Una buona documentazione di base per la gestione dell’infratruttura di rete è fondamentale. Spesso se ne dimentica l’importanza, salvo poi trovarsi in emergenza in caso di blackout e ci si trova nella necessità di rimettere in piedi il network in pochissimo tempo. Di seguito cinque consigli utili per compilare documento che elenca le informazioni necessarie per una “carta d’identità” della rete aziendale..
1. Topologia generale della rete
Se non si sa spiegare in breve, con un paio di schemi, come sè strutturata la rete, c’è un problema. Non bisogna avere un’altissima specializzazione in Visio per farlo: bastano alcune informazioni generali sulla topologia, per mostrare la relazione tra Internet, le reti interne, tutti i firewall o i router e avere in questo modo un punto di partenza su cui lavorare. Si aggiungano gli indirizzi IP e le subnet mask e il 90% del lavoro è fatto.
Con la proliferazione di VLAN, sottoreti e firewall multi-zona in molte reti, la vecchia strategia del “tracciare il cavo”, semplicemente non fornisce informazioni su come la rete sta insieme quando si è sotto stress e le apparecchiature non funzionano.
Anche al di fuori di situazioni di disaster, disporre di un’accurata mappa della topologia della rete rappresenta il punto di partenza per qualsiasi discussione sul funzionamento della rete o per una chiamata al servizio di assistenza tecnica.
Il concetto chiave qui è che i dati sulla topologia sono facili da aggiornare e da mantenere attuali, il che significa che disegni e schemi chiari vi possono aiutare più di ogni altra cosa.
2. Password
Bisogna avere un registro delle password in cui ci siano le password di emergenza di “root” o di “amministrazione” per ogni dispositivo. Non online, non affidate alla memoria di qualcuno, ma stampate e messe al sicuro in un posto dove i network manager possano trovarle quando ne hanno bisogno. La cosa migliore è impostare queste utenze di emergenza in modo indipendente dal normale sistema di autenticazione. In altre parole, la vostra password è solo vostra (meglio se controllata centralmente da un server RADIUS) ed è ciò che utilizzate voi. Ma quando vi succede qualcosa o quando il servizio RADIUS cessa di funzionare, il registro delle password diventa fondamentale.
3. Gestione degli indirizzi IP
Se la vostra è una grande azienda, avete probabilmente un prodotto commerciale o un vostro tool per l’attribuzione degli indirizzi IP. Se non è così, assicuratevi di avere una documentazione sulla sicurezza della rete che indichi quali indirizzi IP sono utilizzati e per cosa.
Tutte queste informazioni devono risiedere anche in un DNS, in modo tale che lookup forward e reverse funzionino correttamente (almeno sulla vostra LAN).
Essere in grado di lavorare da una lista e dal DNS, aiuta a diagnosticare i problemi, permette di risparmiare tempo e assicura che non si facciano errori gravi assegnando uno stesso indirizzo IP a due dispositivi.
In questo senso è utile creare una regola secondo la quale alla rete non si può connettere nulla senza un’etichetta che ne indichi l’indirizzo IP.
4. Backup di configurazione
Ogni dispositivo caratterizzato da una configurazione deve avere un backup – preferibilmente su un sistema stand alone a cui si può accedere persino quando la rete è fuori uso – per i dispositivi disponibili.
Più è complesso il dispositivo, come il firewall, più è difficile il suo ripristino se lo si deve sostituire. Ciò significa che tenerli aggiornati è di fondamentale importanza (magari usando un tool che faccia quotidianamente il salvataggio automatico della configurazione dei dispositivi).
5. Un documento da aggiornare con continuità. La sicurezza di rete continua a cambiare nel tempo e ognuno ha un’idea diversa su come definire le policy. E’ importante dedicare del tempo a ragionare su su come mantenere la coerenza fra queste policy. Per esempio, quando si scrivono le regole sul firewall, si ha probabilmente un modo standard di aggiungere entità come reti e servizi. E se si mettono per iscritto questi standard, gkli aggiornamenti sono coerenti e facili da comprendere.
Una simile documentazione rappresenta un modo ovvio per accelerare la risoluzione di problemi di qualunque entità. Ma la documentazione non va utilizzata solo quando qualcosa non funziona: una buona parte di quanto è stato elencato può essere utile nelle operazioni di tutti i giorni e nella normale crescita della rete, piccola o grande che sia.