eAuditor V7 WEB

Skaner sieci systemu eAuditor – możliwości wykorzystania funkcjonalności

Skaner sieciowy w systemie eAuditor umożliwia skanowanie aktywnych urządzeń, usług oraz portów. Skaner pozwala na sprawdzenie, jakie usługi wykorzystują konkretne urządzenia.

Czym jest skaner sieci oraz w jaki sposób działa?

Skaner sieci jest to oprogramowanie, które przeszukuje sieć komputerową w celu odszukania wszystkich podłączonych urządzeń posiadających adres IP, który mieści się w zakresie adresów ustalonych podczas konfiguracji skanera. Przykładowy zakres wygląda następująco: 192.168.1.2 – 192.168.1.255

Dzięki takiemu ustawieniu skaner będzie wyszukiwał urządzenia w zakresie 253 adresów.

Wywołanie akcji skanowania może odbywać się na 3 różne sposoby:

  • ręcznie,
  • za pomocą harmonogramu,
  • wykorzystując żądania DHCP – każdy komputer, który po raz pierwszy podłącza się do sieci oraz ma włączoną usługę DHCP na karcie sieciowej, wysyła broadcastem informację (żądanie) do wszystkich w sieci. W tej informacji prosi o przydzielenie adresu IP, skaner sytemu eAuditor przechwytuje to żądanie i – po odpowiednim opóźnieniu – uruchamia skan sieci.

W jaki sposób działa wyszukiwanie?    

Skaner opiera się na protokole ICMP – jest to protokół sieciowy, na którym opiera się praktycznie wszystko w sieci, ale dla potrzeb tego dokumentu wystarczy nam informacja, że dzięki niemu działają takie programy jak: ping (sprawdza połączenie miedzy 2 hostami) i tracert (sprawdza trasę oraz to, przez jakie routery przechodzi pakiet). Skaner sieciowy wykorzystuje komunikat „ICMP Echo Request” wysyłany
z skanera do hosta, na który host musi odpowiedzieć. Hostem jest tutaj jeden adres
z ustawionego zakresu podczas konfiguracji skanera. Jeśli host nie odpowie komunikatem „ICMP Echo Reply”, to skaner sprawdza aktywne porty – jeśli nic nie wykryje, to znaczy że dany adres jest wolny i nie jest przypisane do niego żadne urządzenie.

Skaner sieciowy w systemie eAuditor umożliwia skanowanie również portów używanych przez komputery, dzięki czemu możemy dowiedzieć się, jakie usługi wykorzystują dane urządzenia w naszej organizacji. Skaner posiada też wsparcie dla protokołu SNMP, dzięki czemu możemy sprawdzić m.in. informacje o urządzeniach takich jak switche oraz stan ich portów – które są wolne, a które są zajęte itp.

Funkcjonalności skanera sieci

Skaner jest wbudowaną funkcjonalnością systemu eAuditor. Znajduje się w repozytorium.

Skaner sieciowy systemu eAuditor - widok repozytorium

Funkcjonalności skanera sieci systemu eAuditor:

  • skanowanie urządzeń po IP,
  • skanowanie portów urządzeń,
  • budowanie map sieci,
  • budowanie listy usług w oparciu o porty, z których korzystają,
  • zdalna instalacja oprogramowania w oparciu o WMI.

Aby wejść do poleceń zarządzających skanerem należy wybrać ikonę szachownicy dla ogólnych poleceń w zakładce wykryte.

Skaner sieciowy systemu eAuditor - wiersz polecenia

Po wybraniu ikony szachownicy zostanie wyświetlone okno wyboru jednego z następujących poleceń:

Skaner sieciowy systemu eAuditor - polecenia

Skanowanie sieci

W celu przeskanowania sieci wybierz:

  • porty (usługi), na których skaner ma nasłuchiwać,
  • zakres adresów IP, na które mają być wysyłane żądania ICMP Echo Request,
  • zaznacz, czy skanować SNMP.
Skaner sieciowy systemu eAuditor - skanowanie

Po dokonaniu wyboru dotyczącego zakresów IP oraz interesujących portów istnieje możliwość ustalenia automatycznego skanowania (zgodnie z harmonogramem). W celu ustalenia harmonogramu wybierz:

  • częstotliwość,
  • datę startu harmonogramu,
  • ustalenie, czy harmonogram ma być aktywny.

Ustawienia harmonogramu:

Skaner sieciowy systemu eAuditor - harmonogram

Usuwanie sesji skanowania

W celu zdalnego zainstalowania agenta, należy użyć opcji „Usuń sesję skanowania”. Po wybraniu tej opcji cała aktywnie widoczna sesja skanowania zostanie usunięta. W celu uzyskania nowych wyników skanowania, należy ponownie uruchomić skaner ręcznie lub poczekać na wykonanie automatyczne, zgodne z harmonogramem.

Zdalna instalacja agenta

W celu zdalnego zainstalowania agenta, należy użyć opcji „Zainstaluj zdalnie eAgenta”.

Skaner posiada funkcjonalność instalacji zdalnej agenta systemu eAuditor / Hyprovision na komputerach podłączonych do sieci i posiadających wspierany system operacyjny. Przed zdalnym zainstalowaniem wymagane jest skonfigurowanie odpowiednio komputera. Cały proces przedstawiony jest w punkcie „zdalna instalacja”.

Skaner sieciowy systemu eAuditor - instalacja eAgenta

Zdalna instalacja dowolnego oprogramowania

W celu zdalnego zainstalowania agenta należy użyć opcji „Zainstaluj zdalnie”. Skaner umożliwia instalacje dowolnego oprogramowania na komputerach (również niewyposażonych w agenta). Żeby zainstalować oprogramowanie na komputerach w naszej sieci muszą być spełnione dwa warunki:

  • aplikacja musi znajdować się w repozytorium na serwerze (jest możliwość dodania dowolnej aplikacji do repozytorium),
  • komputer musi posiadać odpowiedni system oraz odpowiednią konfigurację opisaną w punkcie „zdalna instalacja”.
Skaner sieciowy systemu eAuditor - zdalna instalacja oprogramowania

Dodawanie do urządzeń

Z poziomu skanera możemy bezpośrednio dodać odnalezione urządzenia do repozytorium systemu eAuditor.

Skaner sieciowy systemu eAuditor - dodawanie do urządzeń

Historia

Historia umożliwia porównanie aktywności urządzeń w tym portów oraz usług z dowolnego wybranego okresu, w którym zostało przeprowadzone skanowanie. Dzięki temu można stwierdzić, jakie usługi były aktywne lub nieaktywne w danym czasie.

Skaner sieciowy systemu eAuditor - historia

Mapy sieci

W skanerze sieci systemu eAuditor wbudowana jest funkcja budowania map sieci. Wbudowanych jest 8 map:

  • bez problemów (urządzenia nieposiadające żadnych problemów z usługami),
  • drukarki,
  • komputery offline,
  • komputery online,
  • problemy (urządzenia, w których występuje problem z usługą),
  • switche,
  • usługi.

Dodatkowo mapa posiada filtry dzięki którym możemy dostosować widok do naszych potrzeb:

  • powiększenie (od 20% do 400%),
  • status urządzenia (offline, online lub dowolny),
  • podsieć,
  • typ urządzenia (drukarka, komputer, router, switch, VoIP phone, n/a ),
  • port/usługa,
  • dowolna fraza do wyszukania.

Chcesz dowiedzieć się więcej o mapach sieci? Kliknij tutaj!

Skanowanie urządzeń w sieci

Skaner skanuje wszystkie aktywne i podłączone do sieci urządzenia, których IP jest w zakresie skanowania, dzięki czemu jesteśmy w stanie sprawdzić, czy nieautoryzowane urządzenia są podpięte do sieci. Do tej operacji nie potrzebujemy agenta zainstalowanego na komputerze. Skaner opiera się na broadcast’owym wysyłaniu zapytań do komputerów.

Skaner sieciowy systemu eAuditor - mapa sieci aktywnych urządzeń

Mapa sieci aktywnych urządzeń

Skanowanie aktywnych usług

Każda usługa korzysta z konkretnego portu do komunikacji w sieci. Przykładowo  serwer stron www działa na domyślnym porcie 80. Dzięki skanowaniu aktywnych portów możemy określić, jakie usługi są aktywne na danych komputerach. Jeśli monitorujemy konkretną usługę, np. na serwerze i port będzie nieaktywny, to wyświetli się monit o problemach z daną usługą i zostanie ona oznaczona kolorem czerwonym.

Przykład usługi pracującej prawidłowo (kolor zielony) oraz usługi posiadającej problem (kolor czerwony)

Przedefiniowana lista usług

KategoriaUsługaPort
Usługa podstawowaFTP (data port)20
Usługa podstawowaFTP (connection control)21
Usługa podstawowaSSH22
Usługa podstawowaTelnet23
Usługa podstawowaWHOIS43
Usługa podstawowaTACACS49
Usługa podstawowaDNS53
Usługa podstawowaDHCP (Server)67
Usługa podstawowaDHCP (Client)68
Usługa podstawowaTFTP69
Usługa podstawowaGopher protocol70
Usługa podstawowaHTTP80
Usługa podstawowaKerberos88
Usługa podstawowaPOP3110
Usługa podstawowaSFTP115
Usługa podstawowaStructured Query Language (SQL) Services118
Usługa podstawowaNNTP119
Usługa podstawowaNTP123
Usługa podstawowaNetBIOS (Name Service)137
Usługa podstawowaNetBIOS (Datagram Service)138
Usługa podstawowaNetBIOS (Session Service)139
Usługa podstawowaIMAP143
Usługa podstawowaSNMP161
Usługa podstawowaBGP179
Usługa podstawowaIRC194
Usługa podstawowaMPP218
Usługa podstawowaIMAPv3220
Usługa podstawowaBGMP264
Usługa podstawowaTSP318
Usługa podstawowaLDAP389
Peer to peerDirect Connect411
Peer to peerDirect Connect412
Usługa podstawowaSLP427
Usługa podstawowa (szyfrowana)HTTPS443
Usługa podstawowaSMB445
Usługa podstawowaKerberos464
Usługa podstawowa (szyfrowana)SMTPS465
Usługa podstawowaPrint-spooler515
Usługa podstawowaUUCP540
Usługa podstawowaDHCPv6 (client)546
Usługa podstawowaDHCPv6 (server)547
StreamingRTSP554
Usługa podstawowa (szyfrowana)NNTP (TLS/SSL)563
Usługa podstawowaSMTP587
Usługa podstawowaPrinter-IPP631
Usługa podstawowa (szyfrowana)LDAP (SSL)636
Usługa podstawowaMSDP (PIM)639
Usługa podstawowaLDP (MPLS)646
Usługa podstawowaMMP654
GryDoom666
Usługa podstawowaMS Exchange Routing691
Usługa podstawowaiSCSI860
Usługa podstawowarsyns873
Usługa podstawowaVMware Server902
Usługa podstawowa (szyfrowana)FTPS (TLS/SSL) (data port)989
Usługa podstawowa (szyfrowana)FTPS (TLS/SSL) (connection control)990
Usługa podstawowa (szyfrowana)Telenet (TLS/SSL)992
Usługa podstawowa (szyfrowana)IMAPS993
Usługa podstawowa (szyfrowana)POP3S995
Złośliwe oprogramowanieMyDoom1080
Usługa podstawowaSOCKS proxy1080
Usługa podstawowaOpenVPN1194
Peer to peerKazza1214
Usługa podstawowaNessus1241
Peer to peerWASTE1337
Usługa podstawowaMS SQL Server (server)1433
Usługa podstawowaMS SQL Server (monitor)1434
Usługa podstawowaWINS1512
Usługa podstawowaPPTP1723
GrySteam1725
StreamingMS Media Server1755
CzatMSN1863
Usługa podstawowaNFS2049
Złośliwe oprogramowanieBagle.h2745
Usługa podstawowaSymantec System Center agent2967
Usługa podstawowaMySQL3306
Usługa podstawowaRDP3389
GryNiektóre gry firmy Blizzard3724
Złośliwe oprogramowanieBlaster4444
Peer to peerEmule4711
StreamingSlingbox5001
Usługa podstawowaiperf5001
StreamingRTP5004
StreamingRTCP5005
CzatYahoo! Messenger5050
Usługa podstawowaSIP5060
Usługa podstawowa (szyfrowana)SIP(TLS)5061
CzatAIM/ICQ5190
CzatXMPP/Jabber5222
CzatXMPP/Jabber5222
Usługa podstawowaPostgreSQL5432
Usługa podstawowaVMware VAMI5480
Złośliwe oprogramowanieSasser5554
Usługa podstawowaTeamViewier5938
GryBlizzard’s Battle.net6112
Peer to peerGnutella6346
GryGameSpy Arcade6500
CzatIRC6660
CzatIRC6661
CzatIRC6662
CzatIRC6663
CzatIRC6664
CzatIRC6665
CzatIRC6666
CzatIRC6667
CzatIRC6668
CzatIRC6669
Peer to peerBitTorrent6881
Peer to peerBitTorrent6882
Peer to peerBitTorrent6883
Peer to peerBitTorrent6884
Peer to peerBitTorrent6885
Peer to peerBitTorrent6886
Peer to peerBitTorrent6887
Peer to peerBitTorrent6888
Peer to peerBitTorrent6889
Peer to peerBitTorrent6890
Peer to peerBitTorrent6891
StreamingRTSP7070
StreamingRadio internetowe8000
Usługa podstawowaHTTP Proxy8080
Złośliwe oprogramowanieBagle.B8866
CzatMxit9119
Złośliwe oprogramowanieDabber9898
Złośliwe oprogramowanieRbot/Spybot9988
Złośliwe oprogramowanieNetBus12345
GrySteam27030
Złośliwe oprogramowanieSub727374
GryKilling Floor28852
GryNintendo Wi-Fi Connection28910
GryCall of Duty28960
GryJedi Knight: Jedi Academy29070
Złośliwe oprogramowanieBack Orifice31337
Usługa podstawowaLogMeIn Hamachi32976
GryMu Online44405

Monitorowanie szkodliwych lub potencjalnie szkodliwych usług/portów.

Nie tylko usługi czy protokoły sieciowe korzystają z portów do komunikacji.

Czym tak naprawdę jest port? Port sieciowy – interfejs (logiczny) służący do komunikacji w sieci komputerowej. Przechodzą i wychodzą przez niego pakiety protokołów internetowych (UDP lub TCP) wykorzystują wirtualne porty jako punkty połączenia do wymiany informacji i transmisji danych. Dane są przesyłane z portu na urządzeniu początkowym i docierają do końca linii odbiorczej. (Wikipedia)

Wszystko, co wysyłamy do sieci komputerowej musi korzystać z portu komputerowego do transmisji danych, więc chcąc zabezpieczyć się przed wyciekiem danych pierwszą rzeczą do monitorowania są właśnie porty.

Potencjalne szkodliwe / niepożądane aplikacje / usługi wysyłające dane do sieci:

  • Aplikacje typu gry sieciowe pracują też na określonych portach.
    Przykładowo gra DOOM pracuje na porcie 666, więc jeśli zauważymy aktywność na tym porcie, to istnieje prawdopodobieństwo, że pracownik korzysta z gry komputerowej.
  • Komunikatory służące do konwersacji pomiędzy użytkownikami. Jeśli nie chcemy by doszło do wycieku danych, powinniśmy monitorować porty komunikatorów sieciowych. Przykładowo komunikator TeamSpeak korzysta z portu 8767.
  • Aplikacje „peer to peer” najczęściej wykorzystywane do pobierania plików z sieci torrent. Przykładowo aplikacja BitTorrent pracuje na portach od 6881-6899.

Skaner sieciowy systemu eAuditor umożliwia dodanie własnych portów do monitorowania.

Skaner sieciowy systemu eAuditor - dodawanie usług sieciowych

Okno dodania własnego portu do skanowania

Budowanie map sieci

Skaner sieci umożliwia budowanie map sieci poprzez naniesienie połączeń pomiędzy komputerami, dzięki czemu można graficznie zaprezentować – za pomocą rożnego rodzaju filtrów – strukturę połączeń komputerów w sieci (w jakiej są topologii itd.).

Skaner sieciowy systemu eAuditor - graficzna struktura połączeń

Graficzna struktura połączeń

SNMP

Czym jest protokół SNMP? Protokół SNMP (Simple Network Management Protocol ) to standardowy protokół internetowy służący do zbierania i organizowania informacji o zarządzanych urządzeniach w sieciach IP oraz do modyfikowania tych informacji w celu zmiany zachowania urządzenia. (Wikipedia)

Skaner systemu eAuditor posiada wsparcie dla protokołu SNMP, dzięki czemu możemy sprawdzać aktualny stan urządzeń, np. switchy (o ile posiada on wsparcie dla protokołu SNMP) i możemy uzyskać informacje takie jak:

  • aktualny stan oraz ilość portów, które są podniesione, a które opuszczone,
  • informacje o interfejsie sieciowym:
    • adres IP,
    • maskę,
    • adres MAC,
    • status (open/down),
    • typ,
    • szybkość,
    • ilość wysłanych bajtów,
    • ilość odebranych bajtów.
  • informacje o porcie urządzenia sieciowego takie jak:
    • adres MAC (wpiętego urządzenia),
    • status portu (open/down),
    • typ,
    • szybkość,
    • ilość wysłanych bajtów,
    • ilość odebranych bajtów.
Skaner sieciowy systemu eAuditor - skaner sieci SNMP

Przykładowy opis portu 1 oraz interfejsu sieciowego uzyskany przez skaner

Zdalna instalacja

Skaner systemu eAuditor umożliwia zdalną instalację oprogramowania, wykorzystując do tego celu WMI.

Czym jest WMI? WMI (ang. Windows Management Instrumentation) – zestaw protokołów i rozszerzeń systemu Windows, umożliwiających zarządzanie i dostęp do zasobów komputera, takich jak adaptery sieciowe, aktualnie otwarte programy, listy procesów. Oferuje również zdalny dostęp do zarządzanych elementów komputera. (Wikipedia)

Instalacja polega na instalowaniu pakietów / aplikacji znajdujących się na repozytorium serwera. Do operacji na każdym komputerze musi zostać włączony zdalny dostęp do WMI:

  • PPM na ten komputer> Zarządzaj> Usługi i aplikacje > Sterowanie usługą WMI >PPM i następnie Właściwości > Zabezpieczenia

Z drzewa katalogów wybrać „Root” i następnie zabezpieczenia. Następnie dla wybranego użytkownika (administratora) lub grupy ustawić uprawnienie „Włączanie zdalne” i zatwierdzić wybór.

  • Konfiguracja firewall, aby nie blokował zdalnego dostępu. Uruchamiamy CMD jako administrator i wykonujemy następujące polecenie „netsh firewall set service RemoteAdmin enable”
  • Konfiguracja UAC:

Uruchamiamy CMD jako administrator i wykonujemy następujące polecenie:

„reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1”

Skaner sieciowy systemu eAuditor - zdalna instalacja oprogramowania

Widok okna do instalacji pakietów z poziomu skanera

Inwentaryzacja sprzętu

Skaner przekazuje informacje nie tylko o adresach IP, otwartych portach, adresach, ale również o adresach fizycznych karty sieciowej (MAC). Jest to fizyczny adres, który teoretycznie nie jest możliwy do zmiany. Dzięki temu możemy dokonać inwentaryzacji sprzętu IT na podstawie ich adresów MAC.

Kontrola jakości połączeń w sieci LAN

Skaner systemu eAuditor zbiera informacje o jakości połączenia:

  • czas odpowiedzi serwisów (usług) podawany w milisekundach, zbierane są informacje takie jak:
    • średni czas odpowiedzi,
    • minimalny czas odpowiedzi,
    • maksymalny czas odpowiedzi.
  • ilość dostarczonych informacji (ilość pakietów dostarczonych, straconych oraz procent strat).

System do zarządzania IT – poznaj funkcjonalności programu eAuditor!

Dowiedz się więcej o możliwościach eAuditor – skontaktuj się z nami!