Audyty bezpieczeństwa czy testy penetracyjne zyskują coraz większą popularność wśród profesjonalnych usług IT. Płatne testy bezpieczeństwa dają dużo cennych informacji o stanie systemów IT, nie zastąpią jednak rutynowych zadań, które każdy administrator powinien regularnie wykonywać. Podstawowa analiza infrastruktury nie musi być droga, a odpowiednie programy często mamy już na naszych komputerach, nawet o tym nie wiedząc.

Infrastruktura IT składa się z wielu komponentów – począwszy od serwerów, poprzez wszelkiej maści urządzenia sieciowe, firewalle, IPS-y, po komputery i urządzenia przenośne użytkowników końcowych, a także dostępne w sieci drukarki, skanery czy faksy. Im jest bardziej rozległa i skomplikowana, tym trudniej jest zadbać o jej bezpieczeństwo. Audyty bezpieczeństwa powinny być jednym z rutynowych zadań zespołu IT w każdej firmie. Tylko w ten sposób możemy w skoordynowany i jednolity sposób usuwać niedociągnięcia w konfiguracji usług i eliminować oprogramowanie o znanych podatnościach. Komercyjne produkty i usługi wspierające nas w tym zadaniu lub całkowicie przeprowadzające je za nas są warte uwagi, ale ich cena niejednokrotnie jest zaporowa, szczególnie dla mniejszych firm. Przyjrzyjmy się, w jaki sposób przeprowadzić podstawowe zadania za pomocą darmowych narzędzi oraz gdzie znajdziemy specjalistyczne, ale nadal darmowe programy przydatne każdemu administratorowi.

> WYKRYWANIE URZĄDZEŃ DZIAŁAJĄCYCH W SIECI

Każda sieć komputerowa powinna mieć swoją dokumentację. Praktycznie nie spotyka się już jej w formie papierowej, częściej są to dokumenty elektroniczne i arkusze kalkulacyjne, w których zebrane są wszystkie dane. Administratorzy korzystają też z aplikacji pozwalających na zarządzanie nie tylko informacją o sprzęcie czy przypisanym mu adresie IP, lecz stale monitorujących konfigurację sprzętową czy zainstalowane oprogramowanie. Zebrane dane muszą na etapie audytu zostać poddane weryfikacji na podstawie choćby podstawowego skanowania wszystkich zakresów adresów IP, które zgodnie z dokumentacją są wykorzystywane w sieci. Jeżeli wykorzystywana jest adresacja prywatna, na przykład kilka wybranych podsieci z zakresu 192.168.0.0/16, to często zakres skanowania rozszerza się na całą klasę, by zweryfikować, czy nie istnieją nieudokumentowane podsieci lub urządzenia.

Nasz skaner powinniśmy uruchomić na dedykowanym komputerze, nawet zwykłym PC czy laptopie, ze statycznie skonfigurowanym adresem IP. Pamiętajmy, by zainstalować na nim od podstaw system operacyjny, najczęściej Linux, gdyż nigdy nie mamy pewności, czy zainstalowany już system operacyjny nie jest zainfekowany. W wielu przypadkach korzystać możemy z dystrybucji uruchamianych bezpośrednio z pendrive’a. Do przeprowadzenia skanowania konieczne jest odpowiednie przygotowanie w naszej sieci wszelkich urządzeń, które mogą filtrować ruch, czyli przede wszystkim firewalli i routerów, na których skonfigurowane są listy ACL.