Как найти узкие места в сети без админского доступа к АСО?

Question

[Kilobox]

Так уж получилось, что в нашей большой компании сетевиками работают не самые приятные специалисты. Пакеты теряются, ARP-таблицы крашатся, маршруты строятся по каким-то неадекватным алгоритмам, access-листы живут своей жизнью etc. И предъявить им, кроме эмпирических данных, особо нечего.
Есть ли какие-то инструменты сбора информации о жизнедеятельности сети без, собственно, админского доступа к сетевому оборудованию? Все остальные права в домене есть: можно развернуть ВМ в любом VLAN, воткнуть железку куда хочешь, и так далее.

Answer 1

[chupasaurus]

Выбейти у тех. дира/начальника IT-отдела доступ для аудита: если железки могут в Netflow, то заведите ntop-ng и пустите в него, если нет - read-only доступ к SNMP, данные с которого можно обрабатывать стеком Telegraf/InfluxDB/Grafana, например.

Comments

[Kilobox]

Очень интересно, спасибо!

[Denis Michurin]

А что у ваших сетевиков нет системы мониторинга? Zabbix, Cacti? Через них можно получить все что нужно

[Kilobox]

Denis Michurin: у них есть, а у меня-то нет :)
Умеют ли они ей пользоваться - другой вопрос. Единственный критерий у них: пинг есть - значит с сетью все ок.

[Denis Michurin]

Kilobox: я так понимаю вы отвечаете за серваки? так в чем проблема себе нарулить учетку?)

Answer 2

[CityCat4]

А политика безопасности в вашей большой компании документирована? За сбор информации, да еще полученный со своим обычным доступом конечно вряд ли что будет, но попытка использовать обнаруженные дыры может привести к не слишком приятным последствиям

Comments

[Kilobox]

Скажете тоже - "использовать обнаруженные дыры". Просто хочу иметь более увесистые аргументы в руках для будущих дискуссий, потому как сетевики утомили переводом стрелок на серверное железо и софт.

Несколько примеров:

- в одной подсети индекс доступности ИС - 98%, в другой, на точно таком же железе - 30-40%
- станция мониторинга, находясь в одной подсети, выкидывает десятки алармов о том, что потеряла пинги до хостов, после перевода в другую подсеть - тишь да гладь
- из пункта А в пункт Б пакет идет с 3 хопами, а из пункта Б в пункт А - с 7
- раньше HP VC после создания shared uplink'а автоматически подтягивал с АСО информацию о лагах, а потом перестал (проблема, конечно же, в железе на блейде, ага)
- при экстренном отключении АСО на одном объекте, внезапно, отъезжают хосты, которые находятся вообще в другом месте, по документации никак не связанном с первым
- нельзя достучаться по RDP до сервера, или из браузера до web-интерфейса из некоей точки, пока не пошлешь ping по целевому IP, который, видимо, инициирует построение маршрута

продолжать можно долго :) Могу предположить, что в сети творится хаос, но, как говорится, "нужны пруфы"

[CityCat4]

Kilobox: ну, собрать аргументы никто не мешает :) Судя по всему у вас какой-то адЪ с маршрутизацией :) Кстати насчет "достучаться по RDP" - IPSec-туннелей нет? Это очень характерное поведение для IPSec - при отсутствии трафика он просто глушит туннель. У меня было такое в одном месте, пришлось писать хитрый изващенческий скрипт, периодически пинающий узлы.

[Kilobox]

CityCat4:

у вас какой-то адЪ с маршрутизацией

Тоже так думаю :'(

IPSec-туннелей, думаю, нет.
А скрипт пинговальщик уже пришлось повесить в шедулер некоторым важным серверам

[CityCat4]

Kilobox: Возможно еще где-то динамическая маршрутизация, причем работающая по странным критериям. Нет трафика - маршрут похерился. Пнули - маршрут построился...