Аудит сетевой инфраструктуры складского комплекса

Задачи

Аудит сетевой инфраструктуры заказчика был направлен на оценку текущего состояния сети, инвентаризацию имеющего перечня оборудования, выявление проблем и разработку рекомендаций по ее оптимизации.

Необходимо было составить перечень инвентаризируемого оборудования,

• Сетевое оборудование
• Оборудование видеонаблюдения
• Контроллеры управления
• Серверное оборудование
• Рабочие станции

Произвести описание инфраструктуры заказчика, 

• Оценка конфигурации оборудования.
• Составлена схема объекта с указанием точек размещения оборудования

Выявить возможные проблемы инфраструктуры заказчика, такие как:

• Проблемы сетевого взаимодействия оборудования
• Проблемы видеонаблюдения
• Проблемы физической сети предприятия

В результате аудита важна была оценка текущего состояния инфраструктуры и достаточности оборудования в соответствии с целями заказчика.

И дальнейшие рекомендации по изменению архитектуры сети, с приведением переченья минимальных требования к последующему монтажу ЛВС.

Выбор и проектирование:

Введение

Документ отражает текущее состояние ИТ-инфраструктуры предприятия. 
Составлен на основе анализа сетевой инфраструктуры, опроса ключевых специалистов по эксплуатации информационных систем.
Предложения по модернизации ИТ-инфраструктуры не содержат оценки рисков реализации негативных сценариев и размеров экономического ущерба.

Перечень используемого оборудования

Сетевое оборудование
В инфраструктуре заказчика используются следующие сетевые устройства:

Маршрутизаторы:

1. KEENETIC Giga
2. KEENETIC extra

Точки доступа: 

1. KEENETIC body 2 
2. KEENETIC speedster

Неуправляемые коммутаторы:

1. Zyxel ES-2108, 
2. Hikvision DS-3E0109P-E/M(B), 
3. Planet 8 port, 
4. TP-LINK TL-SG108PE, 
5. Digma DSW-108, 
6. TP-LINK TL-SF1008D, 
7. TP-Link LS108G, 
8. TP-Link TL-SF1005D, 

Оборудование видеонаблюдения
На предприятии нет единой системы видеонаблюдения. 

В инфраструктуре используются видеорегистраторы различных производителей и моделей. Цифровые регистраторы (NVR), гибридные устройства, поддерживающие как аналоговые, так и IP-камеры. 

Типы используемых видеорегистраторов:

• IP-видеорегистраторы
• гибридные HD-TVI видеорегистраторы
• гибридные HD-TVI видеорегистраторы с поддержкой POE

Используемые видеорегистраторы:  

1. Smart ivr netlink 
2. Hikvision ids-7216hqhi-m1/fa 
3. Hiwatch ds h316\2qa (c) 
4. Rvi-1NR20280 
5. Hiwatch DS-N308-2 (D) 
6. Leroy merlin HQ9908 
7. Netlink NV08-P-KIT 
8. RVi HDR16 

В сети используются камеры различных производителей, моделей, аналоговые камеры и IP-камеры.

Используемые модели камеры:

1. Hiwatch DS-I450L(C)
2. Tiandy TC-C34GN
3. ONVIF 2 Mp 
4. Tiandy TC-C32GN
5. Ezviz
6. RVi-1NCT4054
7. RVi-1NCT2024
8. Hiwatch DS-I250L(C)
9. Netlink NL-NV08-P-KIT

Контроллеры управления

В инфраструктуре заказчика используются контроллеры следующих моделей:

• ЭРА-500 сетевой контроллер

• контроллер вкс7 (не используется)

Контроллеры используются для управления воротами и сбора данных потребления электроэнергии

Отсутствует.

На момент аудита на предприятии было установлено:

• Персональный компьютер, 2 шт.

• Ноутбук, 1 шт.

Целью аудита не было обследование состояния компьютеров и ноутбуков. Они не являлись объектом проверки в рамках данной процедуры.

Описание инфраструктуры заказчика

Инвентаризация и оценка конфигурации оборудования.

Ниже перечень обнаруженного на объекте сетевого оборудования, фактическое наличие неизвестно, в процессе аудита находились не подключенные в сеть устройства, ранее являющиеся частью ЛВС.
 
Маршрутизаторы:

• GW01 : Keenetic Giga, IP: 192.168.1.1
• GW02 : Keenetic Extra, IP: 192.168.4.1

Маршрутизаторы имеют типовую заводскую конфигурацию, с измененным паролём администратора.

Камеры видеонаблюдения:

·         CAM01 : HiWatch DS-I450L(C), Тип: IP, IP: 192.168.12.2, MAC: 08:54:11:C3:0B:72

·         CAM02 : Tiandy TC-C34GN, Тип: IP, IP: 192.168.12.39, MAC: 3C:DA:6D:C0:6F:E5

·         CAM03 : NetLink NL-NV08 P Kit, Тип: IP, IP: 192.168.12.5, MAC: 00:70:2A:A3:86:FB

·         CAM04 : HiWatch, Тип: IP, Состояние: Не работает

·         CAM05 : ONVIF, Тип: IP, IP: 192.168.12.111, MAC: 24:52:6A:29:C3:B5

·         CAM06 : HiWatch DS-I450L(D), Тип: IP, IP: 192.168.12.18, MAC: 74:3F:C2:E4:94:6D

·         CAM07 : HiWatch DS-I450L(D), Тип: IP, IP: не указано

·         CAM08 : Tiandy TC-C32GN, Тип: IP, IP: 192.168.12.25, MAC: 3C:DA:6D:AB:B8:27

·         CAM09 : HiWatch DS-I450L(D), Тип: IP, IP: 192.168.12.4, MAC: 74:3F:C2:E4:93:F2

·         CAM10 : EZVIZ CS-C6N, Тип: IP, IP: не указано

·         CAM11 : HiWatch DS-I250L(C), Тип: IP, IP: 192.168.12.6, MAC: 08:54:11:C3:0A:F8

·         CAM12 : HiWatch DS-I250L(C), Тип: IP, IP: 192.168.12.90, MAC: E0:CA:3C:5E:71:1D

·         CAM13 : Тип: Аналог

·         CAM14 : HiWatch DS-I250L(C), Тип: IP, IP: не указано

·         CAM15 : RVi, Тип: IP, IP: не указано

·         CAM16 : RVi-1NCT4054(2.8), Тип: IP, IP: 192.168.12.15, MAC: 40:F4:13:69:53:05

·         CAM17 : RVi-1NCT2024 (2.8), Тип: IP, IP: 192.168.12.14, MAC: 40:F4:13:69:18:21

·         CAM18 : HiWatch DS-I250L(C), Тип: IP, IP: не указано

·         CAM19 : Beward DS07P-LP, Тип: IP, IP: 192.168.12.28, MAC: 18:68:82:34:2B:8A

·         CAM20 : HiWatch DS-I450M(C), Тип: IP, IP: 192.168.12.3, MAC: 5C:34:5B:CE:1E:46

·         CAM21 : Тип: IP, Состояние: Не обнаружена в сети

·         CAM22 : Тип: Аналог

·         CAM23 : HiWatch DS-I250L(C), Тип: IP, Сеть: Другая сеть

·         CAM24 : HiWatch DS-I250L(C), Тип: IP, Сеть: Другая сеть

·         CAM25 : HiWatch DS-I250L(C), Тип: IP, Сеть: Другая сеть

·         CAM26 : HiWatch DS-I250L(C), Тип: IP, Сеть: Другая сеть

·         CAM40 : Beward, Тип: IP, IP: 192.168.12.19, MAC: 18:68:82:34:2B:81

·         CAM44 : RVi-1NCT2024(2.8), Тип: IP, MAC: 40:F4:13:69:18:5A

·         CAM27 : HiWatch S-I450L(D), Тип: IP, IP: 192.168.12.54, MAC: 74:3F:C2:E4:93:F3

·         CAM28 : NetLink NL-NV08-P-KIT, Тип: IP, IP: 192.168.12.13, MAC: 00:4E:5C:88:07:DE

·         CAM29 : NetLink NL-NV08-P-KIT, Тип: IP, IP: 192.168.12.206, MAC: 00:4E:5D:63:0F:AD

·         CAM30 : EZVIZ CS-C6N, Тип: IP, Состояние: Не подключена

·         CAM31 : EZVIZ CS-C6N, Тип: IP, Состояние: Не обнаружена в сети

·         CAM32 : NetLink NL-NV08-P-KIT, Тип: IP, Состояние: Не обнаружена в сети

·         CAM33 : NetLink NL-NV08-P-KIT, Тип: IP, IP: 192.168.12.8, MAC: 00:4E:5D:76:0F:FF

·         CAM34 : Тип: Аналог

·         CAM35 : NetLink NL-NV08-P-KIT, Тип: IP, IP: 192.168.12.7, MAC: 00:4E:5F:24:1A:F5

·         CAM36 : NetLink NL-NV08-P-KIT, Тип: IP, IP: 192.168.12.9, MAC: 00:6F:AF:A9:93:CE

·         CAM37 : NetLink NL-NV08-P-KIT, Тип: IP, IP: 192.168.12.10, MAC: 00:6F:CE:5B:FB:BD

·         CAM38 : HiWatch S-I450L(D), Тип: IP, IP: 192.168.12.11, MAC: 24:52:6A:FE:9E:59

·         CAM39 : NetLink NL-NV08-P-KIT, Тип: IP, IP: 192.168.12.12, MAC: 00:4E:5C:1D:05:59

·         CAM41 : HiWatch S-I450L(D), Тип: IP, IP: 192.168.12.29, MAC: 24:52:6A:FE:9E:E3

·         CAM42 : HiWatch S-I450L(D), Тип: IP, IP: 192.168.12.31, MAC: 24:52:6A:FE:9D:44

·         CAM43 : HiWatch S-I450L(D), Тип: IP, IP: 192.168.12.120, MAC: 24:52:6A:FE:9E:4D

·         CAM45 : Тип: Аналог, Состояние: Не исправна

·         CAM46 : Тип: Аналог

·         CAM47 : Тип: Аналог

·         CAM48 : Тип: Аналог

·         CAM49 : NetLink NL-NV08-P-KIT, Тип: IP, Состояние: Не обнаружена в сети

Контроллеры управления:

·         K01 : Контроллер Эра 500, MAC: 00:0B:3A:00:C9:C3\00:0B:3A:00:C9:3D, Функция: Открытие нижней двери

·         K02 : Контроллер Эра 500, MAC: 00:0B:3A:00:97:76\00:0B:3A:00:97:77, Функция: Открытие 1 ворот

·         K03 : Контроллер ВКС7, Локация: Котельная, Состояние: Не настроена

·         K04 : Контроллер Эра 500, Локация: Сарай, MAC: 00:0B:3A:00:87:8C\00:0B:3A:00:87:8D, Функция: Открытие 4 ворот

Видеорегистраторы:

·         REG01 : NetLink NL-NV08 P Kit

·         REG02 : Hikvision IDS-7216HQHI-M1/FA

·         REG03 : HiWatch DS-H316\2QA (C)

·         REG04 : RVi-1NR20280

·         REG05 : Dahua, Состояние: Подключен к сети

·         REG06 : HiWatch DS-N308-2 (D)

·         REG07 : Leroy Merlin HQ9908

·         REG08 : NetLink NL-NV08 P Kit

·         REG09 : RVi-R16

·         REG10 : RVi-HDR16LB

Коммутаторы:

·         SW01 : ZyXEL ES-2108

·         SW02 : Hikvision DS-3E0109P-E/M(B)

·         SW03 : Электронные системы

·         SW04 : D-Link PoE 8p + 2 Uplink

·         SW05 : Digma DSW-108

·         SW06 : TP-Link LS108G

·         SW07 : TP-Link TL-SG108PE

·         SW08 : TP-Link LS108G

·         SW09 : TP-Link LS108G

·         SW10 : TP-Link LS108G

·         SW11 : Digma DSW-108

·         SW12 : Hikvision DS-3E0109P-E/M(B)

·         SW13 : Planet 8 Port

·         SW14 : TP-Link TL-SG1008D

·         SW15 : TP-Link TL-SG1008D

·         SW16 : TP-Link 8 Port

·         SW17 : TP-Link TL-SF1005D

·         SW18 : TP-Link TL-SF1005D

Точки доступа:

·         AP01 : Keenetic Buddy 4

·         AP02 : Keenetic Buddy 4

·         AP03 : Keenetic Speedster

·         AP04 : Keenetic Omen 3G

Схема объекта с указанием точек размещения оборудования,

Склад 01, первый этаж

Склад 01, второй этаж

Склад 02, 2 этаж


Склад 02, третий этаж


Склад 02, четвертый этаж


Склад 02, основное помещение

Решения

Выявленные проблемы инфраструктуры заказчика

Проблемы сетевого взаимодействия оборудования

Топология сети смешанная, пример на картинке:

1. Низкая производительность

   Хаотичное подключение устройств и отсутствие четкой структуры могут привести к перегрузке сетевых ресурсов.

2. Проблемы с масштабируемостью

   Отсутствие плана и структуры сети усложняет добавление новых устройств и расширение.

   Риск: Добавление новых устройств может вызвать конфликты адресов, перегрузку коммутаторов и другие проблемы, что затрудняет масштабирование сети.

3. Повышенный риск отказов

   Хаотичная организация сети увеличивает вероятность возникновения точек отказа.

   Риск: Выход из строя одного устройства может повлиять на работу всей сети.

4. Трудности с диагностикой и устранением неисправностей

   Недостаток документации и неупорядоченная структура сети усложняют выявление и устранение проблем.

   Риск: Продолжительные простои сети, увеличение времени восстановления после сбоев.

5. Безопасность

   Текущее состояние сети создает множество уязвимостей для атак и несанкционированного доступа.

   Риск: Повышенный риск взломов, утечек данных и других кибератак. Отсутствие четкого контроля над устройствами и пользователями делает сеть более уязвимой.

6. Неэффективное использование ресурсов

   Избыток однотипного оборудования.

   Риск: Перегрузка одних устройств и недогрузка других, что приводит к нерациональному использованию оборудования и увеличению эксплуатационных расходов.

7. Проблемы с управлением

   Отсутствие централизованного управления и мониторинга усложняет администрирование сети.

8. Проблемы с документацией

   Отсутствие документации по сети усложняет понимание её структуры и того, как она функционирует.

Проблемы физической сети предприятия 

• Сетевые кабели имеют повреждения с зонами ремонта.
• Витая пара и оборудование расположено неорганизованно, без соответствующей маркировки, что затрудняет оперативное устранение проблем в случае аварийной ситуации.
• Оптоволоконные линии, предоставляемые провайдером, имеют механические повреждения, включая перегибы оптоволокна.
  

Проблемы видеонаблюдения

У ряда аналоговых камер наблюдаются искажения в картинке. Видеозаписи с данных камер не являются валидными.

Конечные устройства подключены через значительное количество коммутаторов, что может влиять на производительность сети.

Часть камер использует статические IP-адреса, в то время как другая часть получает адреса от DHCP-сервера. Пул выдаваемых адресов пересекается с адресами, назначенными статически, поэтому возникают ситуации с дублированием адресов.

Питание камер осуществляется с использованием различных источников: Power over Ethernet (PoE), адаптеров питания и отдельных блоков питания.

Отсутствует единая система управления видеонаблюдением.

Все регистраторы работают как независимые системы видеонаблюдения, что приводит к:

1. Сложности управления и мониторинга

   Без единого центра управления данные от различных камер видеонаблюдения не объединены в одну систему.

2. Несовместимое оборудование

   Разные камеры и регистраторы используют различные стандарты и протоколы передачи данных. Это может привести к проблемам с интеграцией и обменом данными между устройствами, что усложняет создание единой системы видеонаблюдения.

3. Трудности с доступом к данным

   Данные от различных камер хранятся на разных регистраторах. Для доступа к информации необходимо подключаться к каждому устройству отдельно, что увеличивает время и усилия для поиска нужной информации.

4. Потеря данных

   Отсутствует централизованное хранение и резервирование.

5. Трудности с масштабированием

   Смешанное использование оборудования может ограничить возможности расширения системы.

   На данный момент, при необходимости добавления новых устройств в систему, Заказчик приобретает новый комплект видеонаблюдения, масштабируя общий хаос.

6. Проблемы с управлением пользователями и правами доступа

   Разные устройства имеют различные механизмы настройки и выдачи правами доступа.

Решенные проблемы во время проведения работ

В начале аудита столкнулись со следующими проблемами, которые мешали его проведению:

• Часть сети недоступна
  При диагностике проблемы выяснил, что одна точка доступа, расположенная на другом складе, раздавала подсеть отличную от основной. После сканирования данной подсети, обнаружил устройство с адресом 192.168.1.1, от которого точка доступа получила адрес и далее вещала в сеть. После переключения питания (перезагрузки), точка доступа стала раздавать основную сеть. Часть сети поднялась.

• Неопознанный dhcp сервер в сети
  К данному устройству стандартные пароли компании не подходили, физический поиск изначально ни к чему не привел. В сети компании используются в основном оборудование keenetic, были предприняты попытки подбора стандартных паролей, что так же не увенчалось успехом. В итоге подошел стандартный пароль от zyxel. Данным устройством оказался коммутатор zyxel es-2108 установленный в сарае, попытки изменить конфигурацию привели снова к отвалу половины сети. Проблема решилась заменой на неуправляемый коммутатор.

Сопоставления требования заказчика и достаточности оборудования на предприятии

№	Требования заказчика	Необходимое оборудование	Потребность в приобретении	Комментарий
1	Шлюз Dream Machine Pro	Dream Machine Pro	Да	Для замены основного шлюза
2	Внешний доступ к сети только через VPN (WireGuard)	Dream Machine Pro	Да	-
3	Блокировка входящих соединений, включая ICMP	Dream Machine Pro	Да	-
4	Разделение сети на сегменты VLAN	Dream Machine Pro, D-Link DGS-1250-52XMP, D-Link DGS-1250-28XMP	Да	-
5	Двухфакторная аутентификация для VPN	Dream Machine Pro	Да	-
6	Логирование сетевых событий, помеченных как подозрительные. DPI	Dream Machine Pro	Да	-
7	Настройка IPS/IDS на периметре сети	Dream Machine Pro	Да	-
8	Автоматическое переключение на резервного интернет-провайдера в рамках одного шлюза	Dream Machine Pro	Да	-
9	Покрытие зоны Wi-fi	Keenetic speedster 1 шт., Keenetic body 4 2 шт., Keenetic giga 2 шт.	Отсутствует	Текущего количества точек доступа хватит для покрытия необходимой зоны

Основные требования заказчика

Для повышения уровня безопасности предприятия покрываются приобретением следующих устройств:

• Dream Machine Pro

• D-Link DGS-1250-52XMP

• D-Link DGS-1250-28XMP

Дополнительные требования заказчика

Продвинутый вариант доступа

Доступ через протокол Tailscale.

Для настройки системы с учетом ограничений интернет-доступа в РФ:

• Развертывание управляющего Headscale сервера на арендованной виртуальной машине российского хостинг провайдера (предложить варианты на выбор)
• Подключение headless linux машины внутри сети (RaspberryPi или аналогичный мини компьютер) и настройка его как tailscale subnet router
• Соотв. Настройки DNS внутри сети, на одном компьютере и одном мобильном клиенте для проверки работоспособности

Развертывание отдельного DNS сервера и Reverse Proxy

• Настройка Adguard Home DNS и настройка сети для его использования, вместо прямого доступа к публичным DNS серверам и/или встроенного DNS сервера в шлюзе.
• Настройка reverse proxy (traefik) и настройка https доступа к устройствам внутри сети через субдомены публичного домена (домен будет закуплен отдельно). Доступ строго внутри частной сети, за счет DNS rewrite

Для реализации дополнительных условий для п.1 и п.2 необходимо следующее оборудование:

Требуемое оборудование	Потребность в приобретении
Мини ПК MSI Cubi N ADL-030XRU или аналог	Да

Рекомендации по изменению архитектуры сети

Любые изменения в текущей архитектуре сети организации нужно начинать с первичного корректного монтажа ЛВС. Это фундаментальная задача.

Перечень минимальных требования к монтажу ЛВС

Базовые требования к монтажу локальной вычислительной сети (ЛВС) 

1. Проектирование

Перед началом монтажных работ, необходим проект реализации.

Для минимизации использования оптических каналов, предлагаем размещение нескольких коммутационных.

Вариант размещения коммутационных, приведен на схеме



Обозначения на схеме:

T01 – Основная коммутационная, правое крыло склада

T02 - Коммутационный шкаф, левое крыло склада

T03 - Коммутационный шкаф, 1 этаж левое крыло склада

T04 - Коммутационный шкаф, правое крыло склада

ОК - оптический кабель

2. Точки коммутации предполагают размещение отдельных коммутационных шкафов.
3. Шкафы должны быть защищены от влаги, воздействия света и высоких температур.
4. В каждом шкафу желательно наличие проведенного заземления.

Требования к кабельной системе:

• Категория кабеля не ниже UTP Cat5e
• Сегменты сети, проложенные на открытом воздухе, должны быть защищены от солнечных лучшей и сертифицированы для внешнего монтажа.
• В коммутационном шкафу размещается патч панель на необходимое количество портов, минимальный запас 20% от текущих потребностей
• Каждый кабель должен подходить цельным отрезком от конечного устройства к одной из точек коммутации, пайка и скрутки не допустимы. Используйте только разъемы RJ45 и патч-панели., места соединения с конечном оборудованием при уличном монтаже должны быть герметизированы.
• Подведенный кабель должен быть с коммутирован в патч панель
• Максимальная длина одного участка кабеля должна быть не более 90 метров
• Расстоянии до пересечение с силовыми кабелями не менее 30 см
• Кабели должны быть защищены от механических повреждений и воздействия внешних факторов (влага, температура)
• Прокладывайте кабели в металлических или пластиковых трубах, гофрированных трубах или специализированных кабельных коробах для защиты от механических повреждений и внешних воздействий.
• Все кабели должны быть четко маркированы на обоих концах.
• Обжим кабеля по схеме T568B
• Потребуется прокладка оптики между коммутационными
• Текущую оптику склада и новый оптический канал необходимо переварить по типу LC

Предложения по модернизации видеонаблюдения

• Закупить два видеорегистратора с поддержкой до 64 камер Infinity VRF-IP2864, к ним диски, объем которых будет зависеть от требуемой глубины записи и итогового количества камер, территориально разнести на разные склады для резервирования (при выходе из строя одного, второй продолжит запись)
• Заменить аналоговые и неисправные камеры на цифровые с поддержкой POE, пример: IDM-2M-28 Infinity, IBS-2M-2812AF
• Демонтировать неиспользуемые и неисправные камеры