← avanzati.it · PSA NetScavenger — rete per WISP & ISP · 01 / 10
§ Deck prodotto · v1.0 · 2026

Sapere davvero
cosa c'è sulla
vostra rete.

Inventory, discovery, backup e security monitoring per operatori con migliaia di apparati multi-vendor — e per chi deve allinearsi alla NIS2 senza impazzire.

Progetti e Servizi Avanzati S.r.l. · Torino · AS42425 Avanti →
§ 01 / Il problema 02 / 10

Un WISP, migliaia di apparati. E nessuno sa con certezza cosa c'è.

Il gap tra "inventario Excel" e rete reale aumenta ogni giorno. NetScavenger lo chiude.

Senza NetScavenger

Inventario che non regge

  • Fogli Excel modificati a mano, sempre obsoleti
  • Script SNMP rotti che nessuno ricorda più
  • Rogue device scoperti solo quando qualcosa va storto
  • Config di rete senza storico: chi ha cambiato cosa?
  • Audit NIS2 come emergenza, non routine
Con NetScavenger

Inventario vivo, sempre

  • Discovery automatico dal neighbor table dei router
  • SSH parallelo, 100+ device al secondo
  • Alert sui rogue device in minuti, non in settimane
  • Backup config con change detection SHA256
  • Audit trail continuo, ready per NIS2
Contesto02 / 10
§ 02 / Discovery 03 / 10

Cinque passi per scoprire un apparato.

Ogni nuovo device passa da qui, automaticamente. Nessuno inserisce niente a mano.

SEED 01 · Router MikroTik

Neighbor table

  • Source of truth
  • CDP / MNDP discovery
  • Scan ricorsivo
OUI · IEEE 02 · MAC lookup

Vendor

  • MikroTik / Ubiquiti
  • Cisco / Cambium
  • Fingerprint istantaneo
SSH · 22/2222 03 · Credenziali

Go scanner

  • 100+ paralleli
  • 22 varianti in priorità
  • Cooldown intelligente
Probe 04 · Identificazione

Model / Serial

  • RouterOS · AirOS · Linux
  • Serial immutabile
  • Classe auto (core/access/wifi)
PostgreSQL 05 · Inventario

Device record

  • Change log
  • Anomaly detection
  • Ready per scan successivi
Flusso di scoperta03 / 10
§ 03 / Scanner 04 / 10

Go scanner, 100+ connessioni parallele.

Scritto in Go per tenere aperte decine di migliaia di SSH senza ingolfare la RAM. Cooldown intelligente, password mai in chiaro nei callback.

01
Coda dinamica di target.
Auto-cap concurrency in base a CPU/RAM libere.
02
Credenziali in priorità ordinata.
Più varianti amministrative configurabili, fail-fast sul bad password.
03
Cooldown intelligente.
7 giorni su failed, 3 su unreachable, resettabile on-demand.
04
Hash SHA256 nei log.
Mai password in chiaro nei callback di monitoring.
netscavenger · scanner.live
# scanning /16 subnets, 108 workers
[OK] 10.0.14.22 RouterOS CCR2004-1G-12S+2XS admin · key#3
[OK] 10.0.14.23 AirOS LBE-5AC-Gen2 ubnt · key#1
[OK] 10.0.14.24 AirOS PBE-M5-400 ubnt · key#1
[OK] 10.0.14.25 RouterOS hAP ac² admin · key#5
[BAD] 10.0.14.26 ssh banner auth failed, cooldown 7d
[OK] 10.0.14.27 RouterOS hEX S admin · key#3
[OK] 10.0.14.28 AirOS NS-M5 ubnt · key#1
[BAD] 10.0.14.29 timeout unreachable, cooldown 3d
[OK] 10.0.14.30 Cisco IOS ISR 1921 admin · key#12
[OK] 10.0.14.31 RouterOS CRS317-1G-16S+ admin · key#3
...
[STAT] 108 workers · 2,028 devices authenticated · 22 creds · 2.7 min
Credenziali a scala04 / 10
§ 04 / Backup config 05 / 10

Un mese di backup, per classe di apparato.

Change detection con hash SHA256: il backup parte solo se la config è cambiata davvero. Storia completa, diff visuale dark-theme.

SHA-256
Change detection
90 gg
Retention default
3
Formati per device
ULTIMI 30 GIORNI · 1 CELLA = 1 SNAPSHOT NOTTURNO
Core · MikroTik
Access · Ubiquiti
WiFi · CPE
Config invariata · snapshot stabile Config cambiata · diff rilevato Verifica periodica Device unreachable
Change detection05 / 10
§ 05 / Path tracing 06 / 10

Da un IP, fino al cavo. Senza indovinare.

IP cliente 10.0.14.42 ARP lookup C4:AD:34:* Ubiquiti Bridge host AP · porta 3 PtP · 60 GHz Route table next-hop 10.0.0.1 Gateway Core · BGP AS42425 Internet TOP-IX · upstream SCAN /ip arp SCAN /bridge host SCAN /ip route AUTO-PROBE BGP LOOKUP 01 02 03 04 05 06
ARP → Bridge → Route → Gateway06 / 10
§ 06 / DHCP & PPPoE 07 / 10

Un DHCP non autorizzato? Lo vediamo subito.

Ogni 6 ore raccogliamo server DHCP e sessioni PPPoE attive da tutti gli apparati. Rogue detection automatico, alert Slack.

DHCP server
Raccolti, confrontati con whitelist, rogue flaggati
PPPoE attivi
Incrociati con RADIUS per verificare chi paga
Alert
Slack multi-canale: critico / warning / info
DHCP autorizzato
Core-TO-01
pool · 10.0.30.0/24 lease · 214 iface · bridge-lan
OK · whitelist
DHCP non autorizzato
CPE-Cuneo-17
pool · 192.168.1.0/24 lease · 6 iface · wlan-station
ROGUE · alert Slack
DHCP autorizzato
POP-Torino
pool · WAN /24 pubblico lease · 98 iface · ether1-wan
OK · whitelist
PPPoE · 675 attive
Sessioni clienti
verified on RADIUS mismatch · 0 refresh · 30 min
OK · reconciled
Rogue detection07 / 10
§ 07 / Numeri reali 08 / 10

Già in produzione sulla nostra rete.

Questi numeri non sono un pitch. Sono lo stato attuale di NetScavenger sulla rete PSA — 26 marzo 2026.

4.420
Device scoperti
multi-vendor, multi-sede
2.028
Con credenziali SSH
46% della base, in crescita
168k
Route entries
raccolte via Go scanner
52k
Bridge host (L2 MAC)
CAM table snapshots
675
PPPoE sessions
riconciliate su RADIUS
609
DHCP server monitorati
13.477 lease totali
35+
Subnet /16 mappate
copertura geografica Piemonte
6
Vendor identificati
Ubnt · MT · Cambium · …
Ubiquiti · 3.037
MikroTik · 1.133
Ubiquiti 3.037 MikroTik 1.133 Cambium 47 TP-Link 21 Cisco 23 · altri 159
Stato rete PSA · 26 mar 202608 / 10
§ 08 / NIS2 09 / 10

Gli audit NIS2 smettono di essere un'emergenza.

NetScavenger non fa "compliance automatica" — ma riempie i buchi che rendono gli audit un incubo.

A · Cosa copriamo

Controlli NIS2 che tocchiamo

  • Inventario asset di rete aggiornato in tempo reale
  • Gestione configurazioni con backup e diff
  • Tracciabilità cambiamenti: chi ha fatto cosa, quando
  • Autenticazione: mapping credenziali, hash SHA256
  • Logging eventi critici (alert, rogue, anomalie)
  • Procedure di recovery: config restore verificate
Ready per l'audit · documenti esportabili
B · Cosa non siamo

Quello che resta a voi

  • SOC 24/7 (opzionale · integriamo con Wazuh)
  • Crisis management plan (resta decisione aziendale)
  • Business continuity (dipende dalla vostra infra)
  • Formazione personale (supportiamo con documentazione)
  • Gestione incidenti sicurezza (reporting si integra)
  • Audit esterni (noi forniamo dati, non certificazione)
Noi diamo dati · voi decidete processo
Compliance09 / 10
§ 09 / Adozione 10 / 10

Una rete che si racconta da sola?

Deployment tipico in giorni, non mesi. Import credenziali iniziali, primi scan, calibrazione alert. Il NOC si abitua alla dashboard in una settimana.
PSA S.r.l. · Torino · AS42425 · NetScavengerFine