Управління доступом до інформації про ip-адреси
Хоча технологія NAT і подібні засоби підстановки та імітації адреси необхідні при використанні приватних IP-адрес, деякі організації приймають рішення застосовувати ці засоби в своїх внутрішніх мережах стосовно дійсних загальнодоступних IP-адрес. Справа в тому, що взаємодія клієнтов з мережею в межах цієї мережі без застосування якої-небудь форми "приховування" адрес може призвести до того, що адресна структура такої внутрішньої мережі стане відома стороннім людям, що мають достаточню кваліфікацію. Вони можуть спробувати використати цю інформацію для того, щоб проникнути всередину організації — із загальнодоступної мережі Internet у внутрішнє корпоративне мережеве середовище, — і атакувати (attack) мережу. Ось чому для забезпечення безпеки IP вважається прийнятним застосовувати проксі-сервер або подібну службу, яка позиціонує себе на межі між внутрішнім і зовнішнім трафіком. Коли вихідний трафик проходить через проксі із зовнішньої мережі, проксі-служба замінює внутрішні мережеві адреса одним або декількома різними адресами, щоб трафік, який переміщується по загальнодоступній мережі Internet, не зміг стати джерелом інформації про адресну структуру внутрішньої мережі. Так же, проксі-сервери можуть забезпечити так зване зворотнє посередництво (reverse proxying). При цьому проксі-сервер отримує можливість звертатись до серверів у внутрішній мережі, демонструючи навколишньому світу тільки свою власну адресу, а потім пересилаючи внутрішнім серверам для подальшої обробки тільки припустимі запити. Ще раз повторимо, що сторонні люди при цьому можуть дізнатися тільки адресу проксі-сервера, який діє від імени внутрішнього сервера.
Таким чином, одна з найважливіших функцій проксі-сервера складається в забезпеченні перетворення адрес джерела в проходящих через нього вихідних пакетах. Це допомогає уникнути втрати інформації про фактичні адреси внутрішньої мережі; в протилежному випадку сторонні люди можуть скористатися засобами зчитування адрес і вияснити, які саме адреси використовуються в будь-якому даному діапазоні.
Мережевий простір
Є декілька стримуючих факторів, які звичайно регламентують схеми IP-адресації, і ми розділимо їх на дві групи. В першую групу вмістимо фактори, які визначають кількість і розмір мереж. Серед них:
1. кількість фізичних місцерозташувань мереж;
2. кількість мережевих пристроїв в кожному місцерозташуванні;
3. обсяг широкомовленевого трафіка в кожному місцерозташуванні; доступність IP-адрес;
4. затримка, викликана маршрутизацією з однієї мережі в іншу.
Хоча є можливість провести міст між двома фізичними місцерозташуваннями мереж по з’єднанню WAN (Wide-Area Network, глобальна мережа), на практиці це робиться лише стосовно протоколів, які взагалі не допускають маршрутизації (наприклад, SNA та NetBEUI). Маршрутизація (замість створення моста) здійсниться в першу чергу для того, щоб запобігти непотрібним пересилкам із заповнених дорогостоящих схем глобальної мережі (WAN). Отже, мінімально необхідна кількість IP-мереж — по одній для кожного місцярозташування в компанії та кожного канала WAN.
Далі. Оскільки IP-адрес недостатньо, розумно зменшувати мережі; але в будь-якому випадку в них повинна бути достатня кількість використовуваних адрес
2) щоб кожному пристрою припало по одній адресі, та крім того залишався достатній простір для зростання. IP-мережа — це широкомовленевий домен (broadcast domain). Це значить, що коли один хост мережі відсилає широкомовленеве повідомлення, всі інші хости цієї мережі повинні його прийняти і обробити. Відповідно, швидкість мережевих з’єднань і процесорів хостов, а також кількість і характер застосовуваних протоколів, обмежують фактичний розмір мережі.
Інакше кажучи, чим більше широкомовлення і протоколів в мережі, тем менше повинно бути хостів.
В більшості маршрутизаторів рішення про маршрутизацію на мережевому рівні звичайно приймаються програмним забезпеченням, тому виконуються вони достатньо повільно, якщо порівнювати із аналогічними рішеннями, які приймаються на Канальному рівні комутаторами. Справа в тому, що комутатори приймають рішення, використовуючи таке обладнання, як спеціалізовані інтегральні схеми (Application Specific Integrated Circuits, ASIC). Відносно новий пристрій під назвою комутатора Мережевого рівня (lауег-3 switch) просто реалізує логічну схему цього рівня, прийняту в програмному забезпеченні, у власній спеціалізованій інтегральній схемі. В результаті швидкість маршрутизації значно збільшується. На практиці комутація Мережевого рівня дозволяє розділяти велику мережу на множину дрібних підмереж, при цьому майже не погіршуючи продуктивність.
Інша група, що допомагає визначитись з тим, як обирати IP-адреса, зв’язана із наступними проектними вимогами:
1. мінімізація розміру таблиць маршрутизації;
2. мінімізація часу, потрібного на "складання" мережі;
3. збільшення гнучкості, спрощення управління та пошуку несправностей. Час, необхідний для здійснення маршрутизації з однієї мережі в іншу, залежить від розміру таблиці маршрутизації, — чим більше таблиця, тим довше по ній проводиться пошук. Однак ми вже визначили кількість необхідних мереж; як же зменшити кількість маршрутів в таблиці? Відповідь — концентрація маршрутів (route aggregation), або сумовані адреси (summary addresses).
В даному випадку важливо зрозуміти, що не існує однозначного відношення між мережами і маршрутами до них. Якщо маршрутизатор отримує шлях до 10.1.1.0/25 і 10.1.128/25, він може направити його до 10.1.1.0/24 до вишестоящих сусідів, і замість цих двох шляхів /25.
Ось ще одна перевага сумування. Якщо мережа 10.1.1.128/25 буде відключено, то маршрутизатори, які містять шлях до 10.1.1.128/25, повинні будуть його видалити, но маршрутизатори, які зберігають лише сумовані шляхи, навіть не дізнаються що відбулося.
Сенс всього цього полягає в тому, щоб пронумерувати мережі, в результаті чого вони зможуть бути сумовані, а це мінімізує кількість шляхів в таблиці маршрутизації і забезпечить їм більшу стабільность. В кінцевому підсумку, процесор зможе пропускати пакети, не витрачаючи час на таблицю маршрутизації.
Простір хостів
Розглянемо присвоєння IP-адрес хостам. Перевагами стратегії продуманого іменування хостів є більш гнучке оточення та легкість підтримки. Припустимо, компанія має 500 філіалів по всьому світу, в кожному з яких є мережа /24, і всі ці мережі застосовують наступну угоду з нумерації:
IP-адресі Опис
10.х.х.0 Мережеві адреси
10.х.х.1— 10.х.х.14 Комутатори та регульованіе концентратори
10.х.х.17 DHCP- та DNS-сервер
10.Х.Х.18 Файловий сервер та сервер друку
10.х.х.19— 10.х.х.30 Сервер додаткув
10.х.х.33—10.х.х.62 Принтери
10.Х.Х.65-10.Х.Х.246 DHCP-клієнти
10.Х.Х.247—10.х.х.253 Разнорідні і статичні клієнти
10.х.х.254 Шлюзова адреса
10.Х.Х.255 Широкомовленева адреса
Ви можете легко визначити пристрій за його IP-адресою, де б він не знаходився. Ще більш важливо, хоча менш очевидно, що ці групи адрес повинні бути сформовані в двійковому, а не десятковому представленні. Це значить, що слід тримати групи всередині двійкових границь. В цьому прикладі сервери идентифікуються за адресами 10.х.х.16/28, навіть якщо для них настроені маски підмереж 255.255.255.0. Двійкова система зручна ще з однієї причини: коли-нибудь вам може знадобитися класифікувати трафк, щоб застосувати спеціальний уровень Quality of Service (QoS) або якусь політику. Можливо, ви встановите низький пріоритет для трафіка до 10.х.х.32/27 (принтери) і від цієї адреси. Якщо адреси принтеров не містяться в двійковому представленні, деякі з них можуть бути виключені із цього правила, а інші пристрої помилково включені в нього. Інше разповсюджене застосування двійкового представлення адрес — правила брандмауерів. Можна заборонити весь трафік від 10.х.х.0/26 (мережеве обладнання, сервери, принтери), який виходить мережу Internet. В результаті запобігають можливості застосування серверів хакерами в якості вихідних пунктів для атак інших мереж, але при цьому DHCP-клієнти зберігають можливість отримання доступу через брандмауер.