Predstavljajte si sledeč scenarij: sprejmete pozicijo skrbnika IT infrastrukture v podjetju, kjer so vse IT storitve upravljali zunanji izvajalci. Glede na to, da internega omrežja ne poznate, bi se želeli najprej razgledati po stavbi in ugotoviti stanje IT infrastrukture.

Pred časom sem se sam znašel v taki situaciji. Že takoj sem naletel na veliko težavo - nihče od zaposlenih ni vedel, kdo vse je do mojega prihoda upravljal z IKTjem. Dobil sem mapo z gesli in nekaj kontakti, ter navodila, naj vzpostavim omrežje na čimbolj funkcionalno raven in uredim vso “zmedo”.

V redu, si mislim, in grem pogledat v “serversko sobo”. Ojoj, groza! Žal nimam dejanske fotografije, da bi pokazal, v kakšnem stanju je bila TK omarica, je pa izgledalo zelo podobno tej fotografiji:

Še bolj nezadovoljen sem postal, ko sem opazil, da patch-bay sploh ni označen. Obstal sem pred 48 UTP vtikači, ki so vodili po celotni stavbi, meni neznano kam. Prav tako ni nikjer bilo moč dobiti dokumentacije o nameščanju mrežnih povezav. Klic zunanjega izvajalca je le še potrdil, da se nikoli ni nihče trudil s “papirologijo”.

Nič drugače ni bilo z računalniki - skoraj polovica gesel je bila neveljavnih, IP naslovi in omrežja so bila postavljena tako, kot so to naredili zunanji izvajalci, nikjer ni bilo popisa opreme, niti konfiguracij, kaj šele seznama licenc za programsko opremo.

Preden sem uredil celotno omrežje in vzpostavil osnoven nivo urejenosti omrežja je minilo vsaj 2 meseca. Pa je šlo le za okoli 80 računalnikov v 6 različnih podomrežjih. Seveda pa so tu bili še tiskalniški strežniki, AP, web kamere, zgoraj omenjena zmeda kablov, …

Kaj me je najbolj ujezilo?

Tako malo časa si je treba vzeti, da do takih stvari ne pride. Podjetja, ki se jim plača za vzpostavitev določenih storitev, bi lahko bila tako fer, da bi oni uredili vso dokumentacijo del in jo predali naročniku.

Rešitev je precej preprosta in praktično brezplačna. Obstajajo brezplačni programi, s katerimi lahko naredimo diagram omrežja. Glede na moje izkušnje priporočam uporabo brezplačnega programa DIA, s katerim lahko na enostaven način izrišemo celotno topologijo omrežja. Vse, kar je potrebno, je nekaj dobre volje in sprotno zapisovanje povezav, ki jih postavljamo.

Za primere, kako naj tak diagram zgleda, preglejte spletno stran Rate my network diagram.

Na omrežni diagram poleg poteka žičnih povezav, lokacije stikal in usmerjevalniko, lokacije vsakega računalnika napišimo tudi ime naprave (v kolikor ga ima) in IP naslov. V posebno preglednico pa vpišimo osnovno konfiguracijo računalnika, skrbniško geslo, datum nakupa, kontakt prodajalca in datum preteka garancijskega roka. Podobno naredimo za aktivno omrežno opremo. Dobro si je zapisati tudi načine administracije naprav (npr. vrata za oddaljen dostop do naprave ali računalnika).

Tak seznam shranimo nekam na varno, najbolje v sef, kamor ima dostop le pooblaščeno osebje. Naj bo tam shranjeno zaradi “nepredvidenih dogodkov”. Precej tvegano je, da konfiguracija in vzdrževanje celotnega omrežja sloni le na eni osebi, katera edina pozna dostopna gesla in arhitekturo omrežja. Poleg tega pa se tudi spodobi, da imamo urejen pregled nad stanjem IKT opreme v podjetju, če že zanjo skrbimo.

Najpogostejša napaka pri namestitvi sistema Windows XP je, da ne določite gesla za administratorski račun. Neverjetno, koliko uporabnikov ima svoj račun zaščiten z geslom, administratorski račun pa je “odklenjen”. Vedno znova me to preseneča, ko mi kdo prinese računalnik na popravilo.

Če uporabljate “Pozdravno okno” z ikonami za vstop, poskusite sledeče:

- na vstopni strani dvakrat pritisnite CTR-ALT-DEL (skupaj), odprlo se bo okence za vnos up. imena in gesla
- za uporabniško ime vpišite “administrator” in pritisnite “V redu”
- v kolikor je prijava uspešna, imate “odklenjen” računalnik. Zaščitite administratorski račun z geslom!

Sicer lahko prvi korak preskočite.

Kot ponavadi banke pri uveljavljanju novih storitev precej hitijo in s tem je varnost storitev precej vprašljiva. Me prav zanima, kakšna je enkripcija te storitve.

Bodo zdaj hackerji letali okrog nasih riti z RFID čitalci? že čutim novo tržno nišo - kovinski ovitki za kreditne kartice (Faraday-eva kletka).

Tovarniško določena gesla za usmerjevalnike in dostopovne točke so splošno znana. To je dejstvo, ki se ga moramo zavedati vsi, ki to opremo uporabljamo.

V kolikor ne spremenimo privzetega gesla, izpostavljamo naše omrežje veliki varnostni luknji. Nekdo, ki je priključen na naše omrežje, lahko preko iskalnikov dobi seznam tovarniško določenih up. imen in gesel in preko tega pride v administratorski vmesnik usmerjevalnika.

Problem je še večji, če imamo vklopljeno storitev oddaljenega administriranja!

Torej, treba se je držati načela, da napravi najprej spremenimo geslo za upravljanje, nato uredimo nastavitve in šele potem prključimo v omrežje.