В данном кейсе мы описываем как провели исследование работы сетевых устройств и дали детальные рекомендации для создания безопасной и отказоустойчивой сети.
Аудит Wi-Fi сетиСанкт-Петербург

Исходные данные проекта

Заказчик — крупный завод по производству полимерной упаковки и композиционных материалов. Предприятие разрабатывает и внедряет современные продукты и решения для химической и нефтехимической отраслей, а также строительной индустрии, агропромышленного комплекса, логистического сектора и пищевой индустрии.

Основная проблематика, с которой столкнулся заказчик:

Медленный обмен данными между филиалами предприятия.

Постановка задачи

  1. Провести аудит имеющегося в центральном офисе и филиалах компании сетевого оборудования Mikrotik;
  2. Предоставить отчет с предложением по оптимизации настроек роутеров для повышения уровня безопасности сети и увеличения скорости обмена трафика, а также реализации отказоустойчивости.

Реализация проекта

Для ознакомления с исходной ситуацией и проведения аудита, инженеры клиента предоставили нам удаленный доступ к их сети. Выполнением проверки конфигурации маршрутизаторов занимался наш технический директор — Князев Илья Николаевич.

Сетевая архитектура клиента построена из набора следующего оборудовании: Mikrotik CCR1016, RB951Ui-2HnD, hAP AC Lite, hap ac2.

В ходе подключения и исследования имеющихся конфигураций оборудования, по каждому из роутеров были выявлены серьезные недочеты. Приведем далее некоторые из них.

Ошибки, выявленные в настройках Mikrotik CCR 1016

Ошибки, выявленные в настройках Mikrotik CCR 1016

  1. В настройках файрвола обнаружена существенная уязвимость — отсутствует правило, запрещающее доступ со всех WAN-интерфейсов;
  2. Отсутствует настройка MultiWAN и корректного подключения, а также не настроен мониторинг каналов;
  3. Отсутствует шифрование на VPN-каналах с другими подразделениями;
  4. В качестве протокола VPN для удаленного доступа, в большинстве случаев используется PPTP, который на данный момент не считается безопасным и имеет проблемы с подключением через NAT.

Недочеты в конфигурации HAP AC LITE

Недочеты в конфигурации hAP Lite AC

  1. Недостаточно настроен файрвол, нет правила, запрещающего доступ к роутеру со всех WAN-интерфейсов;
  2. Не используется шифрование на VPN-каналах с другими подразделениями;
  3. Маршрутизатор не поддерживает аппаратное шифрование.

Mikrotik 951Ui-2HnD

Mikrotik 951Ui-2HnD

  1. Недостаточно настроен файрвол, нет правила, запрещающего доступ к роутеру со всех WAN-интерфейсов;
  2. Не используется шифрование на VPN-каналах с другими подразделениями;
  3. Маршрутизатор не поддерживает аппаратное шифрование;
  4. Сильно завышена мощность передатчика WiFi, до 30DBm (1Вт).

Выводы исследования

Как мы видим, на всех проверенных устройствах выявлены практически одни и те же ошибки. При этом наиболее критической уязвимостью является некорректная настройка файрвола, из-за которой маршрутизаторы открыты ко внешнему несанкционированному доступу.

Кроме того, в некоторых филиалах оборудование не соответствовало требуемым нагрузкам.


Проведя анализ имеющейся ситуации, мы предоставили клиенту перечень рекомендаций:

  1. Произвести замену маршрутизаторов без поддержки аппаратного шифрования, на модели с поддержкой данной функции;
  2. Настроить MultiWAN на маршрутизаторах, где он подключен. На этих маршрутизаторах так же настроить дополнительные VPN-туннели через второе подключение к Интернету;
  3. Настроить шифрование VPN-подключений;
  4. Для удаленного подключения пользователей, вместо PPTP, использовать протоколы L2TP+IPSec, IKEv2, SSTP;
  5. Для обеспечения автоматического переключения VPN каналов между подразделениями, а также упрощения маршрутизации настроить протокол OSPF.

Результаты аудита

  1. По итогу аудита клиент получил исчерпывающий отчет с детальным описанием найденных узких мест сетевой архитектуры;
  2. Заказчику предоставлен список рекомендаций для достижения эталонного уровня в скорости обмена данными, безопасности и отказоустойчивости сетевой архитектуры;
  3. Также заказчику была предоставлена точная смета на проведение работ по реконфигурации сетевого оборудования.

Хотите обсудить похожий проект?
Отправьте запрос менеджеру