Адресация сети и архитектура
Другие проблемы адресации
Некоторых людей шокирует количество вопросов, которые им необходимо рассмотреть, чтобы постичь то, что на первый взгляд кажется довольно простым. Но если иметь четкие правила адресации каждого важного элемента сети, можно избавить администраторов сети от необходимости управлять различными схемами. Правила адресации должны учитывать способ назначения адресов. Ниже перечислено, что должно быть учтено при назначении адресов.
- Будет ли адрес постоянным и заранее присвоенным системе или сетевому устройству?
- Будет ли адрес постоянным и загружаться с помощью протокола выбора адреса, такого как протокол динамического выбора конфигурации хост-машины (DHCP – Dynamic Ноst Configuration Protocol) или протокол начальной загрузки (ВООТР – Bootstrap Protocol)?
- Будет ли адрес присваиваться динамически, когда система подключается к сети?
Все эти схемы имеют свои преимущества, но общепринято использовать постоянные или предписанные адреса даже в том случае, если они получены с помощью DHCP. Обновляя карту адресов сети, сетевые диспетчеры (люди или автоматизированные системы) смогут легко определить, кто отвечает за сетевой трафик. Чтобы пользоваться такой схемой, в правила может быть включена следующая формулировка.
Адреса сети должны быть предварительно определены для каждой системы и сетевого устройства и могут загружаться заранее или быть сформированными перед подключением к сети.
Те же выводы могут быть сделаны относительно адресации сети, не использующей IP-адреса. Например, IPX-адреса в среде Novell Netware или сформированные с помощью WINS (Windows Internet Naming Service – служба межсетевых адресов в среде Windows) для сети Microsoft также имеют подобные свойства и должны подчиняться тем же правилам.
Кроме того, в правила формирования адресов можно добавить строку, дающую право защищать адреса и серверы от тех, кто не имеет права доступа к ним. Эти правила могут быть написаны так, чтобы они подходили и для других адресных серверов и контроллеров, таких как устройство NAT или DNS. Формулировка правил может быть следующей.
Серверы сетевых адресов и серверы, которые используются для формирования адресов, должны быть защищены всеми доступными для этих устройств способами.
Правила расширения сети
Поскольку технологии становятся все более гибкими и всеобъемлющими, расширение сети неизбежно. При расширении сети было бы неплохо ввести инструкции для гарантии того, что не только расширение сети проходит, как следует, но и сохраняется оборудование сети. В главе 1 "Что собой представляет политика информационной безопасности" говорилось, что все это может быть сделано во время оценки степени риска. Кроме того, в других случаях эти знания могут существенно помочь в поддержании работоспособности сети и обеспечении администраторов схемой сети, позволяющей отслеживать сетевой трафик.
Правила расширения сети должны быть записаны обобщающей формулировкой, например, такой.
Необходимо разработать методики, позволяющие реконфигурировать сеть организации. В этих методиках должны быть отражены все изменения, касающиеся непосредственно всех внутренних и внешних точек доступа.
Несмотря на то, что желательно не детализировать излишне методики, так как это ограничит область их применения, все-таки есть смысл привести список предлагаемых методик. Если вы сочтете нужным включить в документы политики такой список, то он может выглядеть так.
- Добавление или удаление систем и других компонентов сети к существующей сети.
- Создание или удаление подсети.
- Подключение или отключение экстрасети.
- Подключение к Internet или отключение от Internet.
- Разрешение или прекращение доступа к сети сторонних пользователей.