Аудит безопасности предприятий. Часть 1.

По сути, аудит безопасности предприятия заключается в попытке взлома его сети, построенный по согласованному плану, в согласованное время и из согласованных точек (внутри сети или снаружи) и с использованием IP-адресов, которые могут быть как в списке разрешенных, так и в списке запрещенных для доступа (внесены или нет в различные access листы).

Получение списка IP-адресов

Любое предприятие, имеющее доступ в сеть Интернет, получает для этого от провайдера IP-адрес (или список, или сразу небольшую подсеть). Он может быть как динамическим (выдающимся при подключении к сети и не меняющийся на протяжении какого-то установленного времени, либо до следующего подключения), либо статическим (закрепляется за предприятияем, офисом и т.д.).
Чаще всего используются статические IP-адреса.

Всем адресным пространством в сети Интернет управляют несколько региональных интернет-регистраторов, которые занимаются вопросами адресации и организации маршрутизации в сети Интернет. В том числе, они занимаются выделением IP-адресов. Упрощенно можно сказать, что провайдер (компания, предоставляющая доступ в сеть Интернет для предприятия) получает для своего функционирования набор адресов. Данные адреса закрепляются за провайдером и он предоставляет их для пользователей или предприятий для выхода в сеть Интернет.

Если предприятие большое (и ему такая функция необходима), то оно может закрепить набор IP-адресов за собой.

Для определения владельца IP-адреса в сети Интернет имеются специализированные открытые базы данных, которые ведутся регистраторами. Доступ к этим базам данных осуществляется по протоколу WHOIS. Но для простоты энтузиастами открываются веб-ресурсы (сайты), которые осуществляют запросы по данному протоколу самостоятельно для удобства пользователей. На них достаточно ввести адрес домена, или IP-адрес, чтобы получить полную информацию из базы данных по любому IP-адресу. И в первую очередь – за каким предприятием он закреплен.

Есть четыре основных метода получения списка IP-адресов у предприятия:
1) Самый простой метод – получить список IP-адресов у администратора, отвечающего за вычислительную сеть предприятия, но он по незнанию или злому умыслу (может захотеть скрыть часть адресов, чтобы их не сканировали, тем самым, обезопасив себя, как некомпетентного работника, если он знает, что на каких-то адресах/серверах/службах может быть проблема);
2) Получить список адресов в бухгалтерии, так как любой договор с провайдером услуг (или несколькими) должен быть зафиксирован, и там будет перечислен список предоставляемых IP-адресов;
3) Сервисы, построенные на протоколе WHOIS, о которых говорилось выше. Если компании большие, и они закрепляют IP-адреса непосредственно за собой, а не за провайдером, то имеется возможность узнать список адресов, закрепленный за предприятияем. Как правило, после предоставления IP-адресов администратором, стоит проверить, является ли данный список полным.
4) Произвести проверку сетевого оборудования, серверов, ПК, а также использовать некоторые сканеры, позволяющие построить топологию сети, чтобы проверить шлюзы, через которые осуществляется выход в сеть Интернет (или другие сети). В основном, данный метод используется при подозрении нелегального выхода в сеть Интернет из локальной закрытой сети предприятия.

Некоторые пользователи могут приносить свое сетевое оборудование (точки доступа, сетевые карты, включая беспроводные), нелегально подключать его к собственным ПК, для выхода в сеть Интернет, хотя это может быть запрещено.

После получения списка адресов, необходимо согласовать его с руководством предприятия, и, возможно, с администратором безопасности. Иногда, администратора стоит исключить, так как (в соответствии с ситуацией из пукнта 1) он мог утаить некоторые IP-адреса, и руководитель захочет, чтобы их всё равно проверили.