+7(812) 640-0304
telegram / оставить заявку /
Компания Контакты Наши работы
ГлавнаяНаши работыТехнический аудит ИТ-инфраструктуры для Петербургского завода

Технический аудит ИТ-инфраструктуры для Петербургского завода

Технический аудит ИТ-инфраструктуры для Петербургского завода

Задачи

Провести технический аудит ИТ-инфраструктуры


В рамках аудита были рассмотрены следующие сервисы компании:

  1. Система контроля и управления доступом (СКУД)
  2. Телефония
  3. Видеонаблюдение
  4. Резервное копирование
  5. Серверы (виртуальные и физические)
  6. Сеть
  7. Лицензии
  8. Антивирус

1. Система контроля и управления доступом (СКУД)

Общая информация

  • Виртуальная машина SecurityProx с ПО HikCentral расположена на физическом сервере oldxxxx (IP: 192.168.xx.xx)
  • IP-адрес сервера СКУД: 192.168.xxx.xx
  • База данных HikCentral расположена на сервере SecurityProx, на диске D

Учетные записи

*****

Администратор

Активен

*****

Отдел персонала

Активен

*********

Отдел персонала

Активен

*****

Администратор

Активен

******

Оператор

Отключен

***

Администратор, оператор

Отключен

*****

Администратор, оператор

Активен

****

Оператор

Отключен

***

Оператор

Активен


Проблемы:

  • Возможны избыточные привилегии у ряда пользователей

Рекомендации:

  • Провести инвентаризацию учетных записей и отключить неиспользуемые
  • Ввести политику минимальных привилегий — убрать дублирующие роли
  • Настроить централизованное управление учетными записями через доменную службу (Active Directory)
  • Ограничить сетевой доступ к странице управления СКУД

2. Телефония

   


Общая информация

  • Сервер телефонии: ****** (IP: 192.168.***.***, порт: ****)
  • Количество добавочных: 97
  • Физические телефоны: Yealink SIP-T30P
    используется стандартный пароль (admin/admin)

Проблемы:

  • Используется большое количество внешних номеров, возможна финансовая оптимизация с переходом на добавочные номера внутри компании
  • Сервер имеет внешний адрес, что повышает риски взлома
  • Небезопасные стандартные учетные данные на устройствах

Рекомендации:

  • Централизовать исходящие/входящие звонки через один основной номер с использованием переадресации
  • Убрать сервер телефонии из внешней сети

 

3. Видеонаблюдение



Общая информация

  • Модель регистраторов: DS-7616NI-K2
  • IP-адреса устройств:
    • 192.168.***.**
    • 192.168.***.**
    • 192.168.***.**
    • 192.168.***.**
    • 192.168.***.**
    • 192.168.***.** — один диск не инициализирован
    • 192.168.***.16
    • 192.168.***.164

Доступы к видеонаблюдению Hik-Connect

******@gmail.com

******

Личный аккаунт для доступа из вне, принадлежность почты неизвестна

**@доменкомпании.ру

******

Все регистраторы подключены

****@доменкомпании.ру

******

****** *****й ********ич

****@доменкомпании.ру

******

****** *****й ********ич

*****@доменкомпании.ру

******

****** *****й ********на

*****@доменкомпании.ру

******

****** *****й ********ич

*****@доменкомпании.ру

******

****** *****й ********ич

*****@доменкомпании.ру

******

****** *****й ********ич

****@доменкомпании.ру

******

****** *****й ********на

****@доменкомпании.ру

******

Общая учетная запись охраны

****@доменкомпании.ру

******

****** *****а ********ва

 

Установленное ПО

  • iVMS-4200
  • iVMS-4200 Lite v1.0.0.4
  • iVMS-4200 v2.8.1.4_ML

Проблемы:

  • Один диск не инициализирован
  • Регистраторы сообщают об ошибках с большими значениями (возможно, проблема с моделью или состоянием дисков)
  • Избыточная установка ПО на рабочих станциях
  • Разные версии ПО — возможны проблемы совместимости
  • Открытый доступ к камерам через внешний аккаунт (неясная принадлежность почты)

Рекомендации:

  • Проверить состояние дисков в регистраторах и заменить при необходимости
  • Провести инвентаризацию ПО — удалить iVMS-4200 у пользователей, которые им не пользуются
  • Перевести доступ к камерам на корпоративные учетные записи с двухфакторной аутентификацией
  • Удалить личные аккаунты (******@gmail.com), использовать только корпоративные (*****@доменкомпании.ру)

 

4. Резервное копирование

Общая информация

  • Proxmox Backup Server
  • Процессор: Intel Xeon(R) CPU E5-2609 v2
  • ОЗУ: 16 ГБ
  • Дисковое пространство:
    • 1 × 300 ГБ HGST
    • 2 × 8 ТБ WD

Проблемы:

  • Резервное копирование не выполняется
  • Нет аппаратного резервирования дисков (RAID)
  • Нет регламентированных политик резервного копирования и проверки восстановления
  • Отсутствует IPMI, интерфейс управления сервером

Рекомендации:

·         Восстановить план резервного копирования

Чтобы повысить надежность хранения резервных копий, следует руководствоваться правилом «3-2-1», которое гласит: Имейте не менее трех копий данных. Храните копии как минимум на двух физических носителях разного типа, одну копию храните удаленно, вне офиса.

  • Выполнять холодную копию на внешний носитель, либо NAS, в согласованный период.
  • Настроить RAID1 для обеспечения отказоустойчивости

 

5. Серверы (виртуальные и физические)

Физические серверы

1c (Dell EMC PowerEdge R750)

  • Процессор: Xeon Gold 6346
  • ОЗУ: 128 ГБ
  • Диски: 2 × Samsung PM1643a (1.9 ТБ) в RAID 1, SMART - OK

 

gate (HPE Proliant DL160 Gen10)

  • Процессор: Xeon Silver 4208
  • ОЗУ: 32 ГБ
  • Диски:
    • 1 × Kingston SA400S3 (240 ГБ) под ОС, SMART - ОК
    • 1 × Samsung SSD 870 (460 ГБ) под ВМ, без резервирования, SMART - OK
    • 1 × Samsung SSD 870 (460 ГБ), не используется, SMART - OK

Old*** (Tower)

  • Процессор: Xeon E3123
  • ОЗУ: 8 ГБ
  • Диски: 4 × Exos 15E900 (по 600 ГБ) в RAID 10, SMART - OK

***** (Tower)

  • Процессор: AMD Ryzen 9 5950X
  • ОЗУ: 80 ГБ
  • Диски: 1 × Samsung SSD 970 EVO Plus 500 ГБ, SMART - OK
  • 2 x HUS726040AL5210 (по 4 ТБ) в RAID1, SMART - OK

 

Виртуальные машины

DC

Old****

Доменный контроллер

SecurityProx

Old****

СКУД

OpnSense

gate

Файрвол / маршрутизация

Bitrix24

gate

CRM

DC2

****

Резервный доменный контроллер

Mail2

****

Почтовый сервер

Mailназваниекомпании

******

Почтовый сервер

srv-****

******

ITSM система

srv-mail-названиекомпании

******

Почтовый сервер

srv-****

******

Система наблюдения

 

 

 

 

Проблемы:

  • Сервер Old**** технически устарел и низкая производительность
  • Отсутствие резервирования дисков на сервере gate
  • Отсутствие документации по распределению нагрузки, резервированию ВМ
  • На серверах отсутствует IPMI, интерфейс управления сервером
  • Отсутствие маркировки серверного оборудования

Рекомендации:

Общие рекомендации

a. Обновить серверную инфраструктуру

b. Сервера с коммутировать на D-Link DGS-3000-28SC

c. Если план модернизации не будет принят, нужно настроить RAID 1 на сервере gate для дисков под ВМ

d. Внедрить мониторинг производительности и нагрузки на серверы

e. Рассмотреть переход на более современную платформу виртуализации (VMware ESXi или Hyper-V)

f. Промаркировать используемое оборудования на предприятии


План модернизации оборудования:

1)   Модернизация текущего сервера HPE Proliant dl160 gen10

·         Расширить объем оперативной памяти 96GB RAM, общий объем памяти составит 128GB

·         Доукомплектовать дополнительным процессором Xeon Silver 4208, (потребуются комплект для второго CPU)

·         С текущего сервера Dell EMC PowerEdge R750 переставить диски 2 × Samsung PM1643a (1.9TB)

·         Подключить диски к RAID контроллеру

·         Заменить сетевую карту с поддержкой 2 портов SFP и 2 Ethernet

Модернизация текущего сервера Dell EMC PowerEdge R750

·         Докупить в сервер 2 × SSD 240GB под ОС,

·         Докупить в сервер 4 × SSD U.2 intel P5510/P4510 4TB,

·         Расширить объем оперативной памяти 128GB RAM, общий объем памяти составит 256GB

·         Доукомплектовать дополнительным процессором Xeon Gold 6346, (потребуются комплект для второго CPU)

·         Заменить сетевую карту с поддержкой 2 портов SFP и 2 Ethernet

·         Мигрировать ВМ с серверов old****, gate, *****

 

2) Добавить в информационную систему недорогой сервер для резервного запуска все среды эксплуатации.

Разместить в отдельном помещении, использовать для репликации в случае выхода из строя серверов в основной серверной.

Следующий конфигурации:

Наименование

Кол-во

Серверная платформа DELL PowerEdge R640 10x2.5(NVMe up to 8)/iDrac9 Enterprise

1

Комплект вентиляторов

High Performance Heatsink Kit для Dell Poweredge R640

1

Процессор Xeon Gold 6150 SR37K Gold6150 24.75М кэш 2,70 ГГц 18 ядер 165 Вт LGA3647 ЦП

2

Комплект оперативной памяти DDR4 ECC REG 256GB

1

SSD U.2 intel P5510/P4510 4TB

4

SSD Kingston 2.5 240GB SATA

2

Контроллер Dell PERC h755

1

Сетевая карта dell 0165T0

1

Bezel

1

Оригинальные рельсы DELL 1U

1

Салазки DELL GEN14 2.5”

6

Ориентировочная стоимость оборудования, ~700 000 руб.

 

6. Сеть

Общая информация

  • Виртуальный маршрутизатор: OpnSense (192.168.100.2) на физическом сервере gate (***.***.***.*)
  • Подсеть: /22 без разделения на VLAN
  • Все устройства (СКУД, видеонаблюдение, сервера, телефония, почта) находятся в одной сети
  • Сканирование внешней сети показало открытые порты:
    • bitrix24 (***.***.***.*) — порты: 22, 80, 443, 5223, 8070, 8893, 8894
    • mail.названиекомпании (***.***.**.*) — порты: 22, 25, 80, 110, 143, 443, 465, 587, 993, 995
    • mail.названиекомпании (***.***.***.**) — порты: 22, 25, 80, 110, 143, 443, 465, 587, 993, 995

Коммутаторы

  • D-Link DGS-1510 — управляемые, нет назначенных IP-адресов и используются стандартные пароли
  • D-Link DGS-3000-28SC — управляемый, используются стандартные пароли
  • Osnovo SW 61621 — неуправляемые коммутаторы

 

 

Проблемы:

  • Отсутствие сегментации сети
  • Использование старых коммутаторов без возможности управления
  • Для доступа из вне используется OpenVPN с сертификатом без дополнительной авторизации (Не исправлено после увольнения прошлого администратора, остался доступ по сертификатам сотрудников)
  • Открытие множества портов во внешней сети — риск взлома
  • Нет гостевой сети
  • Отсутствие маркировки сетевого оборудования
  • Отсутствие маркировки сетевых кабелей

Рекомендации:

  • Заменить OpnSense на физические маршрутизаторы ESR-15R FSTEC Межсетевой экран Eltex в основном здании и ESR-15R FSTEC Межсетевой экран Eltex в учебном классе
  • Разделить сеть на VLAN:
    • Корпоративная сеть
    • Гостевая сеть
    • СКУД
    • Видеонаблюдение
    • Серверы
    • Телефония
  • Добавить двойную аутентификацию для OpenVPN, либо использовать L2TP + IPSec + Radius
  • На точках доступа настроить гостевую сеть
  • Сменить стандартные пароли на всех коммутаторах
  • Определить какие устройства подключены в свитчи Osnovo
  • Убрать почтовые сервера за NAT, ограничить доступ из вне к портам управления
  • Промаркировать оборудование и кабеля
  • Восстановить/создать документацию, нарисовать схему сети предприятия

 

7. Лицензии

Используемое ПО:

  • Microsoft Office (LTSC 2021, 2019, 2016, 2013, 2007)
  • Windows Server 2016 Standard
  • Windows 7, 10, 11
  • SQL Server 2019, 2014
  • WinRAR
  • Autodesk DWG TrueView, Inventor
  • КОМПАС-3D, Viewer, Visualize Boost
  • AutoCAD
  • CorelDRAW
  • Adobe Photoshop, Illustrator
  • КриптоПро CSP, КриптоАРМ

 

Проблемы:

  • Использование устаревших версий ПО (Windows 7, Office 2007, SQL Server 2014)
  • Нет централизованного реестра лицензий
  • Некоторые продукты уже утратили поддержку (Windows 7, Office 2007)

Рекомендации:

  • Найти документы на покупку следующих лицензий:
    • Microsoft Office LTSC Professional Plus 2021
    • Microsoft Office Professional Plus 2019
    • Microsoft Office 2016
    • Microsoft Office Professional Plus 2013
    • Microsoft Office Enterprise 2007
    • Windows Server 2016 Standard
    • 1C
    • Microsoft Windows 7 Professional
    • Microsoft Windows 10 Pro
    • Microsoft Windows 11 Pro
    • Microsoft SQL Server 2019
    • Microsoft SQL Server 2014 (64-bit)
    • WinRAR 6.00 (64-разрядная)
    • Autodesk DWG TrueView 2024 - English
    • Autodesk DWG TrueView 2022 - English
    • Autodesk DWG TrueView 2021 - English
    • Autodesk Inventor Professional 2021 - Русский (Russian)
    • КОМПАС-3D v20 x64
    • КОМПАС-3D v21 x64
    • КОМПАС-3D Viewer v22 x64
    • КОМПАС-3D v22 Home x64
    • SOLIDWORKS Visualize Boost 2020 SP01
    • Сервисы АСКОН
    • КриптоПро CSP
    • КриптоАРМ Плюс
    • Adobe Photoshop 2023
    • Adobe Illustrator 2023
    • AutoCAD 2024 — Русский (Russian)
    • AutoCAD 2023 — Русский (Russian)
    • CorelDRAW Graphics Suite 2022
  • Создать реестр лицензий с привязкой к сотрудникам и рабочим местам
  • Обновить устаревшие ОС и офисные пакеты
  • Провести аудит использования программного обеспечения
  • Удалить нелегальное ПО (если используется нелицензированное копирование)

 

8. Антивирус

Проблемы:

  • На рабочих станциях отсутствует антивирус
  • Отсутствует пограничный шлюз почтовых серверов

Рекомендации:

  • Закупить Dr.Web Enterprise Security Suite с централизованным сервером управления для защиты всех рабочих станций
  • Для почтовых серверов закупить Kaspersky Secure Mail Gateway (KSMG) для фильтрации входящего и исходящего трафика, защиты от спама, фишинга и вредоносных вложений

 

Заключение

ИТ-инфраструктура компании функционирует, однако имеет ряд критических уязвимостей в области безопасности, управления доступом, резервного копирования и документации.

Особенно требуется внимание к следующим направлениям:
  • Безопасность сети и защита от внешних атак
  • Централизация управления учетными записями
  • Обновление устаревшего оборудования и ПО
  • Политики резервного копирования и восстановления
  • Документирование и инвентаризация активов
  • Защита рабочих станций и почтовых серверов от вредоносного ПО
HelpDesk viber @itart_support_bot

Форма заказа звонка

Мы перезвоним и ответим
на все интересующие вас вопросы