowym:
    • adres IP,
    • maskę,
    • adres MAC,
    • status (open/down),
    • typ,
    • szybkość,
    • ilość wysłanych bajtów,
    • ilość odebranych bajtów.
  • informacje o porcie urządzenia sieciowego takie jak:
    • adres MAC (wpiętego urządzenia),
    • status portu (open/down),
    • typ,
    • szybkość,
    • ilość wysłanych bajtów,
    • ilość odebranych bajtów.
Skaner sieciowy systemu eAuditor - skaner sieci SNMP

Przykładowy opis portu 1 oraz interfejsu sieciowego uzyskany przez skaner

Zdalna instalacja

Skaner systemu eAuditor umożliwia zdalną instalację oprogramowania, wykorzystując do tego celu WMI.

Czym jest WMI? WMI (ang. Windows Management Instrumentation) – zestaw protokołów i rozszerzeń systemu Windows, umożliwiających zarządzanie i dostęp do zasobów komputera, takich jak adaptery sieciowe, aktualnie otwarte programy, listy procesów. Oferuje również zdalny dostęp do zarządzanych elementów komputera. (Wikipedia)

Instalacja polega na instalowaniu pakietów / aplikacji znajdujących się na repozytorium serwera. Do operacji na każdym komputerze musi zostać włączony zdalny dostęp do WMI:

  • PPM na ten komputer> Zarządzaj> Usługi i aplikacje > Sterowanie usługą WMI >PPM i następnie Właściwości > Zabezpieczenia

Z drzewa katalogów wybrać „Root” i następnie zabezpieczenia. Następnie dla wybranego użytkownika (administratora) lub grupy ustawić uprawnienie „Włączanie zdalne” i zatwierdzić wybór.

  • Konfiguracja firewall, aby nie blokował zdalnego dostępu. Uruchamiamy CMD jako administrator i wykonujemy następujące polecenie „netsh firewall set service RemoteAdmin enable”
  • Konfiguracja UAC:

Uruchamiamy CMD jako administrator i wykonujemy następujące polecenie:

„reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1”

Skaner sieciowy systemu eAuditor - zdalna instalacja oprogramowania

Widok okna do instalacji pakietów z poziomu skanera

Inwentaryzacja sprzętu

Skaner przekazuje informacje nie tylko o adresach IP, otwartych portach, adresach, ale również o adresach fizycznych karty sieciowej (MAC). Jest to fizyczny adres, który teoretycznie nie jest możliwy do zmiany. Dzięki temu możemy dokonać inwentaryzacji sprzętu IT na podstawie ich adresów MAC.

Kontrola jakości połączeń w sieci LAN

Skaner systemu eAuditor zbiera informacje o jakości połączenia:

  • czas odpowiedzi serwisów (usług) podawany w milisekundach, zbierane są informacje takie jak:
    • średni czas odpowiedzi,
    • minimalny czas odpowiedzi,
    • maksymalny czas odpowiedzi.
  • ilość dostarczonych informacji (ilość pakietów dostarczonych, straconych oraz procent strat).

System do zarządzania IT – poznaj funkcjonalności programu eAuditor!

Dowiedz się więcej o możliwościach eAuditor – skontaktuj się z nami!