Monitoring sítě

[j]

No viacnasobny NAT nie je vyhra, ale ked to inac nepojde, da sa zacat aj tu. ....

Prave ze neda. To bude prvni vec na ktery si rozbijes hubu, protoze ty firme prestane neco fungovat (to se stane s temer 100% jistotou tak jako tak) a ty nebudes mit zadnou sanci s tim neco udelat. Stejne skoncis dohadovanim se s ISP, ale zaroven budes mit rozbitou sit.

Jo, taky muzes nejdriv postavit strechu a pak pod ni zacit delat zdi. I to jde.

[Reklama]

[Youda]

Snaz se z toho nejak elegantne vycouvat, to nema reseni.

Sit v takovem stavu znamena, se mindset provozovatele je nastaven tak, ze chape IT jako nutne zlo a chce do toho investovat naproste minimum.

Do tohodle bastlu pridas monitor jenom jako nejaky dalsi laciny bastl (zminujes stolni pecko s woknama), coz se s vyskou pravdepodobnosti vysere a odrizne celou firmu.

Situace speje k reseni, ze za par supu slepis bastl a zakonite prisedsi prusery si odseres. V soucasnem stavu IT zamestnaneckeho trhu to opravdu neni zapotrebi.

[PetrM]

No viacnasobny NAT nie je vyhra, ale ked to inac nepojde, da sa zacat aj tu. (dohadovat sa s providerom moze byt na dlho, a strati cas). (ano, je to cunacina)
Z praxe v rychlosti:
Obehat vsetky kable, popozerat, co je kde pozapajane, vyhadzat s.racky typu Tenda, povypinat Ipv6, a osadit za ISP router nieco, co vie pozerat na connections a vie Shaping. Tym odpilis sosacov, p2p, porno, streamy, .. Samozrejme, efektivnejsie by bolo nieco, co to vie samo o sebe vdaka pravidlam (Sophos UTM, Kerio Connect,...).
Bud sa linka spameta, a zacne byt klud, alebo ti tam robia este bordel zariadenia v ramci LAN, a tam uz trochu budes sniffovat .. (zacnes aspon pozeranim statistik na menezovatelnych switchoch a potom dopatras, co tam je zapojene).
Ak su tam nejake zariadenia (NASy, tlaciarne, ...) update firmwarov (ak sa da), a aj tu povypinat zo sluzieb a protokolov co netreba. Ak tam menezovatelne switche nemas, zacnes sa bavit s Wiresharkom ( a mozno aj s nimi :-) )

Tak to je přesně blbě.

V prvním kole tam dát na linku ven vlastní router s něčím rozumným (OpenWRT, LEDE, MT, Cisco). A zlomit ISPíka, aby hodil svůj router do bridge. Bez toho se nikam nedostaneš.

Ve druhé etapě eliminovat možnost připojení zvenčí - rozdělení WiFi na dvě sítě. Nechceš přece, aby externista nebo obchodník v zasedačce viděl výrobní mašiny a dokumentaci, ani aby tohle heslo dal na veřejnost a připojoval se kdokoliv za plotem s 80% zatížením linky ven. No a WiFině pro hosty dej třeba 5-10% pásma ven. Interní WiFině dej autentizaci s pomocí Kerberosu nebo něčeho podobnýho. Tím máš zajištěno, že ti síť nepřetíží pár zaměstnanců, co si na WC streamují nějaký filmy 18+ přes firemní WiFi. Už to by mohlo docela pomoct.

Ve třetí etapě - IoT vždycky patří do samostatné sítě. Zblázní se firmware, začne spamovat nesmyslný MAC adresy a protože takovou adresu switch nezná, pošle to všem. Ven neleze nic, ale hračka se 100BaseTx ti klidně celou firmu nakrmí 60Mbps ani nemrkenš a ne levné stovkové síti máš 60% pásma v čudu kvůli chybě ve FW.

V další etapě odděl výrobu a nepouštěj ji ven. Máňa na lince nepotřebuje FB a rádio má v mobilu. Stroj tam je nejspíš proto, aby se dostali do mailů a do interních aplikací jako přehled docházky. zase ubude provozu,...

Pak rozděl další oddělení. Tam už sice nehraješ o rychlost, ale hodí se to pro monitoring (která parta víc prosurfovala?) a kvůli případnýmu ransomwware - co červík nevidí, to červík nešifruje a omezí to škody.

No a když to nepomůže, tak teprve nastane čas omezovat traffic, filtrovat provoz,...

Ale tohle všecko by měl dělat někdo na full time, kdo ví, co dělá. Tož asi tak.