Управління доступом до інформації про ip-адреси

Хоча технологія NAT і подібні засоби підстановки та імітації адреси необхідні при використанні приватних IP-адрес, деякі організації приймають рішення застосовувати ці засоби в своїх внутрішніх мережах стосовно дійсних загальнодоступних IP-адрес. Справа в тому, що взаємодія клієнтов з мережею в межах цієї мережі без застосування якої-небудь форми "приховування" адрес може призвести до того, що адрес­на структура такої внутрішньої мережі стане відома стороннім людям, що мають достаточню кваліфікацію. Вони можуть спробувати використати цю інформацію для того, щоб проникнути всередину організації — із загальнодоступної мережі Internet у внутрішнє корпоративне мережеве середовище, — і атакувати (attack) мережу. Ось чому для забезпечення безпеки IP вважається прийнятним застосовувати проксі-сервер або подібну службу, яка позиціонує себе на межі між внутрішнім і зовнішнім трафіком. Коли вихідний трафик проходить через проксі із зовнішньої мережі, проксі-служба замінює внут­рішні мережеві адреса одним або декількома різними адресами, щоб трафік, який переміщується по загальнодоступній мережі Internet, не зміг стати джерелом інформації про адресну структуру внутрішньої мережі. Так же, проксі-сервери можуть забезпечити так зване зворотнє посередництво (reverse proxying). При цьому проксі-сервер отримує можливість звертатись до серверів у внутрішній мережі, демонструючи навколишньому світу тільки свою власну адресу, а потім пересилаючи внутрішнім серверам для подальшої обробки тільки припустимі запити. Ще раз повторимо, що сторонні люди при цьому можуть дізнатися тільки адресу проксі-сервера, який діє від імени внутрішнього сервера.

Таким чином, одна з найважливіших функцій проксі-сервера складається в забезпеченні перетворення адрес джерела в проходящих через нього вихідних пакетах. Це допомогає уникнути втрати інформації про фактичні адреси внутрішньої мережі; в протилежному випадку сторонні люди можуть скористатися засобами зчитування адрес і вияснити, які саме адреси використовуються в будь-якому даному діапазоні.

Мережевий простір

Є декілька стримуючих факторів, які звичайно регламентують схеми IP-адресації, і ми розділимо їх на дві групи. В першую групу в­містимо фактори, які визначають кількість і розмір мереж. Серед них:

1. кількість фізичних місцерозташувань мереж;

2. кількість мережевих пристроїв в кожному місцерозташуванні;

3. обсяг широкомовленевого трафіка в кожному місцерозташуванні; доступність IP-адрес;

4. затримка, викликана маршрутизацією з однієї мережі в іншу.

Хоча є можливість провести міст між двома фізичними місцерозташуваннями мереж по з’єднанню WAN (Wide-Area Network, глобальна мережа), на практиці це робиться лише стосовно протоколів, які взагалі не допускають маршрутизації (наприклад, SNA та NetBEUI). Мар­шрутизація (замість створення моста) здійсниться в першу чергу для того, щоб запобігти непотрібним пересилкам із заповнених дорого­стоящих схем глобальної мережі (WAN). Отже, мінімально необхідна кількість IP-мереж — по одній для кожного місцярозташування в компанії та кожного канала WAN.

Далі. Оскільки IP-адрес недостатньо, розумно зменшувати мережі; але в будь-якому випадку в них повинна бути достатня кількість використовуваних адрес

2) щоб кожному пристрою припало по одній адресі, та крім того залишався достатній простір для зростання. IP-мережа — це широкомовленевий домен (broad­cast domain). Це значить, що коли один хост мережі відсилає широкомовленеве повідомлення, всі інші хости цієї мережі повинні його прийняти і обробити. Відповідно, швидкість мережевих з’єднань і процесорів хостов, а також кількість і характер застосовуваних протоколів, обмежують фактичний розмір мережі.

Інакше кажучи, чим більше широкомовлення і протоколів в мережі, тем менше повинно бути хостів.

В більшості маршрутизаторів рішення про маршрутизацію на мережевому рівні звичайно приймаються програмним забезпеченням, тому виконуються вони достатньо повільно, якщо порівнювати із аналогічними ріше­ннями, які приймаються на Канальному рівні комутаторами. Справа в тому, що комутатори приймають рішення, використовуючи таке обладнання, як спеціалізовані інтегральні схеми (Application Specific Integrated Circuits, ASIC). Відносно новий пристрій під назвою комутатора Мережевого рівня (lауег-3 switch) просто реалізує логічну схему цього рівня, прийняту в програмному забезпеченні, у власній спеціалізованій інтегральній схемі. В результаті швидкість маршрутизації значно збільшується. На практиці комутація Мережевого рівня дозволяє розділяти велику мережу на множину дрібних підмереж, при цьому майже не погіршуючи продуктивність.

Інша група, що допомагає визначитись з тим, як обирати IP-адреса, зв’язана із наступними проектними вимогами:

1. мінімізація розміру таблиць маршрутизації;

2. мінімізація часу, потрібного на "складання" мережі;

3. збільшення гнучкості, спрощення управління та пошуку несправностей. Час, необхідний для здійснення маршрутизації з однієї мережі в іншу, залежить від розміру таблиці маршрутизації, — чим більше таблиця, тим довше по ній проводиться пошук. Однак ми вже визначили кількість необхідних мереж; як же зменшити кількість маршрутів в таблиці? Відповідь — концентрація маршрутів (route aggregation), або сумовані адреси (summary addresses).

В даному випадку важливо зрозуміти, що не існує однозначного відношення між мережами і маршрутами до них. Якщо маршрутизатор отримує шлях до 10.1.1.0/25 і 10.1.128/25, він може направити його до 10.1.1.0/24 до ви­шестоящих сусідів, і замість цих двох шляхів /25.

Ось ще одна перевага сумування. Якщо мережа 10.1.1.128/25 буде відключено, то маршрутизатори, які містять шлях до 10.1.1.128/25, повинні будуть його видалити, но маршрутизатори, які зберігають лише сумовані шляхи, навіть не дізнаються що відбулося.

Сенс всього цього полягає в тому, щоб пронумерувати мережі, в результаті чого вони зможуть бути сумовані, а це мінімізує кількість шляхів в таблиці маршрутизації і забезпечить їм більшу стабільность. В кінцевому підсумку, процесор зможе пропускати пакети, не витрачаючи час на таблицю маршрутизації.

Простір хостів

Розглянемо присвоєння IP-адрес хостам. Перевагами стратегії продуманого іменування хостів є бі­льш гнучке оточення та легкість підтримки. Припустимо, ком­панія має 500 філіалів по всьому світу, в кожному з яких є мережа /24, і всі ці мережі застосовують наступну угоду з нумерації:

IP-адресі Опис

10.х.х.0 Мережеві адреси

10.х.х.1— 10.х.х.14 Комутатори та регульованіе концентратори

10.х.х.17 DHCP- та DNS-сервер

10.Х.Х.18 Файловий сервер та сервер друку

10.х.х.19— 10.х.х.30 Сервер додаткув

10.х.х.33—10.х.х.62 Принтери

10.Х.Х.65-10.Х.Х.246 DHCP-клієнти

10.Х.Х.247—10.х.х.253 Разнорідні і статичні клієнти

10.х.х.254 Шлюзова адреса

10.Х.Х.255 Широкомовленева адреса

Ви можете легко визначити пристрій за його IP-адресою, де б він не знаходився. Ще більш важливо, хоча менш очевидно, що ці групи адрес повинні бути сформовані в двійковому, а не десятковому представленні. Це значить, що слід тримати групи всередині двійкових границь. В цьому прикладі сервери идентифікуються за адресами 10.х.х.16/28, навіть якщо для них настроені маски підмереж 255.255.255.0. Двійкова система зручна ще з однієї причини: коли-нибудь вам може знадобитися класифікувати трафк, щоб застосувати спеціальний уровень Quality of Service (QoS) або якусь політику. Можливо, ви встановите низький пріоритет для трафіка до 10.х.х.32/27 (принтери) і від цієї адреси. Якщо адреси принтеров не містяться в двійковому представле­нні, деякі з них можуть бути виключені із цього правила, а інші пристрої помилково включені в нього. Інше разповсюджене застосування двійкового представлення адрес — правила брандмауерів. Можна заборонити весь трафік від 10.х.х.0/26 (мережеве обладнання, сервери, принте­ри), який виходить мережу Internet. В результаті запобігають можливості застосування серверів хакерами в якості вихідних пунктів для атак інших мереж, але при цьому DHCP-клієнти зберігають можливість отримання дос­тупу через брандмауер.