План безопасного вывода из эксплуатации сетевых устройств: удаление конфигураций, отзыв ключей и проверка утилизации

Рано или поздно каждый администратор сталкивается с необходимостью замены оборудования по различным причинам: выход из строя, моральное устаревание, недостаточность функций или требования регулятора.

Вот новое оборудование установлено, и кажется, что задача закрыта: старое отключили, положили на полку или отправили в утиль. Но именно в этот момент выведенное из эксплуатации устройство чаще всего становится носителем всего, что администраторы годами настраивали и аккумулировали в качестве «идеального конфига»: адресного плана, схемы VLAN/VRF, правил доступа, логов, сертификатов, приватных ключей и общих секретов.

Проблема не в самой утилизации или подходе «положили на полку и забыли», а в привычном способе «сбросили до заводских настроек» как универсальном решении подготовки неиспользуемого оборудования. Сброс до заводских настроек не всегда:

• очищает все разделы памяти,
• отменяет выданные сертификаты,
• отключает доверие со стороны внешних систем.

Все перечисленные данные вместе с коробкой отправляются на склад или передаются подрядчику по утилизации. В таком случае важно не только стереть данные, но и доказать, что это сделано корректно.

Эта статья — примерный план вывода сетевых устройств из эксплуатации, который можно встроить в обычный жизненный цикл инфраструктуры. Мы пройдём путь от инвентаризации и безопасного бэкапа до удаления конфигураций, отзыва ключей и дерегистрации в контроллерах и облачных порталах. Отдельно разберём, какие подтверждения запросить у подрядчика и какие проверки провести, чтобы списание действительно означало «данных больше нет».

Что защищаем

При выводе из эксплуатации важно понимать, какие данные содержатся на сетевом оборудовании и какие риски они могут нести. Прежде всего, выделим следующее:

• Конфигурации на сетевом оборудовании отражают архитектуру и политики доступа. Они могут содержать используемые VLAN ID, их названия и адреса, настройки портов, IP-планы, настройки DHCP, списки контроля доступа и т.д. Вся эта информация позволит злоумышленникам сделать выводы об архитектуре, способах подключения, культуре настройки и используемых методах защиты.
• Учётные данные. Часто сетевое оборудование хранит данные настроенных пользователей, используя уязвимые методы шифрования. Более того, распространено использование одного и того же аккаунта во всех системах, что позволяет войти на другие устройства или в системы управления. Наиболее рискованным является использование в конфигурациях доменных учётных записей, что одновременно ставит под угрозу смежные информационные ресурсы компании.
• Ключи и сертификаты. Подобно учётным записям, ключи или сертификаты необходимо правильно защищать, так как они могут дать доступ к защищённым каналам и сервисам.
• Данные мониторинга и логирования. Получение этой информации может раскрывать структуру инфраструктуры, имена хостов, ошибки, события безопасности, дополняя анализируемые конфигурации.

Область применения и границы процесса

План безопасного вывода из эксплуатации сетевых устройств подходит для всех видов сетевого оборудования: от маршрутизаторов и коммутаторов до беспроводных контроллеров и точек доступа. Оставим в стороне вопросы физического уничтожения или утилизации оборудования. Задача – провести процесс вывода из эксплуатации гладко и безопасно, без потерь данных и рисков для сети. Как правильно отключить устройство, сохранить важные данные и подготовить его к следующему этапу – передаче, продаже или переработке?

Подчеркну, что предлагаемый план не охватывает все возможные сценарии. Например, при наличии специфических требований по безопасности или требований регуляторов, возможно, придётся адаптировать его под свои нужды. Наш подход универсален и подходит для большинства ситуаций, когда речь идёт о безопасном выводе из эксплуатации сетевых устройств.

Роли и ответственность

Для начала разберёмся, кто за что отвечает. Инициатором вывода устройства могут выступать сотрудники или системы – те, кто заметил, что оборудование устарело, не выполняет свои функции или больше не нужно. Данный процесс проще всего организовать через системы Service Desk – сотрудник создаёт задачу о необходимости замены того или иного оборудования. Кроме этого, в системах CMDB выставляется срок службы оборудования, и наиболее правильным способом инициации вывода устройства из эксплуатации станет задача от этой системы.

Затем задача попадает к специалисту, который предварительно оценивает возможность вывода оборудования из эксплуатации и согласует его с ответственным за IT-инфраструктуру. Он должен оценить риски и принять окончательное решение о возможности вывода устройства из эксплуатации.

Исполнителями выступают те же администраторы или технические специалисты, которые будут заниматься самим процессом вывода. Они отвечают за выполнение всех шагов, включая резервное копирование данных, отключение устройства и его подготовку к утилизации.

Важно, чтобы у всех участников процесса были необходимые доступы для выполнения своих функций.

Подготовительный этап

После согласования вывода из эксплуатации устройства необходимо приступить к предварительной подготовке. Перед тем как отключить сетевое устройство, нужно провести подготовительный этап.

1. Сверка с вашей базой данных конфигураций и инвентарём, проверка актуальности данных об устройстве и его характеристиках: модель, серийный номер, местоположение и статус. Если что-то не совпадает – необходимо исправить до начала процесса вывода.

2. Определение зависимостей. Нужно понять, какие сервисы и сегменты сети зависят от этого устройства. Например, если это коммутатор, то какие устройства к нему подключены? Как это повлияет на работу пользователей, сервисов и приложений?

3. Важный этап — снятие «снимка состояния» устройства. Это значит, что нужно зафиксировать всю информацию о нём. Вот что стоит записать:

• Версия ОС
• Конфигурация
• Лицензии
• Активные сертификаты безопасности

4. Последний этап подготовки – составление плана окна работ. Лучше всего выбирать время, когда нагрузка на сеть минимальна, чтобы не нарушить работу пользователей.

Также необходимо продумать план отката на случай возвращения устройства в прежнее состояние.

Резервное копирование

Одним из шагов планирования вывода из эксплуатации должно быть резервное копирование. Необходимо сохранить:

• Шаблоны и baseline-настройки
• Схемы
• Логи

В защищённом виде сохраняем:

• Пароли
• Приватные ключи
• Токены

Открытые данные сохраняем на общих дисках или в облачном хранилище с применением необходимых контролей доступа, защищённые – в системах управления паролями и секретами организации. Срок хранения зависит от политики компании.

Для бэкапа обязательно указывайте в описании или сопроводительном файле, к какому устройству он относится, когда и кем был сделан. Информация о резервной копии заносится в задачу вывода из эксплуатации.

Отключение от инфраструктуры

На данном этапе устройство должно перестать быть частью сети физически.

Безопасное обесточивание и физическое отключение портов должны включать в себя:

1. Корректное выключение

• Фиксация того, что отключаем: сверка с серийным номером, маркировкой, стойкой и юнитом. Если нет маркировки на проводах – желательно её нанести.
• Сначала необходимо осуществить штатное завершение работы на оборудовании, где это возможно.
• Отключаем питание оборудования после его полного выключения (для устройств, которые это поддерживают).
• Если есть 2 блока питания, то отключаем от PDU, затем от устройства.

2. Физическое отключение сети от портов устройства

• Оптические модули SFP, SFP+, QSFP и т.д. требуют снятия с устройства и установки специальных заглушек или хранения в специальных боксах.
• Аккуратно вынимайте трансиверы; часты случаи, когда ломаются язычки или бирки. Здесь можно использовать небольшую плоскую отвёртку, чтобы надавить на замок и тем самым аккуратно извлечь модуль.
• После снятия фиксируем изменения в журналах коммутации, схемах.

3. Для снижения риска повторного включения изучаем инструкцию к оборудованию на предмет использования батарей, отключаем и извлекаем их при необходимости.

По завершении демонтажа необходимо перенести устройство в специально подготовленное место на складе. Нужно выделить стеллаж и подписать его понятным образом. Отправленные на него устройства должны маркироваться, а маркировка должна содержать дату, информацию о том, кто и откуда снял, текущий статус. Доступ к такому оборудованию должен быть ограничен.

Для проведения повторного включения допускается использование только изолированной среды без доступа к основной сети компании. Порты, к которым ранее было подключено оборудование, должны быть выключены или заблокированы; данная информация фиксируется в кабельном журнале. Проделанная работа должна быть зафиксирована в задаче.

Удаление конфигураций и данных

Удаление конфигураций и данных осуществляется в изолированной среде и должно включать:

• Очистка пользовательских учётных записей, локальных секретов и AAA-настроек:
  • Все локальные пользователи.
  • Локальные секреты:
    • Пароли, например, enable или аналоги;
    • SNMP-пользователи, их пароли, секреты для шифрования или просто названия community;
    • RADIUS, CoA, TACACS+ общие ключи;
    • Пароли для Wi-Fi сетей;
    • Ключи для VPN;
    • Частные ключи, сертификаты для SSH, TLS.
• Настройки AAA:
• Используемые AAA-серверы и группы;
• Настройки, касающиеся механизмов AAA.
• Удаление настроек STP, NTP, VTP, DHCP.
• Удаление всех VLAN и конфигураций портов.
• Удаление остальных настроек и протоколов, например, настроек протоколов динамической маршрутизации, списков контроля доступа, различных политик и т.п. – определяется визуальным просмотром файла конфигурации.
• Удаление сохранённых файлов, скриптов, бэкапов и конфигураций startup и running во флеш-памяти устройства.
• Очистка журналов, дампов, core-файлов, пакетов захвата.
• Стирание отдельных разделов или носителей (если применимо): SSD/HDD/карты памяти можно подключить к компьютеру и с использованием специальных утилит, например, shred или Eraser, безопасно очистить данный носитель. Если устройство покидает организацию, то безопасное стирание обязательно, если это возможно. Если стирание невозможно – требуется физическое уничтожение носителей.
• Восстановление заводских настроек согласно инструкциям производителя и проверка.

Проверка после сброса должна включать:

• startup-config пустой или по умолчанию;
• нет локальных пользователей (исключение — встроенный);
• нет дополнительных настроек, например, AAA, SNMP, VPN, NTP, syslog, NetFlow и т.д.;
• флеш-накопитель не содержит посторонних файлов;
• Выгрузить командой show run или другими подобными командами всю конфигурацию и просмотреть на предмет наличия данных утилизируемого устройства.

После удаления конфигураций необходимо обновить статус задачи с заметкой о проделанной работе.

Инвентаризация сертификатов и ключей:

• Если у устройства был сертификат — отзываем его в удостоверяющем центре (CA).
• Для IKE-сертификата — отзываем сертификат устройства в PKI.
• Отзываем токены в системах управления, мониторинга или автоматизации.

Если ключи были в TPM на самом устройстве:

• Делаем очистку модуля по процедуре производителя.
• Если устройство уходит за пределы организации (продажа/утилизация) и политика строгая — иногда правильнее физически извлечь модуль (если он съёмный) или отправить устройство на утилизацию по строгим правилам.

Как фиксировать уничтожение сертификатов и ключей:

• акт с перечнем ключей с указанием fingerprint, серийного номера и идентификатора ключа;
• вывод команды удаления либо скриншот, запись из журнала системы;
• фиксация даты, времени и исполнителя;
• если у вас принято — «две пары глаз» (второй человек подтверждает действие).

Проверка очистки сертификатов и ключей должна включать:

• TLS: попытаться открыть HTTPS/API и убедиться, что старый сертификат не передаётся.
• PKI: проверить, что отозванный сертификат отображён как отозванный через оснастку системы PKI или путём доступа к файлу CRL.
• SNMP: попробовать запрос со старой community или SNMPv3-пользователем.

Дерегистрация устройства во всех системах управления должна включать:

• Удаление из контроллеров и оркестраторов.
• Удаление из систем мониторинга и алертинга.
• Удаление из систем логирования или SIEM как источника (такое удаление не должно влиять на установленные организацией политики по времени хранения событий).
• Удаление с AAA-серверов.
• Удаление из PAM-системы.
• Освобождение адресов и идентификаторов (IP, VLAN, VRF, DNS, DHCP-резервации).

Проверка лицензий и подписок подразумевает проверку привязки устройства в личном кабинете производителя. При обнаружении действующих лицензий и подписок по серийному номеру устройства необходимо их аннулировать или отозвать. Если устройство готовится к замене по контракту сопровождения, то следует, прежде всего, учитывать инструкцию производителя. В процессе деактивации или отзыва лицензий важно зафиксировать данный процесс в созданной задаче, приложить подтверждение выполненных операций в виде скриншотов.

Утилизация или передача

Последний этап вывода из эксплуатации включает:

1. Переработку.

2. Физическое уничтожение.

3. Возврат вендору, trade-in, RMA.

4. Перепродажу или передачу.

Подрядчик по утилизации помогает правильно осуществить переработку и физическое уничтожение. Для правильного выбора следует запрашивать и проверять следующие моменты:

1. Лицензии, разрешения и сертификаты на работу с электронными отходами.

2. Договор содержит информацию о том, кто отвечает за утрату, кражу, несанкционированный доступ. регламентирует штрафы и компенсации, содержит сроки хранения и порядок уничтожения.

3. Акт уничтожения содержит перечень устройств (серийные и инвентарные номера), метод уничтожения, дату, время и место, подписи ответственных сторон.

4. Подрядчик предоставляет право присутствовать при утилизации или предоставляет фото-видеофиксацию.

5. Составление акта приёма-передачи утилизируемого оборудования с указанием серийных номеров, при необходимости пломбирования и указанием ответственных лиц за приём оборудования.

Если устройство содержит накопители, то требуются отдельные шаги:

1. Носители демонтируются и учитываются отдельно со своими серийными номерами, далее подрядчик производит на выбор:

• уничтожение носителей (часто лучший вариант для чувствительных контуров);
• сертифицированную очистку;
• хранение носителей у себя.

2. Если носитель не извлекается (распаянная память) — устройство автоматически становится кандидатом на физическое уничтожение.

Проверка утилизации:

• Акт приёма-передачи — сверяем каждую позицию.
• Серийные номера должны соответствовать реестру организации.
• Если в партии были отдельные носители (HDD/SSD/NVMe/SD) — они должны идти отдельной строкой или отдельным актом.
• Акт утилизации или уничтожения содержит перечень серийных номеров, он соответствует акту приёма-передачи.
• Сертификат уничтожения носителей данных.
• Описание метода: шреддинг, дробление, размагничивание, переработка и т.д.
• Дата, время и место обработки партии.
• Фото- или видеофиксация партии до и после.

Проверка при передаче за внешний контур компании:

• Выборочно поднимаем 1–2 устройства из партии и проверяем, что там нет конфигураций, логов или ключей.
• Убеждаемся, что устройство удалено из систем мониторинга и оповещений.

Финальные действия:

1. Обновить позицию в CMDB: выставить статус «утилизировано», дату, номер акта, прикрепить все необходимые документы, ссылки на них.

2. Закрыть внутренние заявки со ссылками на местоположение документации.

3. Сохранить пакет доказательств в одном месте.

4. Провести краткий анализ процесса на предмет необходимости улучшений.

Выводы

Безопасный вывод из эксплуатации — это не один шаг, а цепочка действий, включающая рассмотренные выше этапы. Важно не только разработать методику, но и применять её на практике.

По окончании реализации плана вывода из эксплуатации необходима его проверка, а анализ процесса поможет усовершенствовать и упростить его этапы.

Автор: Дмитрий Кушнерёв, ведущий эксперт отдела сетевых технологий Angara Security.