📋 Навигация
1. Введение: зачем проводить аудит безопасности офисной сети
2. Правовые и организационные основы: что нужно согласовать до начала
3. Подготовка к аудиту: инструменты, права и план работ
4. Инвентаризация сети: что подключено к вашей инфраструктуре
5. Анализ сетевого периметра: маршрутизаторы, firewall, DMZ
6. Сканирование уязвимостей: Nmap, OpenVAS, Nessus Essentials
7. Анализ беспроводных сетей: аудит Wi-Fi в офисе
8. Проверка парольных политик и управления доступом
9. Анализ сетевого трафика: Wireshark и обнаружение аномалий
10. Аудит конфигураций сетевого оборудования
11. Проверка системы обновлений и patch-менеджмента
12. Продвинутые техники: внутреннее пентестирование и lateral movement
13. Документирование результатов и составление отчёта
14. FAQ: 12 горячих вопросов об аудите сети
15. Чек-лист: базовый аудит безопасности сети за один рабочий день
16. Заключение и теги
1. Введение: зачем проводить аудит безопасности офисной сети
Большинство взломов корпоративных сетей не начинаются с экзотических атак нулевого дня. По данным исследований в области кибербезопасности, более 80% успешных проникновений используют известные уязвимости, для которых патчи существуют уже месяцами. Устаревшее прошивочное обеспечение маршрутизатора, стандартный пароль на управляемом коммутаторе, незакрытый RDP-порт на сервере — вот реальные точки входа в большинстве случаев.
Базовый аудит безопасности сети — это систематическая проверка вашей инфраструктуры теми же методами, которыми действует злоумышленник, но с разрешения владельца. Цель не в том, чтобы имитировать кино про хакеров, а в том, чтобы найти слабые места раньше, чем их найдёт кто-то другой.
Кому нужно это руководство. Системным администраторам малого и среднего бизнеса, которые отвечают за инфраструктуру в одиночку или небольшой командой. IT-специалистам, которым поставили задачу «проверить сеть» без чёткого технического задания. Руководителям IT-отделов, которым нужно объяснить руководству, что и как проверялось.
Важная оговорка с самого начала: аудит безопасности — это не разовое мероприятие. Это процесс, который должен повторяться регулярно: минимум раз в год для типичного офиса, чаще — при изменениях инфраструктуры, смене сотрудников или инцидентах безопасности. Данное руководство описывает базовый аудит — уровень, который реально выполнить силами штатного IT-специалиста без специализированного образования в области безопасности, используя преимущественно бесплатные инструменты.
Что вы получите по итогам аудита, проведённого по этому руководству. Полную карту устройств в вашей сети — включая те, о которых вы могли не знать. Список открытых портов и сервисов с оценкой их необходимости. Перечень известных уязвимостей на обнаруженных устройствах. Оценку конфигураций сетевого оборудования. Проверку парольных политик и прав доступа. Анализ сетевого трафика на аномалии. Готовый отчёт с приоритизированными рекомендациями.
Весь описанный инструментарий — это реально существующие, широко документированные инструменты с открытым исходным кодом или бесплатными версиями. Никаких выдуманных программ и несуществующих команд. Все шаги основаны на методологиях OWASP, NIST SP 800-115 и CIS Controls.
> *💡 Руководство носит образовательный характер. Все описанные действия должны проводиться исключительно в рамках сетей и систем, которыми вы владеете или на проверку которых имеете письменное разрешение.*
2. Правовые и организационные основы: что нужно согласовать до начала
Аудит безопасности без правильно оформленного разрешения — это уголовный риск, даже если вы сотрудник компании. Статья 272 Уголовного кодекса Российской Федерации («Неправомерный доступ к компьютерной информации») не делает исключений для системных администраторов, действующих без надлежащего документального основания.
Что необходимо оформить до начала аудита
Письменное разрешение от руководства или владельца бизнеса. Документ должен содержать: перечень систем, которые разрешено проверять; временные рамки проведения аудита; список лиц, уполномоченных проводить проверку; подпись ответственного лица. Даже если вы — единственный системный администратор компании и сами же обслуживаете всё оборудование, письменная санкция защищает вас в случае любых вопросов.
Уведомление ключевых сотрудников. Руководители подразделений и ответственные за критичные системы должны знать о проводимом аудите: дата, примерное время активного сканирования, возможное влияние на производительность сети. Активное сетевое сканирование может вызвать кратковременное замедление работы — это нормально, но люди должны быть предупреждены.
Определение области аудита (Scope). Чётко зафиксируйте, что входит в проверку: конкретные IP-диапазоны, сегменты сети, типы систем. Что не входит — например, личные устройства сотрудников, гостевая Wi-Fi-сеть или системы партнёров, подключённые к вашей инфраструктуре. Работа за пределами согласованной области — нарушение, даже если технически устройство находится в вашей сети.
Что является допустимым при внутреннем аудите
- Сканирование IP-адресов в пределах согласованных диапазонов
- Анализ сетевого трафика в собственной сети с разрешения руководства
- Проверка конфигураций оборудования, которое находится на балансе компании
- Попытки входа с использованием только тех учётных данных, которые предоставлены для проверки
- Использование сканеров уязвимостей на согласованных хостах
Что является нарушением даже при внутреннем аудите
- Сканирование и атаки на личные устройства сотрудников без их явного согласия
- Перехват и анализ персональной переписки сотрудников (нарушение 138-ФЗ)
- Попытки обойти системы защиты партнёрских или облачных сервисов
- Физические атаки без специальной санкции
- Любые действия, выходящие за согласованный Scope
> *⚠️ Если ваша компания работает с персональными данными (152-ФЗ) или относится к объектам критической информационной инфраструктуры (187-ФЗ), аудит безопасности имеет дополнительные регуляторные требования. В таких случаях рекомендуется привлечение лицензированных специалистов.*
3. Подготовка к аудиту: инструменты, права и план работ
Грамотная подготовка определяет качество аудита на 50%. Попытка сканировать сеть без чёткого плана и нужных инструментов приводит к тому, что половина уязвимостей остаётся необнаруженной, а время тратится неэффективно.
Рабочая станция для аудита
Рекомендуется использовать отдельный ноутбук или виртуальную машину с дистрибутивом Kali Linux или Parrot OS Security — они поставляются с предустановленным набором инструментов аудита. Если разворачивать отдельную ОС не нужно, большинство инструментов доступны для установки на Ubuntu/Debian или Windows.
Установка Kali Linux в VirtualBox на Windows:
1
. Скачать VirtualBox с virtualbox.org
2. Скачать готовый образ Kali Linux с kali.org/get-kali → Virtual Machines
3. Импортировать OVA-файл в VirtualBox (File → Import Appliance)
4. Запустить виртуальную машину, войти: kali / kali
5. Обновить систему: sudo apt update && sudo apt upgrade -y
Минимальный набор инструментов
| Инструмент | Назначение | Лицензия | Установка |
|---|---|---|---|
| Nmap | Сканирование портов и хостов | Open Source | apt install nmap |
| OpenVAS / Greenbone | Сканер уязвимостей | Open Source | apt install openvas |
| Wireshark | Анализ трафика | Open Source | apt install wireshark |
| Nessus Essentials | Сканер уязвимостей | Бесплатно (до 16 IP) | tenable.com/products/nessus/nessus-essentials |
| Netdiscover | Обнаружение хостов | Open Source | apt install netdiscover |
| Aircrack-ng | Аудит Wi-Fi | Open Source | apt install aircrack-ng |
| CrackMapExec | Аудит Active Directory | Open Source | apt install crackmapexec |
| Nikto | Сканер веб-серверов | Open Source | apt install nikto |
Сбор исходной документации
Перед началом активных проверок соберите всю доступную документацию по инфраструктуре: схемы сети (если они существуют), список IP-адресов и подсетей, реестр сетевого оборудования, список критичных серверов и сервисов, политику информационной безопасности (если есть). Это позволит сравнить реальное состояние инфраструктуры с задокументированным и выявить расхождения.
Временной план аудита
Базовый аудит сети офиса до 50 рабочих мест реально провести за один рабочий день при правильной организации. Активное сканирование (этапы инвентаризации и сканирования уязвимостей) лучше проводить в нерабочее время или ранним утром — сканер создаёт нагрузку на сеть. Анализ результатов и составление отчёта — задача следующего дня.
> *💡 Создайте папку для хранения всех результатов аудита с датой в названии: audit_2026-02-24/. Внутри — подпапки: scans/, configs/, screenshots/, report/. Дисциплина в хранении данных сэкономит часы при составлении отчёта.*
4. Инвентаризация сети: что подключено к вашей инфраструктуре
Первый шаг любого аудита — узнать, что реально находится в сети. Практика показывает: в большинстве офисов системный администратор не знает о 10–30% устройств, подключённых к корпоративной сети. Личные Raspberry Pi, забытые IP-камеры, старые принтеры с сетевым интерфейсом, устройства интернета вещей — всё это реальные точки входа для злоумышленника.
Определение диапазонов адресов
Первым делом установите, какие IP-подсети используются в вашей сети. На Linux:
ip
route show
На Windows:
ipconfig
/all
route print
Типичный офис использует одну или несколько подсетей: 192.168.1.0/24, 10.0.0.0/8, 172.16.0.0/12. Запишите все активные диапазоны — они понадобятся для сканирования.
Обнаружение хостов с помощью Nmap
Nmap (Network Mapper) — де-факто стандарт для сканирования сетей. Быстрое обнаружение всех активных хостов в подсети:
nmap
-sn 192.168.1.0/24 -oN hosts_discovery.txt
Флаг -sn означает «только пинг, без сканирования портов» — быстрый и ненагружающий режим для первоначального обнаружения. Флаг -oN сохраняет результат в файл.
Расширенное обнаружение с определением операционных систем:
nmap
-sn -O 192.168.1.0/24 --osscan-guess -oN hosts_with_os.txt
Использование Netdiscover для ARP-сканирования
Netdiscover работает на уровне ARP и обнаруживает хосты, которые могут не отвечать на ICMP-пинги:
netdiscover
-r 192.168.1.0/24 -i eth0
ARP-сканирование работает только в пределах одного сегмента сети (broadcast domain). Для многосегментной сети запускайте Netdiscover для каждого сегмента отдельно.
Идентификация устройств по MAC-адресам
По первым трём октетам MAC-адреса (OUI — Organizationally Unique Identifier) можно определить производителя устройства. Nmap делает это автоматически при сканировании. Альтернативно — воспользуйтесь базой IEEE OUI: https://regauth.standards.ieee.org/standards-ra-web/pub/view.html#registries
nmap
-sn 192.168.1.0/24 --script broadcast-arp-sweep
Построение карты сети
Сведите обнаруженные хосты в таблицу:
| IP-адрес | MAC-адрес | Производитель | Имя хоста | Тип устройства | Известно ли |
|---|---|---|---|---|---|
| 192.168.1.1 | AA:BB:CC:DD:EE:01 | MikroTik | router.local | Маршрутизатор | Да |
| 192.168.1.105 | AA:BB:CC:DD:EE:33 | Raspberry Pi | unknown | Неизвестно | ❌ Нет |
Все строки с «Нет» в последней колонке — приоритет для расследования. Каждое незнакомое устройство должно быть идентифицировано физически: найдите его в офисе по IP, выясните, кому оно принадлежит и зачем подключено.
> *⚠️ Обнаружили устройство, которое никто не может опознать? Это красный флаг. До выяснения обстоятельств рассмотрите возможность изоляции его в отдельный VLAN или отключение от сети.*
5. Анализ сетевого периметра: маршрутизаторы, firewall, DMZ
Периметр сети — граница между вашей инфраструктурой и внешним миром. Уязвимости на периметре — самый короткий путь для атаки извне.
Проверка внешнего IP и открытых портов снаружи
Прежде чем смотреть на периметр изнутри, посмотрите на него глазами внешнего злоумышленника. Узнайте внешний IP-адрес офиса:
curl
ifconfig.me
Проверьте, какие порты видны снаружи. Это можно сделать через публичные сервисы без установки ПО: Shodan (shodan.io), Censys (censys.io), nmap.online. Введите ваш внешний IP и посмотрите результат.
Критически опасные порты, открытые на внешнем IP:
- 22 (SSH) — прямой доступ к серверам без VPN
- 3389 (RDP) — удалённый рабочий стол Windows, популярная цель брутфорса
- 445 (SMB) — протокол файлового доступа Windows, вектор множества эпидемий
- 23 (Telnet) — незашифрованный протокол управления, должен быть закрыт везде
- 1433 (MS SQL), 3306 (MySQL), 5432 (PostgreSQL) — базы данных напрямую в интернет
Аудит правил межсетевого экрана
Подключитесь к административному интерфейсу маршрутизатора или firewall. Задокументируйте все правила NAT (проброс портов) и входящей фильтрации. Для каждого правила задайте три вопроса: для чего оно создано, кто его создал, актуально ли оно до сих пор.
Типичные находки при аудите правил: правила, созданные для временных нужд и забытые; широкие разрешения «ANY → ANY» вместо конкретных адресов; открытые порты для уволившихся сотрудников; устаревшие VPN-правила.
Проверка конфигурации DNS
DNS-зоны и настройки резолвера — часто игнорируемый аспект безопасности периметра. Проверьте:
text
<h2 id="proverka-vneshnego-dns-rezolvera">Проверка внешнего DNS-резолвера</h2>
nslookup company.ru 8.8.8.8
<h2 id="proverka-vnutrennego-dns">Проверка внутреннего DNS</h2>
nslookup internal-server 192.168.1.1
<h2 id="proverka-na-vozmozhnost-zonnogo-transfera-uyazvimost">Проверка на возможность зонного трансфера (уязвимость)</h2>
dig axfr company.ru @ns1.company.ru
Успешный зонный трансфер (AXFR) — критическая уязвимость: злоумышленник получает полный список всех записей DNS вашей зоны, включая внутренние имена серверов.
Сегментация сети: VLAN и DMZ
Проверьте, сегментирована ли ваша сеть. Минимально рекомендуемое разделение для офиса: пользовательская сеть (рабочие станции), серверная сеть (файловые серверы, контроллер домена), гостевая сеть (Wi-Fi для посетителей), сеть управления (административные интерфейсы оборудования).
Наличие сегментации проверяется через конфигурацию управляемых коммутаторов и маршрутизатора. Если вся инфраструктура находится в одной плоской сети /24 — это само по себе серьёзный риск: скомпрометированная рабочая станция получает прямой доступ ко всем серверам.
> *💡 Даже если ваш маршрутизатор не поддерживает полноценные VLAN, разделение на отдельные подсети через настройку DHCP-пулов и статических маршрутов — лучше, чем полная плоскость сети.*
6. Сканирование уязвимостей: Nmap, OpenVAS, Nessus Essentials
После инвентаризации и оценки периметра — детальное сканирование портов и поиск известных уязвимостей на каждом хосте.
Полное сканирование портов с Nmap
Базовое сканирование всех портов с определением сервисов и версий:
nmap
-sV -sC -p- -T4 192.168.1.0/24 -oA full_scan
Разбор флагов: -sV — определение версий сервисов; -sC — запуск стандартных скриптов NSE (Nmap Scripting Engine); -p- — сканирование всех 65535 портов; -T4 — агрессивный режим по скорости (T1 — медленнее всего, T5 — максимальная скорость); -oA — сохранение результатов в трёх форматах (nmap, xml, grepable).
Сканирование конкретного хоста с полным набором скриптов безопасности:
nmap
-sV -sC --script=vuln 192.168.1.1 -oN router_vuln.txt
Развёртывание OpenVAS для комплексного анализа уязвимостей
OpenVAS (Open Vulnerability Assessment System), входящий в состав Greenbone Community Edition, — наиболее полнофункциональный бесплатный сканер уязвимостей.
Установка на Kali Linux:
sudo
apt install openvas -y
sudo gvm-setup
sudo gvm-start
После запуска веб-интерфейс доступен по адресу https://127.0.0.1:9392. Логин по умолчанию: admin, пароль выводится в консоли при первом запуске.
Создание задачи сканирования: Scans → Tasks → New Task → указать Target (IP-адрес или диапазон), выбрать Scan Config (Full and fast) → Save → Start.
Время сканирования одного хоста — от 15 минут до нескольких часов в зависимости от количества открытых сервисов. Результат — список уязвимостей с оценкой CVSS (Common Vulnerability Scoring System): критические (9–10), высокие (7–8.9), средние (4–6.9), низкие (0–3.9).
Nessus Essentials: профессиональный инструмент бесплатно
Nessus Essentials — бесплатная версия коммерческого сканера от Tenable, позволяющая проверять до 16 IP-адресов. Для небольшого офиса этого достаточно для проверки критичных хостов.
Регистрация и загрузка: tenable.com/products/nessus/nessus-essentials → зарегистрируйте бесплатный ключ активации.
Установка на Ubuntu:
wget
https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/[latest]/get?i_agree_to_tenable_license_agreement=true -O nessus.deb
sudo dpkg -i nessus.deb
sudo systemctl start nessusd
Интерфейс доступен по адресу https://localhost:8834.
Интерпретация результатов сканирования
Найденные уязвимости необходимо приоритизировать. Не пытайтесь устранить всё сразу — сосредоточьтесь на критичных и высоких уязвимостях на наиболее экспонированных хостах.
| Приоритет | CVSS | Действие | Срок |
|---|---|---|---|
| Критический | 9.0–10.0 | Устранить немедленно или изолировать | 24–48 часов |
| Высокий | 7.0–8.9 | Устранить в плановом порядке | 1–2 недели |
| Средний | 4.0–6.9 | Включить в план патчинга | 1 месяц |
| Низкий | 0.1–3.9 | Зафиксировать, устранить при удобстве | Квартал |
> *⚠️ Перед запуском агрессивного сканирования убедитесь, что предупредили пользователей о возможных кратковременных сбоях. Некоторые старые принтеры и IP-камеры могут зависнуть при интенсивном сканировании портов.*
7. Анализ беспроводных сетей: аудит Wi-Fi в офисе
Корпоративная Wi-Fi-сеть — один из наиболее часто атакуемых векторов в офисной среде. Неправильно настроенная точка доступа может предоставить злоумышленнику полный доступ к внутренней сети из машины на парковке.
Обнаружение беспроводных сетей в диапазоне
Для просмотра всех видимых Wi-Fi-сетей в офисе используется Airodump-ng из пакета Aircrack-ng. Для работы требуется Wi-Fi-адаптер с поддержкой режима мониторинга.
Перевод адаптера в режим мониторинга:
sudo
airmon-ng start wlan0
Обнаружение сетей:
sudo
airodump-ng wlan0mon
Что искать в выводе: BSSID (MAC точки доступа), ESSID (название сети), шифрование (ENC: WPA2, WPA3, WEP, OPN), канал, мощность сигнала.
Что проверять при аудите Wi-Fi
Протокол шифрования. WPA3 — актуальный стандарт. WPA2 с AES — приемлемо. WPA2 с TKIP — устаревший алгоритм, необходимо переключить на AES. WPA — устаревший, обновить. WEP — критически уязвим, немедленно заменить. OPN (открытая сеть без пароля) — допустимо только для изолированной гостевой сети.
Наличие гостевой сети. Гостевой Wi-Fi должен быть изолирован от корпоративной сети физически или через VLAN. Проверка изоляции: подключитесь к гостевой сети и попробуйте достучаться до ресурсов корпоративной сети (например, ping 192.168.1.1 или обращение к файловому серверу). Если доступ есть — изоляция не работает.
Обнаружение мошеннических точек доступа (Rogue AP). Сравните список обнаруженных Wi-Fi-сетей со списком официально установленных точек доступа. Незнакомые сети с похожими именами (Evil Twin атака) или сети с SSID вашей компании, но другим BSSID — признак потенциальной атаки.
Проверка стойкости пароля корпоративной Wi-Fi
Для оценки стойкости пароля WPA2 без его взлома — проверьте его длину и сложность через административный интерфейс контроллера точек доступа или маршрутизатора. Минимальные требования: длина от 12 символов, использование букв верхнего и нижнего регистра, цифр и специальных символов, не словарное слово.
Оффлайн-атака по словарю (только для проверки собственной сети): захват handshake и проверка по списку распространённых паролей:
sudo
airodump-ng -c [channel] --bssid [BSSID] -w capture wlan0mon
<h2 id="dozhdatsya-podklyucheniya-klienta-ili-deautentifitsirovat-klienta-prinuditelno">Дождаться подключения клиента или деаутентифицировать клиента принудительно</h2>
aircrack-ng -w /usr/share/wordlists/rockyou.txt capture-01.cap
Если пароль был взломан по словарю — он должен быть немедленно заменён.
> *⚠️ Перехват Wi-Fi-трафика и деаутентификация клиентов в чужих сетях — уголовное преступление. Описанные действия применяются исключительно к собственным сетям с разрешения.*
8. Проверка парольных политик и управления доступом
Слабые пароли и неправильное управление доступом — причина большинства успешных атак на внутренние ресурсы. Аудит в этой области выявляет системные проблемы, которые невозможно закрыть техническими средствами без изменения политик.
Аудит Active Directory
Если в офисе используется домен Windows (Active Directory), основной инструмент — PowerShell-модуль ActiveDirectory или CrackMapExec.
Проверка учётных записей с устаревшими паролями (не менялись более 90 дней):
powershell
Import-Module ActiveDirectory
Get-ADUser -Filter * -Properties PasswordLastSet |
Where-Object {$_.PasswordLastSet -lt (Get-Date).AddDays(-90)} |
Select-Object Name, PasswordLastSet |
Sort-Object PasswordLastSet
Поиск учётных записей с отключённым требованием смены пароля:
powershell
Get-ADUser -Filter {PasswordNeverExpires -eq $true} -Properties PasswordNeverExpires |
Select-Object Name, PasswordNeverExpires
Поиск отключённых, но не удалённых учётных записей (уволившиеся сотрудники):
powershell
Get-ADUser -Filter {Enabled -eq $false} -Properties LastLogonDate |
Where-Object {$_.LastLogonDate -gt (Get-Date).AddDays(-180)} |
Select-Object Name, LastLogonDate, Enabled
Аудит через CrackMapExec
CrackMapExec (CME) — инструмент для аудита сетей Windows:
text
<h2 id="obnaruzhenie-hostov-v-domene">Обнаружение хостов в домене</h2>
cme smb 192.168.1.0/24
<h2 id="proverka-politiki-paroley-domena">Проверка политики паролей домена</h2>
cme smb 192.168.1.1 --pass-pol
<h2 id="poisk-mashin-s-vklyuchyonnym-anonimnym-dostupom-smb">Поиск машин с включённым анонимным доступом SMB</h2>
cme smb 192.168.1.0/24 -u '' -p ''
Проверка локальных администраторов
На рабочих станциях Windows проверьте список локальных администраторов. Наличие стандартного аккаунта Administrator с включённой учётной записью — распространённая уязвимость:
net
localgroup administrators
Рекомендация: встроенный аккаунт Administrator должен быть переименован или отключён на всех рабочих станциях, а доступ к локальному администрированию — только через доменные аккаунты с аудитом.
Чек-лист парольных политик
- Минимальная длина пароля — не менее 12 символов
- Требование сложности (буквы, цифры, спецсимволы)
- Максимальный срок действия пароля — не более 90 дней
- История паролей — не менее 5 предыдущих паролей
- Блокировка учётной записи после 5–10 неудачных попыток
- Многофакторная аутентификация для удалённого доступа и административных аккаунтов
> *💡 Политика «пароль не должен истекать» часто включается для сервисных учётных записей. Это допустимо, но такие аккаунты должны иметь особо сложные пароли и ограниченные права — только те, которые реально необходимы.*
9. Анализ сетевого трафика: Wireshark и обнаружение аномалий
Перехват и анализ сетевого трафика позволяет обнаружить то, что статичное сканирование упускает: активные соединения с подозрительными адресами, передачу данных в открытом виде, нетипичную активность устройств.
Захват трафика с помощью Wireshark
Wireshark — графический анализатор сетевых пакетов. Запуск захвата: выбрать сетевой интерфейс → нажать кнопку запуска (синий плавник акулы).
Для захвата трафика всей сети (а не только своей машины) необходим доступ к управляемому коммутатору и настройка Port Mirroring (SPAN-порта) — копирования трафика всех портов на один порт, к которому подключена рабочая станция с Wireshark. Без SPAN-порта Wireshark видит только трафик своего хоста и широковещательные пакеты.
Ключевые фильтры Wireshark для аудита
Поиск незашифрованных передач паролей (Telnet, FTP, HTTP Basic Auth):
ftp
|| telnet || http.authorization
Обнаружение DNS-запросов к нетипичным адресам:
dns
&& !dns.qry.name contains "microsoft" && !dns.qry.name contains "google"
Поиск ARP-спуфинга (потенциальная атака «человек посередине»):
arp
.duplicate-address-detected
Выявление сканирования портов (большое число SYN-пакетов без ответа):
tcp
.flags.syn==1 && tcp.flags.ack==0 && !tcp.flags.rst==1
Соединения на нестандартные порты (возможная командно-контрольная активность):
tcp
.dstport > 1024 && !(tcp.dstport == 8080 || tcp.dstport == 443 || tcp.dstport == 8443)
Анализ через командную строку: tcpdump и tshark
Для записи трафика без графического интерфейса:
text
<h2 id="zahvat-vsego-trafika-i-zapis-v-fayl">Захват всего трафика и запись в файл</h2>
sudo tcpdump -i eth0 -w capture.pcap
<h2 id="tolko-dns-zaprosy">Только DNS-запросы</h2>
sudo tcpdump -i eth0 -w dns.pcap port 53
<h2 id="trafik-konkretnogo-hosta">Трафик конкретного хоста</h2>
sudo tcpdump -i eth0 host 192.168.1.105 -w suspect_host.pcap
Анализ сохранённого файла через tshark:
text
<h2 id="spisok-vseh-unikalnyh-vneshnih-ip-adresov-s-kotorymi-obschalsya-host">Список всех уникальных внешних IP-адресов, с которыми общался хост</h2>
tshark -r capture.pcap -T fields -e ip.dst | sort | uniq -c | sort -rn | head 20
Что искать в трафике
На что обратить внимание при анализе. Соединения с IP-адресами в странах, с которыми компания не работает. Регулярные «маяки» (beaconing) — соединения, повторяющиеся с фиксированным интервалом (признак малвари, ждущей команд). Большие объёмы исходящего трафика в ночное время. DNS-запросы к доменам с очень длинными или случайно выглядящими именами (DNS-туннелирование). Незашифрованные передачи учётных данных.
> *⚠️ Перехват и анализ персональной переписки сотрудников — нарушение законодательства о тайне переписки (ст. 138 УК РФ) даже при наличии корпоративного оборудования. Фокусируйтесь на сетевых метаданных и трафике сервисов, а не на содержимом личных сообщений.*
10. Аудит конфигураций сетевого оборудования
Неправильно настроенное оборудование часто опаснее, чем устаревшее программное обеспечение. Дефолтные пароли, включённые небезопасные протоколы управления, отсутствующее логирование — классические находки при аудите конфигураций.
Что проверять на маршрутизаторах и коммутаторах
Подключитесь к административному интерфейсу каждого управляемого сетевого устройства и проверьте следующие параметры:
Пароли и учётные записи. Изменены ли пароли с заводских значений. Есть ли неиспользуемые учётные записи (admin, guest, operator). Используется ли надёжное шифрование паролей в конфигурации (для Cisco: service password-encryption, enable secret вместо enable password).
Протоколы удалённого управления. SSH должен быть включён, Telnet — отключён. Для MikroTik: /ip service print — убедитесь, что Telnet (port 23) отключён, доступ по SSH ограничен разрешёнными IP-адресами. Для Cisco: show running-config | include line vty — проверьте, что используется transport input ssh, а не transport input telnet.
SNMP-конфигурация. SNMP версии 1 и 2c используют строку сообщества (community string) в открытом виде. Дефолтная строка public — критическая уязвимость. Если SNMP не нужен — отключить полностью. Если нужен — переключить на SNMPv3 с аутентификацией и шифрованием.
Логирование (syslog). Убедитесь, что оборудование отправляет логи на централизованный syslog-сервер. Для MikroTik: /system logging print. Для Cisco: show running-config | include logging. Логи должны храниться минимум 90 дней и быть защищены от изменения.
Типичный аудит MikroTik RouterOS
text
<h2 id="prosmotr-vseh-aktivnyh-servisov">Просмотр всех активных сервисов</h2>
/ip service print
<h2 id="spisok-pravil-firewall">Список правил firewall</h2>
/ip firewall filter print
/ip firewall nat print
<h2 id="aktivnye-soedineniya">Активные соединения</h2>
/ip firewall connection print
<h2 id="polzovateli-sistemy">Пользователи системы</h2>
/user print
<h2 id="versiya-proshivki">Версия прошивки</h2>
/system routerboard print
Проверка прошивки и обновлений оборудования
Для каждого сетевого устройства проверьте текущую версию прошивки и сравните с актуальной на сайте производителя. Устаревшие прошивки часто содержат известные уязвимости. Маршрутизаторы Zyxel (уязвимость CVE-2023-28771), Cisco (множественные CVE ежегодно), MikroTik (CVE-2018-14847 и другие) — производители регулярно выпускают обновления безопасности.
> *💡 Перед обновлением прошивки любого сетевого устройства всегда делайте резервную копию конфигурации. Некоторые обновления сбрасывают настройки или меняют поведение правил.*
11. Проверка системы обновлений и patch-менеджмента
Устаревшее программное обеспечение — причина большинства успешных атак. По данным Национального института стандартов и технологий США (NIST), медианное время между публикацией CVE и её активной эксплуатацией составляет менее двух недель. Это означает: если патч вышел, а вы его не установили через 14 дней — вы уже в зоне активного риска.
Инвентаризация установленного ПО и его версий
На Windows-машинах список установленного ПО через PowerShell:
powershell
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* |
Select-Object DisplayName, DisplayVersion, Publisher, InstallDate |
Sort-Object DisplayName |
Export-Csv -Path installed_software.csv -NoTypeInformation
На Linux:
text
<h2 id="debian-ubuntu-spisok-vseh-paketov-s-versiyami">Debian/Ubuntu — список всех пакетов с версиями</h2>
dpkg -l | grep ^ii > installed_packages.txt
<h2 id="rpm-based-centos-rhel">RPM-based (CentOS/RHEL)</h2>
rpm -qa --queryformat '%{NAME}-%{VERSION}\n' | sort > installed_packages.txt
Проверка статуса обновлений Windows через WSUS или GPO
Если в организации используется WSUS (Windows Server Update Services), подключитесь к консоли управления и проверьте: количество машин, не получивших критические обновления; список обновлений, ожидающих установки дольше 30 дней; машины, которые давно не синхронизировались с сервером.
Проверка статуса обновлений отдельной Windows-машины:
powershell
<h2 id="spisok-ustanovlennyh-obnovleniy">Список установленных обновлений</h2>
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20
<h2 id="proverka-posledney-ustanovki-obnovleniy">Проверка последней установки обновлений</h2>
(New-Object -ComObject Microsoft.Update.AutoUpdate).Results.LastInstallationSuccessDate
Использование Vulners и других баз CVE для проверки версий
Зная версии установленного ПО, вы можете проверить наличие известных CVE. Инструменты для этого: база NIST NVD (nvd.nist.gov), Vulners (vulners.com/search), CVE Details (cvedetails.com). Введите название и версию программы — система покажет список связанных уязвимостей.
Автоматизация через Nmap NSE-скрипты:
text
<h2 id="poisk-cve-dlya-obnaruzhennyh-servisov">Поиск CVE для обнаруженных сервисов</h2>
nmap -sV --script vulners 192.168.1.1 -oN cve_check.txt
Приоритизация обновлений
Обновлять всё немедленно в большой инфраструктуре нереально. Приоритет: операционные системы серверов и контроллера домена, антивирусные базы (ежедневно), браузеры и почтовые клиенты, VPN-клиенты и клиенты удалённого доступа, сетевое оборудование (прошивки), прикладное ПО, работающее с данными клиентов.
> *✅ Минимальная жизнеспособная политика обновлений для небольшого офиса: автоматическая установка обновлений безопасности Windows через WSUS или Windows Update, ручная проверка и обновление прошивок сетевого оборудования ежеквартально, обновление серверного ПО — в плановые окна обслуживания ежемесячно.*
12. Продвинутые техники: внутреннее пентестирование и lateral movement
Базовый аудит выявляет отдельные уязвимости. Продвинутый уровень — проверка того, как эти уязвимости могут быть связаны в цепочку атаки. Это имитация действий злоумышленника, который уже проник в сеть и пытается расширить доступ.
Что такое lateral movement и почему это важно
Lateral movement (горизонтальное перемещение) — это техника, при которой злоумышленник, получив доступ к одной машине в сети, использует её как плацдарм для атаки на другие системы. Даже если внешний периметр хорошо защищён, один фишинговый email, открытый сотрудником, может дать атакующему точку входа — а дальше он идёт «вбок» по сети.
Проверить устойчивость к lateral movement можно следующим образом: возьмите обычную рабочую станцию пользователя и выясните, до каких ресурсов она имеет доступ, который технически не нужен для работы данного сотрудника.
Инструменты для анализа lateral movement
BloodHound — инструмент для визуализации путей атаки в Active Directory. Собирает данные о правах, группах и доверительных отношениях в домене и строит граф, показывающий, как атакующий может добраться от обычного пользователя до Domain Admin.
Установка и запуск SharpHound (сборщик данных для BloodHound):
powershell
<h2 id="zapustit-s-obychnymi-pravami-polzovatelya-v-domene">Запустить с обычными правами пользователя в домене</h2>
.\SharpHound.exe -c All --outputdirectory C:\Temp\
Загрузить полученный ZIP-файл в BloodHound и проанализировать пути атаки.
CrackMapExec для проверки распространения учётных данных:
text
<h2 id="proverka-rabotayut-li-uchyotnye-dannye-polzovatelya-na-drugih-mashinah">Проверка, работают ли учётные данные пользователя на других машинах</h2>
cme smb 192.168.1.0/24 -u имя_пользователя -p пароль
<h2 id="poisk-mashin-s-vklyuchyonnym-wdigest-paroli-v-otkrytom-vide-v-pamyati">Поиск машин с включённым WDigest (пароли в открытом виде в памяти)</h2>
cme smb 192.168.1.0/24 -u admin -p пароль -M wdigest
Проверка защиты от Pass-the-Hash атак
Pass-the-Hash — атака, при которой злоумышленник использует хэш пароля вместо самого пароля для аутентификации. Защита — отключение NTLM-аутентификации там, где это возможно, и включение Protected Users Security Group в Active Directory.
Проверка поддержки NTLM в домене:
powershell
<h2 id="prosmotr-politiki-ntlm">Просмотр политики NTLM</h2>
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" | Select-Object LmCompatibilityLevel
Значение 5 (Send NTLMv2 response only; refuse LM and NTLM) — рекомендуемый минимум.
Проверка привилегий сервисных аккаунтов
Сервисные аккаунты с избыточными правами — популярная цель. Проверьте:
powershell
<h2 id="spisok-akkauntov-s-pravami-domain-admin">Список аккаунтов с правами Domain Admin</h2>
Get-ADGroupMember "Domain Admins" | Select-Object Name, ObjectClass
<h2 id="akkaunty-s-pravom-na-kerberoasting-spn-bez-preauth">Аккаунты с правом на Kerberoasting (SPN + без preauth)</h2>
Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName
> *⚠️ Продвинутое тестирование на lateral movement должно проводиться с явного письменного разрешения руководства и только в рамках согласованного scope. Некоторые техники могут вызвать блокировку учётных записей или сбои систем.*
13. Документирование результатов и составление отчёта
Аудит без качественного отчёта — потраченное время. Отчёт — это инструмент, который позволяет руководству принять обоснованные решения о распределении ресурсов, а вам — отследить прогресс устранения уязвимостей.
Структура отчёта об аудите безопасности
Хороший отчёт состоит из нескольких частей. Исполнительное резюме (1–2 страницы) — для руководства без технического образования: общий уровень риска, три-пять ключевых находок, рекомендуемые действия с оценкой стоимости и трудозатрат. Техническая часть — для IT-специалистов: полный список обнаруженных уязвимостей с описанием, скриншотами, CVE-идентификаторами и шагами воспроизведения. Раздел рекомендаций — конкретные шаги по устранению каждой находки с приоритетами и сроками. Приложения — сырые данные сканирований, конфигурации, скриншоты.
Шаблон описания уязвимости
text
Уязвимость: [Название]
Хост: [IP-адрес, имя хоста]
CVE: [CVE-номер если применимо]
CVSS Score: [0.0–10.0]
Приоритет: [Критический / Высокий / Средний / Низкий]
Описание:
[Что обнаружено, как это было найдено]
Риск:
[Что может произойти, если уязвимость будет эксплуатирована]
Рекомендация:
[Конкретные шаги по устранению с командами/ссылками]
Статус:
[Открыта / В работе / Устранена / Принят риск]
Срок устранения:
[Дата]
Хранение и защита результатов аудита
Результаты аудита безопасности — чрезвычайно чувствительный документ. В нём перечислены все уязвимости вашей инфраструктуры. Попадание этого отчёта в чужие руки — готовая инструкция по взлому вашей сети.
Правила хранения: шифрование файлов отчёта (VeraCrypt, BitLocker); доступ только по принципу «необходимо знать»; хранение на изолированном носителе или в системе управления документами с аудитом доступа; физическое уничтожение распечаток после использования.
Отслеживание прогресса устранения
Создайте таблицу задач по устранению уязвимостей с полями: ID уязвимости, описание, ответственный, срок, статус. Проводите еженедельную сверку до устранения всех критических и высоких уязвимостей. Через 30 дней после аудита проведите повторную проверку выборочно — убедитесь, что объявленные меры действительно реализованы.
> *✅ Отчёт, содержащий только технические находки без бизнес-контекста, часто остаётся на полке. Переведите каждый риск в понятные руководству термины: потенциальный ущерб в рублях, регуляторные штрафы, репутационный риск.*
14. FAQ: 12 горячих вопросов об аудите сети
Q 01 Нужно ли специальное образование для проведения базового аудита?
A Для базового аудита по описанной методологии специального образования не требуется — достаточно понимания основ сетевых протоколов и готовности разобраться с инструментами. Сертификации CompTIA Security+, CEH или OSCP значительно расширят ваши возможности, но их отсутствие не делает базовый аудит невозможным. Начните с документации к инструментам: nmap.org/book/, docs.greenbone.net.
Q 02 Как часто нужно проводить аудит?
A Минимум — раз в год. Дополнительно: после существенных изменений инфраструктуры (добавление новых серверов, смена провайдера, переезд офиса), после обнаружения инцидента безопасности, при добавлении новых сотрудников с административными правами, при переходе на новые бизнес-приложения.
Q 03 Сколько времени занимает базовый аудит офиса на 50 рабочих мест?
A Активная часть (сканирование, анализ трафика, проверка конфигураций) — 6–8 часов при правильной организации. Анализ результатов и составление отчёта — ещё 4–8 часов. Итого: реально уложиться в два рабочих дня для специалиста с опытом. Для первого аудита заложите три-четыре дня.
Q 04 Можно ли проводить аудит без отключения пользователей?
A Да. Активное сканирование портов (Nmap, OpenVAS) создаёт заметную нагрузку на сеть, но в большинстве случаев не вызывает отключений. Исключение — устаревшее оборудование (старые принтеры, IP-камеры, промышленные контроллеры) может зависнуть при интенсивном сканировании. Рекомендуется проводить самые агрессивные фазы сканирования в нерабочее время.
Q 05 OpenVAS или Nessus Essentials — что выбрать?
A Для начинающих Nessus Essentials удобнее: лучший интерфейс, подробные описания уязвимостей, готовые шаблоны сканирования. Ограничение — 16 IP бесплатно. OpenVAS/Greenbone Community не имеет ограничений по IP, полностью бесплатен, но требует больше усилий при настройке. Для небольшого офиса используйте Nessus для критичных серверов, OpenVAS — для полного сканирования сети.
Q 06 Что делать, если Nmap или OpenVAS находит критическую уязвимость на сервере в рабочее время?
A Не паникуйте. Наличие уязвимости в сканере не означает, что её уже эксплуатируют. Оцените экспонированность: доступен ли уязвимый сервис снаружи или только изнутри сети. Если доступен снаружи — рассмотрите временное ограничение доступа через firewall до установки патча. Если только внутри — установите патч в плановом порядке в ближайшее окно обслуживания.
Q 07 Как убедиться, что аудит не нарушает законодательство о персональных данных?
A Аудит безопасности сети сам по себе не является обработкой персональных данных. Однако если в процессе перехвата трафика вы захватываете содержимое личных сообщений сотрудников — это нарушение. Фокусируйтесь на сетевых метаданных, IP-адресах, портах и заголовках. Если у компании есть политика допустимого использования корпоративных ресурсов (Acceptable Use Policy) с упоминанием мониторинга — её наличие снижает правовые риски.
Q 08 Обнаружил потенциальный взлом в процессе аудита — что делать?
A Немедленно уведомите руководство. Зафиксируйте всё, что видите: скриншоты, логи, список подозрительных соединений и процессов. Не изменяйте и не удаляйте ничего на скомпрометированных системах — это уничтожает цифровые доказательства. Рассмотрите изоляцию подозрительных хостов от сети. При серьёзном инциденте — привлеките специализированную компанию по реагированию на инциденты.
Q 09 Стоит ли нанять внешнего пентестера вместо внутреннего аудита?
A Внутренний аудит и внешний пентест — дополняющие, а не заменяющие друг друга активности. Внутренний специалист знает инфраструктуру, доступен постоянно и может проводить аудит регулярно. Внешний пентестер смотрит свежим взглядом, имеет опыт реальных атак и несёт независимую ответственность за результат. Оптимальный подход: внутренний базовый аудит ежеквартально + внешний пентест раз в год.
Q 10 Что делать с уязвимостями, которые нельзя закрыть немедленно?
A Если патча нет или обновление невозможно без простоя — применяйте компенсирующие меры: изоляция уязвимого хоста в отдельный VLAN с ограниченным доступом, блокировка уязвимого сервиса на уровне firewall, дополнительный мониторинг активности на этом хосте, документирование принятого риска с подписью ответственного лица.
Q 11 Можно ли автоматизировать регулярный аудит?
A Частично — да. Nmap и OpenVAS поддерживают запуск по расписанию и автоматическую отправку отчётов. Для мониторинга непрерывно можно использовать бесплатные IDS-системы: Suricata или Snort для анализа трафика, Wazuh или Security Onion для SIEM-функций. Но полная замена человеческого анализа автоматикой — нереалистична: инструменты дают данные, а интерпретация требует опыта.
Q 12 Какой минимальный бюджет нужен для проведения базового аудита?
A При использовании только инструментов с открытым исходным кодом (Nmap, OpenVAS, Wireshark, Kali Linux) — финансовые затраты стремятся к нулю. Основной ресурс — рабочее время специалиста. Nessus Essentials бесплатен для 16 IP. Если требуется сканирование большего числа хостов коммерческим инструментом — Nessus Professional стоит от 4000$ в год, Qualys Guard — от 500$ в квартал. Для малого бизнеса OpenVAS полностью перекрывает потребности базового аудита.
15. Чек-лист: базовый аудит безопасности сети за один рабочий день
Структурированный алгоритм для системного администратора, проводящего аудит сети офиса до 50 рабочих мест.
Блок A: Подготовка — до начала аудита (30 минут)
- [ ] Получить письменное разрешение от руководства
- [ ] Уведомить ключевых сотрудников о проведении аудита
- [ ] Зафиксировать scope: перечень IP-диапазонов и систем для проверки
- [ ] Подготовить рабочую станцию с инструментами (Kali Linux, Nmap, Wireshark)
- [ ] Создать структуру папок для хранения результатов: audit_YYYY-MM-DD/
Блок B: Инвентаризация и периметр (2 часа)
- [ ] Определить все активные IP-подсети командой ip route show / ipconfig
- [ ] Запустить обнаружение хостов: nmap -sn [подсеть] -oN hosts.txt
- [ ] Сравнить с известным реестром оборудования — найти незнакомые устройства
- [ ] Проверить внешний IP через shodan.io или censys.io — зафиксировать открытые порты
- [ ] Проверить правила NAT и входящей фильтрации на маршрутизаторе — удалить устаревшие
Блок C: Сканирование уязвимостей (3–4 часа, можно запустить и уйти)
- [ ] Запустить полное сканирование портов: nmap -sV -sC -p- [хосты] -oA full_scan
- [ ] Запустить OpenVAS или Nessus Essentials на критичных хостах
- [ ] Запустить аудит Wi-Fi: airodump-ng — зафиксировать все видимые сети, сравнить с реестром
- [ ] Проверить шифрование корпоративной сети (минимум WPA2 с AES)
- [ ] Проверить изоляцию гостевой Wi-Fi от корпоративной сети
Блок D: Конфигурации и политики (2 часа)
- [ ] Подключиться к каждому управляемому сетевому устройству — проверить пароли не на дефолтных значениях
- [ ] Убедиться, что Telnet отключён, SSH включён на всём управляемом оборудовании
- [ ] Проверить SNMP: если версия 1/2c с community «public» — отключить или сменить
- [ ] Проверить политику паролей AD: минимум 12 символов, срок действия, блокировка
- [ ] Найти отключённые учётные записи уволившихся сотрудников — удалить или деактивировать
- [ ] Проверить список локальных администраторов на рабочих станциях
Блок E: Трафик и мониторинг (1 час)
- [ ] Запустить Wireshark на 15–30 минут — найти незашифрованные передачи данных
- [ ] Проверить DNS-запросы на аномалии
- [ ] Убедиться, что логирование включено на маршрутизаторе и отправляется на syslog-сервер
Блок F: Документирование (2 часа)
- [ ] Свести все находки в таблицу с приоритетами
- [ ] Подготовить исполнительное резюме для руководства (1 страница)
- [ ] Назначить ответственных и сроки для каждой найденной проблемы
- [ ] Зашифровать и сохранить все материалы аудита
> *✅ Даже если вы нашли «ноль уязвимостей» — это тоже результат. Задокументированное чистое состояние на конкретную дату — базовая линия (baseline) для сравнения при следующем аудите.*
16. Заключение
Базовый аудит безопасности сети — это не разовое мероприятие «для галочки». Это регулярный процесс, который позволяет держать руку на пульсе безопасности инфраструктуры, на которой работает бизнес. Большинство взломов — не результат изощрённых атак, а следствие игнорирования базовых мер: не обновили прошивку маршрутизатора, не удалили аккаунт уволившегося сотрудника, не заметили незнакомое устройство в сети.
Ключевые принципы, которые стоит вынести из этого руководства: инвентаризация — основа основ, нельзя защитить то, о чём не знаешь; периметр — первый рубеж, но не единственный; lateral movement важнее, чем внешнее проникновение в большинстве реальных атак; документирование без плана действий — бесполезно; регулярность важнее глубины — лучше делать базовый аудит каждый квартал, чем глубокий пентест раз в три года.
Инструменты, описанные в этом руководстве, — реальные, бесплатные и мощные. Nmap, OpenVAS, Wireshark, Aircrack-ng — это тот же стек, который используют профессиональные пентестеры. Разница не в инструментах, а в опыте интерпретации результатов — и этот опыт приходит с практикой.
Пять правил системного администратора при аудите безопасности
1. Документируй всё — «на словах» не существует в информационной безопасности
2. Получай разрешение — письменно, до начала любых действий
3. Приоритизируй — критические уязвимости закрываются первыми, не «удобные»
4. Повторяй — инфраструктура меняется, угрозы меняются, аудит должен меняться вместе с ними
5. Переводи риски в язык бизнеса — технические отчёты без бизнес-контекста остаются нечитанными
