Es gibt ein weit verbreitetes Protokoll, mit dem in einem Netzwerk nach IT-Systemen gesucht und inventarisiert werden kann. Gemeint ist das Simple Network Management Protocol SNMP. Das Dokumentationstool Docusnap unterstützt die aktuellen Versionen dieses Protokolls. Da mit einem SNMP Scan komplette IP-Bereiche erfasst werden, können Sie letztendlich alle IT-Systeme aufspüren, die an Ihrem Netzwerk angeschlossen sind. Zumindest sofern diese auf einen Ping-Befehl reagieren. Die genaue Einrichtung der SNMP Inventarisierung lesen Sie bitte im Docusnap Benutzerhandbuch nach.
Für diese SNMP-Inventarisierung sollten Sie sich einen eigenen Community-String definieren. Arbeiten Sie bitte nicht dauerhaft mit dem Standard String public. Aus Sicherheitsgründen sollen IT-Systeme nicht auf diesen Default-Wert reagieren. Sie sollten also alle Ihre SNMP-fähigen IT-Systeme einmalig konfigurieren. Dabei können Sie das oder die IT-Systeme, die in Ihrem Netzwerk per SNMP abfragen dürfen, am besten gleich mit autorisieren. Der Aufwand für den Sicherheitsgewinn ist es wert. Der größte Aufwand entsteht bei der Inventarisierung mittels SNMP V3. Hier muss zu jedem System die notwendige Authentifizierung hinterlegt werden. Dies ist aufwendig, bietet im Vergleich zu den anderen SNMP Scans die höchste Sicherheit.
Alles in einem Scan durchlaufen lassen
Da komplette IP-Bereiche mit verschiedenen Community-Strings gescannt werden können, wird die Suche nach Systemen nicht weiter eingeschränkt. Alles kann in einem einzigen Inventarisierungsauftrag erfasst werden. So finden Sie auch die Geräte heraus, deren Community String noch nicht angepasst wurde. Aktivieren Sie die Zeitplanung und Sie bekommen eine durchgehende Suche nach IT-Systemen. Wurde ein neues Gerät bei der Inbetriebnahme ordentlich konfiguriert, dann erscheint es auch planmäßig in der Docusnap Datenbank.
Sie können Docusnap somit auch nutzen, um unerwünschten IT-Systemen in Ihrem Netzwerk auf die Spur zu kommen. Prinzipiell sollten natürlich keine Systeme gefunden werden, von denen die IT Verantwortlichen keine Kenntnis haben. Über die Anzahl gefundener Systeme der verschiedenen Inventarisierungsscans können Sie prüfen, ob Geräte seit dem letzten Scan dazu gekommen sind.
Manuelle Erfassung für alle restlichen IT-Systeme
Sollte sich ein IT-System nicht über das Netzwerk abfragen lassen, dann besteht zur Not als letztes noch die Möglichkeit diese manuell zu erfassen. Dies kann notwendig werden, wenn ein System aus Sicherheitsgründen nicht mit dem Netzwerk verbunden ist bzw. die Möglichkeit des Inventarisierens nicht aktiviert werden soll. So können Sie später in den IT-Beziehungen und IT-Konzepten immer auf die gleiche Art Ihre IT-Systeme hinzufügen.
Sorgen Sie dafür, dass jedes IT-System auch in Docusnap geführt wird. Die Regel dazu ist prinzipiell ganz einfach: gibt es das System in der Docusnap Datenbank nicht, dann darf es auch nicht in Betrieb sein. Nur dokumentierte IT-Systeme dürfen sich im produktiven Einsatz befinden. Gibt es Vorlagen und Checklisten zur Konfiguration von IT-Systemen, dann nehmen Sie den Punkt dort mit auf.