18 Декабрь Зоопарк Декабрь 18, 2020 By IT Alliance Информационная безопасность, Инфраструктура Как-то вечером обратился давний знакомый с просьбой помочь разобраться в инфраструктуре, к управлению которой он недавно приступил. Дело было в субботу вечером, делать было нечего, детеныши уже спали и я не отказал. Не сказать, что был сильно удивлен - такое не раз встречалось в практике. Зоопарк. Оборудования, настроек, программного обеспечения и прочих сопутствующих систем. Порядком в этой инфраструктуре и не пахло, или как говорится "конь не валялся". Люблю такие задачи. ИТ инфраструктура небольшая - всего 17 офисов (в областных центрах), с количеством сотрудников от 5 до 15, головной офис - 100-120 сотрудников. Обычный трафик - веб, базы данных, удаленный рабочий стол (RDP), почта, IP телефония. Стандартный в общем набор. Жалобы были в основном на то, что интернет "висит" и региональные офисы не могут работать с внутренними ресурсами. Конфигурация серверов не интересовала - потому как основная причина того, что интернет "висит" - неверная конфигурация сетевого оборудования и неверный выбор оборудования. В качестве VPN концентратора (центрального маршрутизатора) в головном офисе стоял маршрутизатор Mikrotik RB750 (https://mikrotik.com/product/RB750GL#fndtn-gallery), что меня очень повеселило. Такой "дэтский" маршрутизатор на 120 cотрудников + 17 VPN подключений по l2tp. Очень "правильно" подобранное оборудование для такой нагрузки. Региональные маршрутизаторы (также Mikrotik RB750) были настроены таким образом, что весь трафик с филиала, в том числе и доступ в сеть Интернет, шел через головной офис, где стоял "дэтский" Mikrotik. Естественно, ответ на вопрос знакомого "почему виснет сеть" был на поверхности. Настройку региональных маршрутизаторов быстро поправил - в сеть Интернет доступ будет осуществляться с локального маршрутизатора. Через VPN доступ будет осуществляться к внутренним ресурсам (как и должно быть). Попутно были обновлены все маршрутизаторы до последней версии ПО, настроены правила безопасности (закрыты порты (21, 23, 80, 443, 8728, 8729), ограничен доступ с определенных IP адресов для управления, изменен порт ssh и т.п.). Все эти изменения разгрузили немного маршрутизатор в центральном офисе, но вопрос полностью не решили. В начале диалога знакомый мне сообщил, что нашел в имеющемся оборудовании TP-LINK TL-ER6120 (https://www.tp-link.com/uk/business-networking/vpn-router/tl-er6120/) и хотел бы его включить в схему сети. Я ему порекомендовал сначала составить план, нарисовать схему внедрения, развернуть тестовую сеть, а лишь после обкатки всех сценариев - переводить сеть на это устройство. Быстро ознакомился с характеристиками этого оборудования, нарисовал схему в Cisco PacketTracer, использовал знакомого в качестве биоробота с голосовым управлением и с помощью него удаленно собрал тестовую сеть - из домашнего роутера (также Mikrotik), виртуальной машины под управлением Windows 10 (развернутой на ноутбуке) и TP-LINK TL-ER6120 в офисе знакомого. На удивление тестовая схема "взлетела" сразу, доступ к ресурсам в сети VPN был. Проведя парочку тестов доступа к ресурсам (ping, traceroute, nslookup, файловый сервер, почтовый сервер, база данных), порекомендовал товарищу включить в работу TP-LINK TL-ER6120. На Phyton написал скрипт, который добавляет дополнительные l2tp cоединения и маршруты автоматически на маршрутизаторы в региональных офисах, попросил знакомого запустить его в сети. Далее проверили выборочно, правильно ли отработал скрипт. После проверки работы скрипта знакомый вбил ручками все подключения по VPN на "новом" устройстве. После всех приготовлений устройство было подключено к Интернет вместо Mikrotik RB750. Все VPN соединения "поднялись" сразу, исключения составил только один маршрутизатор, при конфигурации которого знакомый сделал ошибку в пароле для подключения l2tp. Исправив небольшую оплошность - удаленный маршрутизатор подключился. После ряда тестов (ping, traceroute, nslookup, доступ к видеоригестраторам в региональных офисах) оставили работать "новый" маршрутизатор с возможностью быстрой его замены в понедельник в случае жалоб пользователей. Договорились, если все пройдет нормально и жалоб будет немного, озадачиться настройкой автоматического переключения каналов (у компании два интернет-канала) - благо устройство имеет такой функционал. Какой вывод был сделан из всего этого? Все плохо. Безопасность компании, которая занимается финансовой деятельностью отсутствует как класс. Маршрутизаторы были настроены по принципу "настроил, как могу", никакой безопасности, неверно подобранное оборудование. И таких компаний в нашей необъятной Родине много. А все почему? Потому что практически каждый приходящий на работу системный администратор обманывает своего работодателя в части своих навыков и умений. "Ок, гугл" нам поможет, ютуб - самый популярный обучающий ресурс, отсутствие базовых знаний и прочие сопутствующие этому пробелы. И почему-то при огромных возможностях учиться - никто не хочет этого делать! Печально. Не проще ли сделать все по общепринятым правилам один раз, чтобы потом ежедневно "героически" не сражаться с неисправностями сети и думать, почему же все так "висит" и медленно работает. Это не сложно, если четко и полностью понимаешь то, что ты делаешь, а не настраиваешь сеть с помощью Youtube и Google. Хоть тов.Ульянов, более известный как В.И.Ленин был еще тем аферистом, но его слова "Учиться, учиться и учиться" актуальны всегда. Берегите себя. Please enable JavaScript to view the comments powered by Disqus. blog comments powered by Disqus