2025 ж. 29 шіл.·6 мин

Желідегі жасырын құрылғыларды іздеу: ең аз міндеттер мен есептер

Желідегі жасырын құрылғыларды іздеу: Netdisco, arpwatch және Nmap‑ты қалай баптау, ақпараттық қауіпсіздік пен қызмет көрсетуге қандай есептер қажет және регламентті қалай рәсімдеу.

Желідегі жасырын құрылғыларды іздеу: ең аз міндеттер мен есептер

«Жасырын» құрылғы деген не және оны неге жүйелі ұстау керек

«Жасырын» құрылғы — есепке алынбай, анық иесі жоқ түрде желіге қосылған кез келген жабдық. Ол «сағат аралығында» қосылған болуы мүмкін, бірақ апта‑аптадан кейін де қалуы ықтимал. Мәселе оның қаншалықты «ақылды» екенінде емес, ешкім оның бар екенін білмей, ешкім оны күтпейтінінде.

Көбінесе бұл тұрмыстық құрылғылар: принтер, үйге арналған Wi‑Fi нүктесі, табло немесе бухгалтерия үшін мини‑ПК, IP‑камера, «ақылды» теледидар, VoIP‑шлюз. Мұнда сондай‑ақ «интернет үшін» уақытша қойылатын роутерлер және кейін өшірілмей ұмытылатын тесттік ноутбуктар кіреді.

Мұндай құрылғыларда әдетте белгісіз сервистер мен конфигурациялар болады. Оларда қарапайым парольдер, қажетсіз басқару протоколдары қосулы, жаңартулар жылдар бойы қойылмаған болуы мүмкін. Кейде жасырын құрылғы сегментацияны бұзады: мысалы, точка доступа офис VLAN‑ына Wi‑Fi таратады немесе екі интерфейсі бар мини‑ПК екі желіні «қоса» кетеді.

Бір реттік іздеу әдетте пайдасыз. Желі күн сайын өзгереді: мердігер камера әкеледі, бөлім принтер сатып алады, админ уақытша «затычка» қояды. Бір айдан кейін дәл осындай жағдай қайта шығады, бірақ басқа MAC‑пен және басқа кабинетте. Сондықтан үнемі анықтау, растау, рәсімдеу немесе ажырату процесі қажет.

Кәдімгі процеске төрт роль қатысады: ақпараттық қауіпсіздік (ИБ) ережелер мен жауап мерзімдерін анықтайды; эксплуатация порттар мен сызбалар арқылы құрылғының қайда қосылғанын растайды; Helpdesk пайдаланушылармен байланысып, иесін немесе легализацияға өтініш жасайды; сервис иелері (ИТ, офис, қауіпсіздік) — құрылғыны есепке алу, оқшаулау немесе алып тастау туралы шешім қабылдайды.

Жасырын құрылғыларды жүйелі табу — бұл «қызметке енгізілген» шара емес, желінің гигиенасы: тосынсыйлар азаяды, тексеру жеңілдейді және «кіші қорапша» үлкен мәселенің кіреберісіне айналуы мүмкін ықтималдық төмендейді.

ИБ пен эксплуатация үшін минималды мақсат

Минималды нәтиже — «таңғажайып карта» емес, басқарылушылық. Үш сұраққа жедел жауап беру жеткілікті: қандай құрылғы пайда болды, қайда қосылған және кім жауапты. Егер бұларға жауап сағаттар аясында берілсе, тәуекел айтарлықтай азаяды.

Шығарым ретінде тұрақты түрде мынадай шағын артефакттар болуы пайдалы:

  • табылған құрылғылар тізімі (IP, MAC, хост аты, MAC‑қа сәйкес өндіруші, алғаш байқалған уақыт)
  • орналасуына бекіту (коммутатор, порт, VLAN, офис/қабат немесе басқа локация)
  • «белгілі/белгісіз» статусы және жауапты тұлға (сервис иесі немесе бөлім)
  • ИБ‑дан қысқа тәуекел ескертпесі (мысалы: «маршрутизатор», «точка доступа», «принтер», «түсініксіз»)

Жауапкершілікті алдын‑ала бөлу жақсы. ИБ пайда болуды тіркеп, тәуекелді бағалайды: бұл құрылғы осы аймаққа жарай ма, ережелер айналып өту белгілері бар ма. Эксплуатация «дала» жұмысын атқарады: портты тауып, мекенжайлау қатесі жоқ па, иесі кім екенін тексереді, керек болса ажыратады немесе дұрыс сегментке аударады. IT мен ИБ сатып алу мен қолдауда қиылысып жатқан компанияларда (мысалы, GSE.kz деңгейіндегі жүйелік интеграторлармен енгізулерде) бұл бөлініс әсіресе маңызды, себебі инциденттер екі команда арасында «таңдап қоятын» болмайды.

Бақылау жиілігі сигналдарға байланысты:

  • күнделікті: жаңа MAC және MAC‑IP өзгерістері
  • апталық: «жаңа және ашылмаған» тізімі жауаптылар мен мерзімдерімен
  • айлық: реестрді нақты желідегі көрініспен сәйкестендіру

«Шындық» қайда сақталатынын алдын ала шешіңіз. Ең дұрысы — CMDB немесе есепке алу дерекқоры. Егер ондай болмаса, қарапайым кестемен бастаңыз: құрылғы, иесі, локация, келісілген күн. Бір дереккөзсіз жасырын құрылғылар іздеуі тез «ол әрқашан осында болды» деген дауға айналады.

Құралдарды іске қоспас бұрын қандай деректер мен қолжетімділіктер қажет

Бастапқы деректерсіз құралдар тез шектеледі: сіз «желідегі бір нәрсені» көресіз, бірақ қай портқа қосылғанын және кім жауапты екенін анықтай алмайсыз. Бастамас бұрын қай сегменттерді бақылайтындығыңыз бен қандай дереккөздер «шындық» саналатынын келісіп алыңыз.

Желілік инфрақұрылымға қолжетімділік

Netdisco үшін ең басты минимум — коммутаторлардан SNMP арқылы оқу. SNMP болмаса, ең маңыздысы — MAC‑ты порт пен коммутаторға байлау — шықпайды, сол себепті штепсель немесе Wi‑Fi нүктесіне тез жету мүмкін болмайды.

Тексеру керек:

  • басқару адресі, модель, орналасқан жері көрсетілген коммутаторлар тізімі және SNMP read‑only рұқсат
  • бақылауға кіретін VLAN және подсеть картасы (офис, Wi‑Fi, қонақ, сервер)
  • порт конфигурациясын қарауға құқық (ең болмағанда эксплуатация арқылы), ол порт режимі, trunk/access, сипаттаманы нақтылау үшін қажет
  • қай жерлерге «тиіспеу» керектігін түсіну: белсенді сканерлеу тыйым салынған сегменттер мен құрылғылар

IP, MAC және иесін байланыстыратын сервистер деректері

DHCP логи көбіне ең жылдам жауапты береді: кім және қашан IP алғанын көрсету. Егер arpwatch жаңа MAC көрсеттіyse, келесі қадам — оны DHCP арқылы IP және уақытпен байланыстыру.

Алдын ала исключенияларды келісіңіз. Мысалы, принтерлер, терминалдар, медициналық жабдық және кейбір OT жиі белсенді Nmap арқылы тексерілмейді. Ондайда қай желілер пассивті түрде (SNMP, DHCP, ARP) ғана бақыланатынын және кім ерекшелік бере алатынын жазып алыңыз.

Есептер «MAC‑тар тізіміне» айналып кетпеуі үшін, қарапайым атау ережесін және тіркеу орнын енгізіңіз (CMDB, кесте, тикет‑жүйе): орын, кабинет немесе стойка, VLAN, құрылғы рөлі және иесінің контакті. Сол кезде бухгалтерлік желідегі «белгісіз» роутер жұмбақ болмастан, орынды және жауаптысы бар тапсырмаға айналады.

Netdisco: құрылғыларды жылдам есепке алу және портқа байлау

Netdisco желіге не қосылғанын және қай портқа қосылғанын жылдам айқындауға көмектеседі. Жасырын құрылғыларды іздеуде ол өте пайдалы, себебі коммутатор деректеріне сүйенеді: MAC‑кестелер, порт туралы мәліметтер және LLDP/CDP (қосулы болса). Нәтижесінде құрылғының тек барлығы емес, ол қалай және қай орындарда жүргені де көрінеді.

Базалық баптау қарапайым: басқарылатын коммутаторларды қосу (SNMP оқуға), MAC‑кестелерді үнемі жинауды қосу және мүмкін жерде LLDP/CDP‑ны қосу. Маңыздысы — VLAN және орын атаулары бойынша тұрақты бір дереккөз болуы, әйтпесе есептер «IP туралы» болады, бірақ «орын туралы» емес.

Көбіне үш есеп жеткілікті, олар рутинаның көп бөлігін жабады:

  • жаңа құрылғылар (MAC алғаш рет байқалды)
  • құрылғы портты өзгерткені (күні бұрын бір жерде, бүгін басқа жерде)
  • OUI бойынша белгісіз өндіруші (күдікті немесе «атаусыз» MAC)

Маңызды шектеу: құрылғы басқарылмайтын свитчтің артында отырса, Netdisco тек аплинк‑портты және аралас MAC картинаны көреді. Сол сияқты Wi‑Fi деректерін тек коммутатордан жинасаңыз, контроллерден жинамаған жағдайда да толық көрініс болмайды.

Бұл есеп «тағы бір есеп» болып қалмауы үшін алдын ала реакцияны анықтаңыз. Мысалы: критикалық VLAN‑дарда (қаржы, домен, медициналық жабдық) жаңа MAC‑ты эксплуатация 4 сағат ішінде тексереді, ал ИБ жұмыс күнінің соңына дейін тәуекелді анықтайды. Практикада бұл былай көрінеді: Netdisco портта жаңа MAC көрсетті, эксплуатация өтініштермен тексереді, ИБ OUI мен VLAN контекстін қарайды, әрі қарай — портты өшіру, госттік VLAN‑ға тасымалдау немесе легализация туралы шешім қабылданады.

arpwatch: «жаңа құрылғы пайда болды» деген қарапайым оқиғалар

arpwatch сегментте жаңа MAC‑адрес пайда болды немесе белгілі MAC‑тың IP‑ы өзгерді деген қарапайым оқиға береді. Бұл инвентаризация емес, жасырын құрылғыларды жүйелі іздеп жүргенде жақсы жұмыс істейтін ерте датчик.

Қай жерде орналастыру керек

arpwatch ARP арқылы өтетін трафикті ғана көреді. Сондықтан оны ARP нақты байқалатын жерлерге қояды: сегмент шлюзіне (маршрутизатор, L3‑коммутатор), сол VLAN‑дағы серверге немесе коммутаторда SPAN (mirror) порттың артындағы машинаға. Ыңғайлысы — ең маңызды VLAN‑дардан бастау: серверлік, пайдаланушы офистік және қонақтық.

Әдетте хабарландыруларға және журналдарға келесі оқиғаларды қосқан пайдалы:

  • сегментте жаңа MAC (new station)
  • белгілі MAC‑тың IP‑ын ауыстыру (changed address)
  • IP немесе MAC қайталанулары (flip‑flop, duplicate)
  • бір MAC‑та қысқа уақыт ішінде жиі өзгерістер

Шуды қалай азайту және нені инцидент деп санау

Егер норманы және қызықсыз оқиғаларды ажыратпасаңыз, arpwatch тез «шуылға» толады. Эксплуатацияға инфрақұрылым үшін ақ тізімді жүргізуге рұқсат беріп қойыңыз (шлюздар, точка доступа, принтерлер, IP‑телефондар) және уақытша клиенттер көп болатын орындарды (переговорки, қонақ Wi‑Fi) бөлек белгілеңіз.

ИБ пен эксплуатация бірдей әрекет етуі үшін қағидаларды бекітіңіз. Әдетте инцидентке жатқызатындар:

  • серверлік VLAN немесе басқару сегментінде жаңа MAC
  • IP қайталануы (сыни қате немесе ұстап алуға арналған әрекет болуы мүмкін)
  • порттар арасында «секіретін» MAC (петля, свитчты ауыстыру, подмена болуы мүмкін)
  • бір MAC‑тың мағынасыз түрде жиі IP ауыстыруы

Мысал: серверлік VLAN‑да статикалық емес мекенжай алып тұрған жаңа MAC пайда болды. Тіпті сервистер түспеген болса да, портты, құрылғы иесін және қосылу мақсатын тексеру керек, әрі нәтижені өзгерістер журналына тіркеу қажет.

Nmap: растау және құрылғының жылдам профилі

Инвентаризацияға сервер
GSE платформасын есепке алу, есептер және журналдарды қауіпсіз сақтау үшін таңдаймыз.
Сервер таңдау

Nmap Netdisco немесе arpwatch «кімде‑біреу пайда болды» дегенді көрсеткенде пайдалы: сізге присутствоны растау және құрылғының қандай екендігін анықтау керек. ИБ үшін бұл шуды қауіптен бөліп алу, эксплуатация үшін — ары қарай кімге бару керектігін түсіну. Көп жағдайда Nmap 5–10 минутта сұрақты жауып қояды.

Екі режим бар және оларды араластырмау маңызды. Біріншісі — жұмсақ анықтау: IP тірі ме және (сол L2‑сегментте) ARP арқылы MAC алу. Екіншісі — ережелерге сәйкес шектеулі порттарды сканерлеу: қысқа порттар тізімі, агрессивті опциялар жоқ және «бәрін бір‑ден өртеп өту» болмайды.

Әдетте бастапқыда қауіпсіз болатын командалар мысалы:

# Мягкая проверка хоста
nmap -sn 192.168.10.25

# Ограниченное сканирование по короткому списку портов
nmap -sS -Pn -p 22,80,443,445,3389 192.168.10.25

Тикет немесе журналға тіркеу үшін минималды дерек жиынтығы:

  • IP және подсеть
  • MAC (егер сіздің сегментіңізде көрінсе)
  • хост аты (егер резолвталса)
  • қысқартылған тізімнен ашық порттар және олардың сервистері

Сканерлеуді тыныш уақытта жүргізіп, жылдамдықты шектеу ұсынылады, әйтпесе ложный мәселелер туады. Сезімтал подсетьтерді (медтехника, АСУ, маңызды сервистер) келісілген уақыт пен жауаптысыз қоспаңыз.

Бастапқы профилде «күдікті» деп қаралатын белгілер:

  • есепте жоқ құрылғыда 80/443‑те веб‑админка
  • SMB (445) немесе RDP (3389) — әдетте тек офис ПК‑лар мен принтерлерде болатынынан басқа жерде
  • сегмент үшін типтік емес ашық порттар
  • «тыныш» хост: ARP‑қа жауап береді, бірақ пингке жауап бермейді және сервистер көрсетпейді

Кішкене мысал: arpwatch жаңа MAC көрсетті, Nmap 80/443 және веб‑админка хедерін көрсетті. Бұл «кім қойды» деген дауға түспей, портты оқшаулап, процедура бойынша әрі қарай шешім қабылдауға жеткілікті себеп.

Қадамдық регламент: жүйелі анықтауды қалай ұйымдастыру

Жүйелілік — қысқа қайталанатын циклден тұрады: нені норма деп есептейміз, жаңаны қалай табамыз, кім шешім қабылдайды және нәтижені қалай тіркейміз.

1) «Белгілі база» тіркеңіз

Қарапайым реестрден бастаңыз. Әр құрылғы үшін MAC, IP (немесе подсеть), иесі (бөлім немесе Аты‑Жөні), орналасуы (офис, стойка, қабат), критичность (қалыпты, маңызды, тыйым салынған) болуы тиіс. Бұл болмаса кез келген «жаңа» даулы болады: кім қойғаны және неге қажет екені түсініксіз.

2) Жаңадан хабар беретін тұрақты сигналдарды баптаңыз

Негізгі сегменттер үшін (офис, Wi‑Fi, серверлік, мердігерлер сегменті) arpwatch қосып, жаңа MAC және IP өзгерістері туралы оқиғалар алу керек. Оқиғалар қайда түсетініне (электрондық пошта, тикет) және кім дежурит екеніне алдын ала шешім қабылдаңыз.

Әрі қарай цикл келесідей болуы мүмкін:

  • күнделікті: arpwatch оқиғаларын талдау (жаңа MAC, IP өзгерісі, «флаппинг»)
  • оқиға бойынша: Netdisco‑дан коммутатор/порт пен қозғалыс тарихын іздеу
  • аптасына бір рет: келісілген подсетьтер бойынша Nmap және апта бойынша салыстыру
  • табылғандардың әрқайсысы үшін: идентификация, келісу, әрекет (оқшаулау/блоктау немесе легализация)
  • жабу: реестрді жаңарту, осылайша құрылғы «жаңа» санамайтын болады

Мысал: arpwatch бухгалтерия подсетьінде жаңа MAC көрсетті. Netdisco портты көрсетеді, Nmap үй роутеріне тән веб‑интерфейсті табады. Шешім: портты оқшаулау, бөлме иесін табу және не істеу керектігін анықтау — тыйым салу немесе реестрге қосу.

Шынайы оқылатын минималды есептер жиынтығы

ИБ пен эксплуатацияны байланыстырыңыз
Табылғандар команда арасында жоғалып кетпес үшін ИБ мен эксплуатацияны байланыстырамыз.
Шешім сұрау

Есептер «ИБ пен эксплуатация бүгін не істеуі тиіс?» деген сұраққа жауап беруі керек. Егер есеп әрекетке әкелмесе (тексеру, растау, өшіру, өтініш ашу), оны шығарудың қажеті жоқ.

Практикалық жағынан 4‑5 есеп ұстап, әрқайсысында екі баған болуы пайдалы: «табу мәртебесі» және «тасымалдаушы» (ИБ немесе эксплуатация). Бұл болмаса есеп тез «тірі болмайды».

  • Еженедельный «Жаңа құрылғылар»: MAC, IP, VLAN, порт (коммутатор/интерфейс), алғаш көрінген уақыт, табылу әдісі (Netdisco/arpwatch/Nmap), разбор мәртебесі.
  • «Иесі жоқ құрылғылар»: тіркелмеген немесе иесі анықталмаған барлық табылғандар.
  • «Порт немесе орналасудың ауысуы»: не қашан көшті, қайда, кім растады.
  • «Күтпеген сервистер»: қысқа тізім ашық порттар мен қайда пайда болғаны (мысалы, 22/3389/445), «күтулі/күтпеген» белгісімен.
  • Ай сайынғы «Реестр vs факт»: қанша сәйкессіздік, негізгі себептері және ай бойынша динамика.

Мысал: «Жаңа құрылғыларда» бір MAC офис подсетьінен пайда болды, ал «Күтпеген сервистерде» оған 53 порты ашық көрсетілген. Эксплуатация портты және физикалық нүктені тексереді; ИБ «роутер/точка доступа күдігі» статусын қояды және легализация немесе өшіру шешімін тіркейді.

Жиі қателіктер және тұзақтар

Ең жиі қате — тапсырманы бір реттік іс‑шараға айналдыру. Табылғандар процеске айналмайды: біреу сканерлейді, чатқа жариялайды, және солай бәрі тоқтап қалады.

Көбінесе сәтсіздіктер мыналардан болады:

  • тым кең Nmap‑ты терезесіз іске қосу. Желіні «селкетіп», пайдаланушылар шағымданады, және тексерулерге сенім төмендейді.
  • белгілі құрылғылардың бірыңғай реестрі жоқ. Содан бір құрылғы қайта‑қайта «табылады».
  • эскалация маршруты анықталмаған. ИБ жаңа MAC көреді, эксплуатация портты іздемейді, иесі тағайындалмаған — ештеңе өзгермейді.
  • басқарылмайтын свитчтер мен Wi‑Fi ескерілмеген. Схемада порт «таза» көрінгенімен, шындықта құрылғы точка доступа немесе кішкене свитчтің артында жасырынады.
  • IP немесе MAC қайталануларын елемеу. Бұл қайшылықтарды, құрылғының қозғалысын және мүмкін подменаны өткізіп алуға әкеледі.

Үш келісілген нәрсе көмектеседі: қашан сканерлеуге болады, реестр қайда сақталады және белгісіз табылыс бойынша кім шешім қабылдайды. Тіпті құрал тек «күдікті» көрсетсе де, өтініштің жауаптысы мен мерзімі болуы керек.

Мысал: офиске «жаңа принтер» DHCP‑та көрінеді, бірақ шын мәнінде бұл үй роутері, Wi‑Fi таратқан. Егер портпен сәйкестендіру және қайталанулар тексерілмесе, ол апта бойы «тағы бір құрылғы» болып жүре береді. Ал егер ереже: жаңа MAC + белгісіз өндіруші + типтік емес ашық порттар = эскалация болса, эксплуатация қолжетімділік деңгейінде портты табады және мәселе тез шешіледі.

Апталық тексеру үшін қысқа чек‑лист

Апталық тексеру қысқа болуы және түсінікті нәтиже беруі керек: нені норма деп қабылдау және нені ашып, талдау керектігін айқындау.

Алдымен қай VLAN‑дарда жаңа құрылғының пайда болуы ең қауіпті екенін анықтап алыңыз. Әдетте бұл пайдаланушылар желісі, қызметкерлер Wi‑Fi, критикалық сервистерге қолжетімді сегменттер және бөлімдер арасындағы өту зоналары.

Содан кейін апта ішіндегі жаңа MAC‑тардың оқиғалары бойынша өтіңіз:

  • қай VLAN‑да байқалғаны анық және сол VLAN критикалық пе. Егер критикалық болса, талдау сол күні жүргізіледі.
  • коммутатор мен портқа байлау бар ма. Байлау жоқ болса, себеп жазылуы керек (NAT, басқарылмайтын свитч, SNMP/LLDP жоқ) және соқыр аймақты жою тапсырмасы ашылады.
  • иесі тағайындалған және пайда болу негізі тіркелген: өтініш, ауыстыру, тесттік стенд, жоба. «Білмейміз» — жабылмаған инцидент.
  • минималды профиль жасалған: құрылғы желідегі қалай жауап береді және өз роліне сай ма (адрестер, атау, типтік порттар, веб‑интерфейс, RDP/SSH, принтер сервистері).
  • талдаудан кейін реестр жаңартылған: актив қосылған немесе ерекшелік күн және себеппен тіркелген.

Егер апта қорытындысында 5–10‑нан көп «түсініксіз» MAC жекелеген иесіз қалса, әдетте деректерге қолжетімсіздік немесе өзгерістерді тіркеудің тәртібі жетіспейді.

Мысал сценарий: офис желісінде белгісіз роутер табылды

Абайлап анықтауды бастаңыз
Сезімтал сегменттерге арналған рұқсаттар, дереккөздер және ерекшеліктер тәртібін дайындаймыз.
Енгізуді талқылау

Таңертең кім‑де‑кім переговоркадағы бос розеткаға шағын роутер немесе точка доступа қосып қояды. Бірнеше минуттан кейін ол DHCP арқылы IP алып, Wi‑Fi тарата бастайды. IT бұл туралы ескертілмеген, және рұқсаттылар тізімінде ондай құрылғы жоқ.

Біріншіден arpwatch жұмысқа түседі. Журналда new station: жаңа MAC, алғаш пайда болу уақыты және берілген IP көрсетіледі. Бұл бір ғана ноутбук емес, желіде тұрақты қалған құрылғы екенін көрсетеді.

Кейін Netdisco көмектеседі: IP немесе MAC арқылы құрылғының қосылған коммутаторы мен портын тез тауып береді. Ал тарих арқылы бұл MAC бұрын да басқа кабинеттерде жүрді ме анықталады — ол эксплуатацияға нақты инцидентке айналады.

Nmap табылған IP‑қа жіберілсе, 80/443‑те веб‑панель және мысалы 22‑де SSH ашық болса, бұл роутер немесе точка доступа екенін көрсетеді, принтер емес.

Әрі қарай әрекеттер қысқа болуы керек:

  • портты уақытша оқшаулау (shutdown немесе карантин VLAN‑ға ауыстыру)
  • офис/қауіпсіздік қызметі арқылы иесін табу: кім және не үшін қосқан
  • шешім қабылдау: легализация (есепке алу, баптау) немесе алып тастау
  • регламентті жаңарту: қайда Wi‑Fi қоюға болады, кім келіседі, құрылғылар қалай маркировка жасалады

Есепте не табылғаны (MAC/IP/порт), пайда болу себебі, қабылданған шаралар және регламентте қандай өзгерістер енгізілгені тіркеледі.

Келесі қадамдар: процесті бекіту және инфрақұрылымды дайындау

Процесс бір жерде «тірі» болуы керек: қай жерде жүргізіледі, кім жауапты және дайын нәтиже қалай көрінеді.

1 беттік минималды регламент

Қысқа құжат жасап, оны әрқашан ашып, не істеу керектігін тез түсінетіндей етіңіз:

  • рөлдер: есептерді кім қарайды (ИБ), желіде кім тексереді (эксплуатация), шешімді кім қабылдайды (сегмент иесі)
  • реакция мерзімдері: мысалы «критикалық сегменттер — 4 сағат ішінде», «офис — күні ішінде»
  • есептер тізімі: 2–3 түсінікті сводка, ұзын «простынь» емес
  • эскалация ережелері: қашан портты бірден блоктау, қашан алдымен бөлімге сұрау жіберу
  • исключения: принтерлер, переговорка панельдері, тесттік стендтер — кім оларды бекітеді және қалай белгіленеді

Аздан бастап, қамтуды кеңейту

Бүкіл желіні апта ішінде қамтуға тырыспаңыз. Практикада 1–2 сегменттен бастау тиімді: офис және серверлік. Офисте үй роутерлер мен қате қосылған Wi‑Fi тез шығады, серверлікте — стойкадағы күтпеген құрылғылар.

Содан мониторинг қай жерде жұмыс істейтінін және деректер қайда сақталатынын шешіңіз: бөлек шағын сервер, виртуал машина немесе ЦОД‑тағы бөлек нод. Алдын ала конфигурацияларды сақтауды, журналдардың сақталу мерзімін (кемінде 30–90 күн) және «минималды қажеттілік» принципі бойынша қолжетімділікті ойластырыңыз.

Егер мәселе құралдардан гөрі инфрақұрылым мен қолдауда болса (сервер, жұмыс орындары, есеп, ұстау), жүйелік интеграторды тартқан жөн. Мысалы, GSE.kz интеграторы мониторинг пен инвентаризацияның негізін жинап, эксплуатацияда процесті бір адамға құрғызбай бекіте алады.

FAQ

Нені «жасырын» құрылғы деп санаймыз?

Бұл желіге есепке алынбастан және белгілі иесі анықталмай қосылған кез келген жабдық. Қауіп — құрылғының «ақылды» немесе емес екенінде емес, оны ешкім күтпейтіні: белгісіз параметрлер, әлсіз парольдер, ескі микробағдарламалар және күтпеген сервис.

Неліктен бір реттік тексеру жеткіліксіз және жүйелі процесс керек?

Желі үнемі өзгереді: мердігер камера әкеледі, бөлім принтер сатып алады, админ уақытша «тығын» қояды. Бір реттік тексеру тез ескіріп қалады, ал жүйелі цикл қосылымдарды кіріске айналмас бұрын ұстап қалуға мүмкіндік береді.

ИБ пен эксплуатация үшін минималды нәтиже қандай?

Басым мақсат — басқарылатын болу: қандай құрылғы пайда болды, қай портқа қосылған және оның жауаптысы кім екенін жылдам анықтау. Егер осы үш сұраққа сағаттар ішінде жауап берсеңіз, тәуекел айтарлықтай төмендейді, тіпті мінсіз желі картасы болмаса да.

Табылған белгісіз құрылғыға кім әрекет етуі керек және рөлдер қалай бөлінеді?

ИБ ережелерді анықтайды және тәуекелді бағалайды, эксплуатация «алаңда» портты табады: коммутатор, порт, VLAN және нақты орынды тексереді. Helpdesk иесін анықтап, өтініш ашады; сервистің иесі — легализация, оқшаулау немесе алып тастау туралы шешімді қабылдайды.

Netdisco/arpwatch/Nmap орнатпас бұрын қандай қол жетімділік пен деректер қажет?

Минимум — коммутаторлардан SNMP арқылы оқу, ол MAC‑ты портпен және VLAN‑мен байланыстыруға мүмкіндік береді. Сонымен қатар VLAN және подсеть схемасын білу, DHCP журналдары MAC, IP және уақытты байланыстыру үшін өте пайдалы, және «шындық» қайда сақталатынын алдын ала келісу (CMDB немесе жай кесте).

Netdisco жасырын құрылғыларды іздеуде не үшін пайдалы?

Netdisco негізгі сұрақты — құрылғы қай портқа қосылғанын — жылдам жабады. Ол коммутатор деректеріне сүйеніп (MAC‑кестелер, порт туралы ақпарат, LLDP/CDP), құрылғының қимыл‑қозғалысын және физикалық орналасуын көруге көмектеседі.

arpwatch нені береді және оны қайда қойған дұрыс?

arpwatch сегментте жаңа MAC пайда болды немесе белгілі MAC‑тың IP‑ы өзгерді деген бастапқы сигнал береді, сондай‑ақ IP/MAC қайталануларын және «скачоктарды» байқайды. Бұл инвентаризация емес, жоспарлы тексерістер арасындағы ерте детектор.

Nmap‑ты қашан қолданған дұрыс және сканерлеумен зиян келтірмеу үшін не істеу керек?

Nmap — растайтын және жылдам профиль жасау құралы: хост тірі ме, қандай порттар ашық. Жұмыс істеу режимдерін араластырмаңыз: жақсысы — жұмсақ тексеру және шектеулі порттар тізімі; сезімтал сегменттерді тек келісілген терезеде сканерлеңіз, жылдамдық пен опцияларды шектеңіз.

Қандай белгілерді инцидент ретінде қарастыру керек?

Қызметтік VLAN‑да жаңа MAC, IP/MAC қайталанулары, бір MAC‑тың порттар бойынша «скачуы», және күтпеген сервистер (веб‑әкімшілік, RDP/SMB) — осындай оқиғаларды «қызыл ту» деп санаған дұрыс. Мұндай кезде портқа тіркеліп, қажет болса уақытша оқшаулау керек.

Құрылғылар басқарылмайтын свитчтер немесе Wi‑Fi артына жасырынып қалса не істеу керек?

Егер құрылғылар басқарылмайтын свитч немесе Wi‑Fi артына жасырып қойылса, сіз тек аплинк пен араластырылған MAC‑тарды көресіз. Мұнда соқыр аймақты міндет ретінде жазып, мүмкін жерде басқарылатын свитчке ауыстыру, LLDP/CDP қосу және сегментацияны дұрыстау керек.