Monitoring sítě

wajta

Monitoring sítě
« kdy: 08. 10. 2018, 15:35:10 »
Zdravím,

mám zákazníka pro kterého občas dělám menší webové / iot aplikace (malá výrobní firma). Nyní jsem byl požádán jestli bych nemohl nějakým způsobem monitorovat také síťový provoz.
Situace je taková, že na vstupu je nějaký router, do kterého má přístup pouze poskytovatel internetu. V celém areálu (4 budovy) je pak natažena strukturovaná kabeláž, několik wifi routerů, přes které jsou připojeny pc, notebooky, telefony,  různé data-loggery apod., celkem asi 50 - 60 zařízení.
Síť jako taková není rozdělena na žádné podsítě.
Jakým způsobem by bylo nejjednodušší kontrolovat, kdo je připojen, kolik přenesl dat apod.? Případně ještě upravovat šířku pásma pro učitá zařízení.

Díky


Medo

Re:Monitoring sítě
« Odpověď #1 kdy: 08. 10. 2018, 16:45:18 »
Situace je taková, že na vstupu je nějaký router, do kterého má přístup pouze poskytovatel internetu.
Jakým způsobem by bylo nejjednodušší kontrolovat, kdo je připojen, kolik přenesl dat apod.? Případně ještě upravovat šířku pásma pro učitá zařízení.
Uz prva veta znie zle ... Pokial to neumoznuje jeho zariadenie a neda ti tam aspon user pristup (Alebo to v ramci pausalu nebdue robit on), tak ho vykopni, nech ti necha kabel a daj si tam, co potrebujes. A dalej odpoved - openwrt (ddwrt), gargoyle, mikrotik, ubiqity, ...
(zariadenia po reboote mozu stratit statistiky, takze si to treba osetrit, ale na to iste prides sam)

Josh

Re:Monitoring sítě
« Odpověď #2 kdy: 08. 10. 2018, 16:56:25 »
Jestli se na tohle musis ptat tak oslov radeji  nekoho kdo se v tom vyzna. Nejsnadnejsi reseni je zaradit mezi hlavni router a klienty transparentni proxy server pro auditovani provozu. Tzn. vsechny schovas za NAT a pak mas nekolik moznosti jak to resit. V takove firme se urcite nejaky pecko s 2sitovkama povaluje a nejakej Debian to utahne.

V takove siti to musi teda vypadat... zadna struktura, kde kdo tam natahne ruznej bordel(notasy...), ktery ma pak pristup na celou sit a ty IOT (desne cool nazev) urcite nemaji ani z 50% implementovano SSL...


Re:Monitoring sítě
« Odpověď #3 kdy: 08. 10. 2018, 17:24:35 »
V popsané situaci se nedá nic poradit. Pokud je jediným rozumným prvkem v síti router poskytovatele a ostatní zařízení jsou maximálně switche nebo WiFi přístupové body, pak je hlavní problém v tom, že síť je zanedbaná. Telefony mají být v jiné síti (VLAN), veřejné WiFi taky, interní (firemní zařízení) taky. K tomu je vždy potřeba vlastní router (router od ISP slouží jen jako edge router).

V první fázi by bylo dobré dát do pořádku infrastrukturu (případně se obrátit na někoho, kdo má potřebné znalosti). Teprve pak by je možné uvažovat o monitoringu nebo o řízení provozu. Mimochodem, řízení provozu je úplně jiná disciplína, než monitoring a ty témata spolu vlastně moc nesouvisejí.

U monitoringu by bylo zase potřeba upřesnit, co přesně chcete monitorovat. Např. ve windows sítích můžete identifikovat uživatele snadněji, než když se jedná o workgroup nebo o zcela nezávislá zařízení - o tom také nepíšete.

Pokud se jedná o 60 uživatelů (60x průměrná mzda 31 851 Kč + 34 % odvody x 12 měsíců = cca 31 milionů Kč ročně), bývají mzdové náklady na takový počet lidí tak vysoké, že rozpočet na IT vypadá vždy (skoro) zanedbatelně; i hloupá 2% představují přes 600 tis. Kč.

Re:Monitoring sítě
« Odpověď #4 kdy: 08. 10. 2018, 18:33:16 »
Zdravím,

mám zákazníka pro kterého občas dělám menší webové / iot aplikace (malá výrobní firma). Nyní jsem byl požádán jestli bych nemohl nějakým způsobem monitorovat také síťový provoz.
Situace je taková, že na vstupu je nějaký router, do kterého má přístup pouze poskytovatel internetu. V celém areálu (4 budovy) je pak natažena strukturovaná kabeláž, několik wifi routerů, přes které jsou připojeny pc, notebooky, telefony,  různé data-loggery apod., celkem asi 50 - 60 zařízení.
Síť jako taková není rozdělena na žádné podsítě.
Jakým způsobem by bylo nejjednodušší kontrolovat, kdo je připojen, kolik přenesl dat apod.? Případně ještě upravovat šířku pásma pro učitá zařízení.

Díky
Ten router na vstupe je poskytovatelov, alebo patri firme?
Ak je poskytovatelov a poskytovatel vam nedovoli ziadny manazment, tak nech si ho vezme a dajte si tam vlastny router, alebo nech ho da do bridge a dajte si tam nejaky RB s mikrotikom. V mikrotiku je celkom slusny managment + monitoring, ktory mozes cez snmp zobrazovat napr. v cacti atd ...


Re:Monitoring sítě
« Odpověď #5 kdy: 08. 10. 2018, 23:01:52 »
Nejsnadnejsi reseni je zaradit mezi hlavni router a klienty transparentni proxy server pro auditovani provozu. Tzn. vsechny schovas za NAT a pak mas nekolik moznosti jak to resit.

Vše natovat je dost nepěkné, nemluvě ne nemožnosti monitorovat icmp, udp nebo obecně L2. Stačí tam strčit před router switch a v promiskuitním módu provádět na klidně běžném malém servříku monitoring.

Jak píše Miroslav, vhodnější je celou síť rozdělit do menších celků a monitorovat důležité uzly, přidat internetovou gateway, nastavit na ní firewall, ids, ips a prostě do dostat do bezpečného stavu.

Ta síť je hodně zanedbaná, ale není to ve výrobních firmách žádná vyjímka, mění se to poslední dobou dost výrazně.

j

Re:Monitoring sítě
« Odpověď #6 kdy: 09. 10. 2018, 00:07:54 »
... kdo je připojen, kolik přenesl dat apod....
Jednoducha odpoved zni, ze pokud o ty siti vis jen to co si napsal a navic je to pravda, tak nijak. A nedelej si iluze, plati pro 90+% vsech siti. Otazka spis zni, nac to potrebujes?

Jinak pokud bys to resit chtel, potrebujes sprovoznit 802.1x == potrebujes zarizeni ktery to podporujou.

BTW: Router/firewall kterej ma firma pod vlastni kotrolou je zaklad zcela cehokoli.

Re:Monitoring sítě
« Odpověď #7 kdy: 09. 10. 2018, 09:25:12 »
Tak upřímně co jsem zatím viděl, podobných modelů je kolem mraky. Stačí vykouknout z IT bubliny.
Většina malých firem/podnikatelů začne fungovat s pronajatým routerem od providera a teprve až se jim síť trochu rozroste (přeroste) začnou zjišťovat co je špatně.
Jako první by bylo dobré ujasnit, že požadovaná služba = zásah do sítě a probrat co by to obnášelo.
Začít se dá i třeba s předřazeným mikrotikem/PC a zatím jen sledovat šum na síti. Ve výstupu bude vidět co kam a jak moc přistupuje a nejspíš to tímhle i skončí.
Tipuju, že někde mají úzkou linku a začínají hledat kdo jim sosá data, nebo podobný důvod.
V opačném případě doporučit dobrého síťaře a komplet překopat, nic víc se tam čarovat nedá.
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)

wajta

Re:Monitoring sítě
« Odpověď #8 kdy: 09. 10. 2018, 13:01:26 »
Tipuju, že někde mají úzkou linku a začínají hledat kdo jim sosá data, nebo podobný důvod.

ano, přesně to je ten důvod

wajta

Re:Monitoring sítě
« Odpověď #9 kdy: 09. 10. 2018, 13:08:10 »
Do routeru nás bohužel nikdo nepustí, to by znamenalo změno providera, což by znamenalo asi jen O2, od kterého majitel utekl ke stávajícímu poskytovateli.

Mě se jeví asi nejúčelnější to řešení vložit PC hned za router providera. Jedno nevyužité pc (tuším s windows 10) by tam bylo, případně jsem schopen tam zprovoznit nějakou linux distribuci (Debian/Ubuntu), ale co dál?
Předpokládám, že se u současných zařízení změní pouze brána místo stávajícího routeru providera na to pc, které to bude směrovat dál do toho routeru, je moje úvaha správná?

Re:Monitoring sítě
« Odpověď #10 kdy: 09. 10. 2018, 13:36:51 »
Do routeru nás bohužel nikdo nepustí, to by znamenalo změno providera, což by znamenalo asi jen O2, od kterého majitel utekl ke stávajícímu poskytovateli.

Hele jestli tam bylo O2 to znamena ze tam ma Cetin draty. Takze tam klidne muze bejt kdokoliv napr. TM, Vodafon atp...

Re:Monitoring sítě
« Odpověď #11 kdy: 09. 10. 2018, 13:48:34 »
Ano, úvaha správná, ale budete se muset naučit, jak fungují sítě atd. Pak teprve budete vědět, co se po Vás vlastně chce (= budete vědět, co nabízíte a čeho lze docílit). Tím pc routerem budete monitorovat - v závislosti na adresaci sítě a nastavení jen část provozu, tj. pravděpodobně jen provoz do a z internetu. Provoz uvnitř sítě nemusíte ani zachytit. Což může vadit, protože pokud je někde zahlcená linka, nemusí to vůbec tím, že něco „tahá z internetu“. Jak už bylo řečeno, správně se síť rozdělí na několik segmentů (klientské počítače zvlášť, síť pro hosty zvlášť, výrobní zařízení zvlášť atd.) a ty segmenty se pak sledují jako celek, lze je pokusně odstavit atd.

Pokud Vám to nebude fungovat, nebudou Vás mít rádi. Takže jestli se to opravdu chcete naučit, udělejte si někde bokem testovací provoz a tam vše důkladně otestujte a nechte i zkontrolovat někým zkušenějším. Počítejte s tím, že ten sebevzdělávací čas Vám asi neproplatí, resp. můžete porovnat s komerční nabídkou u konkurence. Pokud na síti záleží provoz v té výrobě, byl bych velmi opatrný, abych to nerozes***. Chyby dělají i profesionálové (jsou smluvně ošetřené, pojištěné...), začátečník jich naseká zákonitě ještě víc.

Dokážu si ještě představit, že pokud je problém jen v tom, že je „pomalý internet“, že tam dáte před router switch a v promiskuitním módu budete provádět na malém servříku monitoring, jak píše AoK výše. Je to totiž neinvazivní metoda - pokud server vypnete, vše poběží dál. Ale může se stát, že na nic nepřijdete, protože je problém v tom, že je síť zahlcená nějakým zblázněným zařízením běžícím na UDP protokolu a jelikož je třeba vše bridgované tak vám ty UDP pakty lítají kdoví kde a třeba k servříku ani nedorazí anebo se vám třeba ruší wifiny a je problém v tom.

PS: Začal bych tak jako tak zdokumentováním celé sítě. To je něco co udělat můžete a co má tak jako tak hodnotu. Zařízení, adresace, co tam běží, k čemu to je.
« Poslední změna: 09. 10. 2018, 13:51:04 od Ondrej Nemecek »

Ivok

Re:Monitoring sítě
« Odpověď #12 kdy: 09. 10. 2018, 20:22:18 »
1. Segmentace do různých blan, jak už bylo navrženo
2. Nasadit škrcení pásma pro jednotlivý vlany (není nutné pokud je dost pásma k interním serverům nebo ven ze sítě
3. Zkusit NAC což nemusí být nutné opěrný o 802.1x, ale klidně o MAC autentizaci a autorizaci
4. Monitorovat provoz před pomoci NetFlow

Pokud tam jsou switche co umí vlany, tak je vyhráno. Vše ostatní se dá udělat freewarem. Ale samozřejmě je i řada komerčních nástrojů. Já mám rád na NAC NetShield a monitoring od Flowmonu.

j

Re:Monitoring sítě
« Odpověď #13 kdy: 09. 10. 2018, 22:15:06 »
.... je moje úvaha správná?
Jestli se na tohle ptas a chces to pro nekoho delat, tak je tvoje uvaha zcela spatna. Fakt to nedelej. Budes nasranej ty, bude nasranej zakaznik.

Jinak ano, das za krabici providera svoji krabici. Idealne providera dokopes (vetsinou spis doslova) aby na svy krabici nastavil bridge (tady uz nejspis netusis o cem je rec ...), protoze delat nejakej double nebo dokonce triple NAT je prasarna i nadoma. Ti padem dostanes (verejnou) IP na svoji krabici a ten NAT tam budes mit jednou ... a pod svoji kontrolou.

A pak teprve prijde ta sranda, kdy to vsechno musis nejak rozumne a funkcne nastavit, coz rozhodne neudelas tak, ze prijdes na root a zeptas se.

Pokud chces dal resit nejakou interni segmentaci, tak by ta krabice mela mit rozhodne vic nez dva porty, takovych 6-8 min. Pak je potreba zaridit, aby vsechny switche podporovaly vlany, coz znamena konec uzasnych reseni typu 5port za 3kila pod stolem. A opet, vsechno to musis nejak nastavit. Kdyz to nastavis blbe, budou se dit veci ... typu ze ti v siti bude behat permonik, kterej tu a tam, samo ve chvili kdy to nejmin potrebujes, tu sit nakopne.

Takze jak tu uz padlo, postav si sit doma, aspon 1/2 roku si hraj, pak se nech zamestnat nekde na pozici "koste drzet zvlada", a divej se aspon dalsi rok jak se to dela.

Medo

Re:Monitoring sítě
« Odpověď #14 kdy: 09. 10. 2018, 23:06:06 »
No viacnasobny NAT nie je vyhra, ale ked to inac nepojde, da sa zacat aj tu. (dohadovat sa s providerom moze byt na dlho, a strati cas). (ano, je to cunacina)
Z praxe v rychlosti:
Obehat vsetky kable, popozerat, co je kde pozapajane, vyhadzat s.racky typu Tenda, povypinat Ipv6, a osadit za ISP router nieco, co vie pozerat na connections a vie Shaping. Tym odpilis sosacov, p2p, porno, streamy, .. Samozrejme, efektivnejsie by bolo nieco, co to vie samo o sebe vdaka pravidlam (Sophos UTM, Kerio Connect,...).
Bud sa linka spameta, a zacne byt klud, alebo ti tam robia este bordel zariadenia v ramci LAN, a tam uz trochu budes sniffovat .. (zacnes aspon pozeranim statistik na menezovatelnych switchoch a potom dopatras, co tam je zapojene).
Ak su tam nejake zariadenia (NASy, tlaciarne, ...) update firmwarov (ak sa da), a aj tu povypinat zo sluzieb a protokolov co netreba. Ak tam menezovatelne switche nemas, zacnes sa bavit s Wiresharkom ( a mozno aj s nimi :-) )