Niepewność bywa czasem gorsza niż brak uzbrojonej straży.

W niektórych przypadkach samo włożenie zainfekowanej dyskietki może spowodować zainfekowanie maszyny, a włożenie czystej dyskietki do maszyny, która jest zainfekowana, może spowodować zainfekowanie tej dyskietki. Z tego powodu wszystkie dyskietki, które były używane w zainfekowanych maszynach lub są nieznanego pochodzenia, powinny być dokładnie sprawdzone. Można powiedzieć, że są „czyste" dopiero po przeprowadzeniu pełnego procesu kasowania ich zawartości, ale ponieważ dyskietki są coraz tańsze, to zainfekowane dyskietki łatwiej zniszczyć i użyć nowych. Kradzież przez pracownika Zbyt często administratorzy komputerów i sieci męczą się nad zabezpieczeniem swoich systemów tylko po to, aby tajemnice firmy zostały wyniesione z firmy w teczkach jej pracowników. Choć nie jest to zabezpieczenie sieci z technicznego punktu widzenia nie należy go ignorować. Kiedy myślimy o prywatności danych, to użytkownicy pracujący w sieci stają się potencjalnymi wrogami. Nie doprowadzaj do sytuacji, w której poprosisz wilka, aby popilnował Twoich owiec! Jedynym sposobem zabezpieczenia się przed wykradaniem danych z sieci przez jej użytkowników jest dobry system zapewniający prywatność danych oraz system kontroli dostępu. Jeśli złodziej nie będzie mógł uzyskać danych, to nie będzie ich mógł również ukraść. Dochodzimy więc do tego, że personel, któremu musimy zaufać, powinien być dokładnie sprawdzany. Niezależnie od zaimplementowanych rozwiązań musisz pamiętać, że zawsze trzeba je wdrażać, zanim będą faktycznie potrzebne. Idealnie powinieneś opracować zabezpieczenia sieci już w czasie jej tworzenia i skoordynować je z planem bezpieczeństwa całej firmy. Niestety, prawie nikt tak nie postępuje. Większość administratorów sieci nie zajmuje się jej bezpieczeństwem do chwili wystąpienia problemu. Następnie w wielkim pośpiechu instalują oni różne rozwiązania zabezpieczające sieć przed powtórzeniem się ataku w przyszłości. Spośród tych, którzy zabezpieczają sieć, zanim jeszcze wystąpią problemy z jej bezpieczeństwem, większość wydaje się być postrzegana jak ludzie, którzy mają urojenia. Skupiają się oni zwykle na jednym aspekcie bezpieczeństwa, takim jak kontrola dostępu, i kompletnie ignorują inne potencjalne możliwości naruszenia bezpieczeństwa systemu. Albo też zajmują się głównie zabezpieczeniem sieci przed dostępem z zewnątrz, podczas gdy kompletnie ignorowane są próby naruszenia bezpieczeństwa przez własnych użytkowników. 314 Rozdział 10: Bezpieczeństwo sieci Staraj się nie dołączyć do którejś z opisanych wyżej grup. Dobrze opracowany plan bezpieczeństwa sieci musi brać pod uwagę wszystkie możliwe zabezpieczenia i wszystkie aspekty związane z implementacją tych zabezpieczeń, zanim wystąpi ich naruszenie. Choć może Ci się wydawać, że Twój system i przechowywane w nim informacje nie jest ważne i warte ataku, to ktoś może mieć inne zdanie, a Ty możesz się przekonać, jaka była wartość tych danych, kiedy będzie już za późno. 315 Konfigurowanie interfejsów A Bez interfejsów nie byłoby czego rutować w sieciach IP. Ile czasu zajmuje konfigurowanie numerów IP na interfejsach Twojego rutera? Naprawdę niewiele. Skonfigurowanie IP na interfejsie rutera Cisco przybiera zwykle następującą formę: interface type numberipaddress 172.16.52.34 255.255.255.0 optional IPconfiguration statements such asproxyARP interface-specific configuration statements Parametr type w instrukcji interface jest zdefiniowaną w systemie nazwą przypisaną do typu interfejsów taką, jak ethernet, fddi lub serial , a parametr number jest numerem, który określa konkretny interfejs danego typu. System IOS numeruje interfejsy poczynając od zera, tak więc pierwszy interfejs sieci Ethernet będzie się nazywał ethernet O, a trzeci interfejs szeregowy - serial 2. W dużych ruterach numer interfejsu może przybierać formę zapisu slot/number, gdzie slot oznacza kolejny moduł rozszerzenia umieszczony w ruterze (numerowany od zera), a number określa numer konkretnego interfejsu znajdującego się w tym module rozszerzeń. Tak więc drugi interfejs Ethernet, znajdujący się na karcie modułu umieszczonego w pierwszym słocie rutera Cisco 75XX, będzie nazywany ethernet 0/1. Nowsze wersje ruterów z serii Cisco 75XX mogą stosować trzyczęściowy schemat numerowania interfejsów polegający na zapisie slot/sub-slot/number. Po podaniu nazwy interfejsu następuje przypisanie temu interfejsowi adresu IP i maski sieci. Wykonywane jest to instrukcją i p address. Instrukcja ta zawiera minimalną liczbę informacji wymaganych przez IP do pracy z tym interfejsem, ale możliwe jest jeszcze dodanie innych instrukcji związanych z konfiguracją IP. Przykładem takich instrukcji mogą być polecenia włączające lub wyłączające obsługę proxy ARP, skierowane pakiety broadcast, pakiety IP multicast, itd. Żadna z tych instrukcji nie jest wymagana do uruchomienia rutowania IP, ale niektóre z nich mogą zmieniać zachowanie dynamicznego protokołu rutowania. Instrukcje te zostały omówione w odpowiednich rozdziałach tej książki. 316 Dodatek A: Konfigurowanie interfejsów Można więc stwierdzić, że konfiguracja każdego interfejsu może zawierać instrukcje, które są albo opcjonalne, albo wymagane do uruchomienia tego interfejsu. W mediach sieci LAN, takich jak Ethernet, Token Ring i FDDI, nie jest zwykle wymagana żadna dodatkowa konfiguracja interfejsów. Natomiast szeregowe interfejsy rutera mogą wymagać ustawienia parametrów enkapsulacji na poziomie protokołu łącza takiego jak PPP lub Frame Relay. Interfejsy skonfigurowane do pracy na żądanie wymagają konfiguracji określającej, kiedy mają nawiązywać połączenie, kiedy mają je rozłączać i jak mapować adresy protokołów na numery telefonów docelowych miejsc, pod które ruter ma dzwonić. Konfiguracja interfejsu do pracy z sieciami Frame Relay lub ATM jest jeszcze bardziej skomplikowana; konieczne jest określenie połączeń wirtualnych i powiązanie tych połączeń wirtualnych z adresami protokołów, które mają obsługiwać. Na zakończenie trzeba wspomnieć o interfejsach specjalnego przeznaczenia, takich jak połączenie z kanałem danych mainframe, których konfiguracja musi obsługiwać ścisłą współpracę rutera i hosta mainframe