.
Ohne Netzbestandteile gibt es kein Netz, und ohne Betrachtung für diese Bestandteile, gibt es keine Sicherheit! Der erste Schritt in Richtung zu einer sicheren Netztopologie ist, die Vorrichtungen und die Systeme zu überprüfen, die benutzt werden, um sie einzuführen. Die folgenden Betrachtungen und die Arten der Ausrüstung sind für eine Organisation allgemein:
· Machen Sie Vorrichtungen zugänglich
· Arten der Sicherheitsleistung
· Bediener und Systeme
· Organisation und Plan
Die Zugang Vorrichtung ist das Stück der Netzausrüstung, die Internet-Zugang und -gegenseitigen Verkehr zwischen Netzen liefert und ist das erste Element, das für eine Internet-zugängliche Organisation erfordert wird. Organisationen können nicht eine Zugang Vorrichtung benötigen, aber, wenn sie andere Netze verbundenSEIN oder Zugang von der Außenseite zu den Angestellten oder zu den Internet-Benutzern zur Verfügung stellen möchten, ist eine Zugang Vorrichtung erforderlich. Zugang Vorrichtungen kommen in viele Formen; die allgemeinsten sind Modem und Fräser.
Es gibt im Allgemeinen zwei (oder mehr) Schnittstellen auf einer Zugang Vorrichtung. Die Schnittstellen, an die das Netz der Organisation anschließt, gelten als die interne Schnittstelle des Fräsers (oder anderer Ausrüstung). Die Schnittstellen, die an den Internet Service Provider (ISP) anschließen sind die externen Schnittstellen. Das interne Netz enthält jene Systeme und Ausrüstung auf der internen Seite des Fräsers. Das Netz oder die Netze, die vom Internet zugänglich sind, bilden das externe Netz.
Der Gebrauch von der Zugang Vorrichtung hat einen direkten Effekt auf der Sicherheit einer Netztopologie, weil er hilft, das Internet-Zugang Modell zu definieren, das in der Organisation benutzt wird und der erste Punkt ist, in dem Verteidigung erforderlich ist. Es gibt viele Zugang Modelle, die Entwerfer, einschließlich den in hohem Grade einschränkenden Ausnahme-gegründeten Zugang benutzen können, geöffnet, und eine Kombination zwischen. Ausnahme-gegründete Zugang Modelle wenden eine Rückstellung Beschränkung, die allen Zugang mißbilligt an, gefolgt von den Ausnahmen für erforderliche Dienstleistungen und Konnektivität. Dieses ist eine allgemein verwendete Methode des Schutzes, in dem die Brandmauer zusammengebaut wird, um Verkehr zu allen als einigen spezifizierten Protokollen und Services an den spezifischen Systemen zu blockieren. Ein Beispiel des Ausnahme-gegründeten Zuganges ist mißbilligen allen Verkehr zum web server außer TCP Verkehr, um 80 zu tragen (das IP Protokoll- und Service-Tor (HTTP) die der web servergebrauch). Ausnahme-gegründete Zugang Modelle sind in den einfachen Netzklimas nützlich, in denen es wenig Netzverschiedenartigkeit oder -notwendigkeit an den komplizierten filternrichtlinien gibt.
Ein geöffnetes Modell erlaubt Zugang zu jeder, es sei denn anders ausdrücklich verboten. Dieses Modell konzentriert auf nur die Dienstleistungen, die von einem Netz und von seinen Systemen bereitgestellt werden. Es verwendet Brandmauerrichtlinien, um zu gewähren oder mißbilligt Zugang von den spezifischen Netzen und von den Systemen zu den ausdrücklichen Services wie einem web server oder einem email und liefert granulierte Zugriffssteuerung. Dieses Modell ergreift keine Maßnahmen auf dem Rest der Tore und Protokolle, die nicht innen Gebrauch jedoch sind der eine Sicherheit Gefahr in einigen Netzklimas darstellen kann.
Die folgenden Beispiele zeigen die Verwendungsfähigkeit und Gefahren eines geöffneten Zuganges modellieren.
In einem einfachen Netzklima in dem das web server direkt an das Internet angeschlossen wird, konnte ein geöffnetes Modell nicht notwendige Sicherheit Gefahren verursachen. In diesem Fall erlaubt die Brandmauer Zugang zum web server von den spezifischen freundlichen Netzen und von den Systemen, aber beeinflußt keinen anderen Verkehr nach oder von dem web server, einschließlich feindlichen Verkehr vom Internet. Dieses stellt eine Gefahr dar, wenn ein Angreifer das web server sich vergleicht. Der Angreifer kann einen neuen und nicht autorisierten Service an diesem System dann aufstellen, das unberührtes durch die Brandmauer laufen läßt. Ein Ausnahme-gegründetes Modell würde sich gegen dieses schützen.
Geöffnete Modelle sind nützlich, granulierte Zugriffssteuerung zur Verfügung zu stellen und gegen nicht autorisierten Verkehr zu den spezifischen Dienstleistungen sich zu schützen, wie häufig mit Domain Namebedienern und email Bedienern verwendet wird. Domain Namebediener und email Bediener haben häufig Sekundärrelais, die Service zu den Internet-Systemen zur Verfügung stellen und das Primärsystem vor Aussetzung zum Internet schützen. Die Primärsysteme können mit einem geöffneten Zugang Modell zusammengebaut werden, das Netzverkehr zum Domain Name erlaubt und email nur von den Relaisbedienern instandhält. Dieses Beispiel nimmt auch an, daß die Nettoarbeit Topologie die Primärbediener vor externem Angriff schützt.
Es gibt einige Schulen des Gedankens, wenn man feststellt, welches Modell des Zuganges benutzt werden sollte. Das Ausnahme-gegründete Modell ist einschränkender und setzt das Hauptgewicht der Sicherheit Verantwortlichkeiten auf die Stärken der Brandmauer. Das geöffnete Modell beruht mehr auf den Systemen im Gebrauch, minimaler Möglichkeit für Kompromiß und Änderung zu versichern, daß sie sicher und zur Verfügung zu stellen zusammengebaut werden.
Brandmauern, virtuelle private Bediener des Netzes (VPN) und Eindringenabfragung Systeme (Identifikation) sind allgemein verwendete Beispiele der Arten der Sicherheitsleistung. Brandmauern werden benutzt, um das interne Netz vor externen Drohungen zu schützen, indem man bestimmte Arten des Netzverkehrs und -daten erlaubt oder mißbilligt. Brandmauern werden nicht nur für den Rand des Netzes bedeutet, aber überall werden dieser Verkehr Beschränkungen angefordert oder empfohlen. VPN Vorrichtungen werden benutzt, um sicheren Fernzugriff vom Internet zu den Benutzern zur Verfügung zu stellen, indem man einen verschlüsselten Tunnel herstellt, durch den der Direktübertragung Computer das interne Netz einer Organisation zugänglich macht. Eindringenabfragung Systeme stellen die aktive Überwachung und Mitteilung der bekannten Angriffe auf Systemen und der Netze vom Aufpassen von von Netzdaten zur Verfügung. Diese Vorrichtungen liefern das erste und meiste offensichtliche Niveau der Sicherheit und sind zu jeder möglicher Netztopologie lebenswichtig.
Bediener und Systeme sind alle Computer, die innerhalb der Organisation benutzt werden. Diese Systeme schließen Netz, Post, LOGON, Akte und Druckserver, Tischrechner und Netzführungsysteme ein. Die Anforderungen für diese Systeme beeinflussen die Netzwerkarchitektur und schließen die angebotenen Vermittlungsdienste ein, und sie schreiben auch zu vor, wem wird Zugang geliefert. Jeder bereitgestellte Service beeinflußt die Sicherheit des Netzes und des Systems, in denen sie läuft. Die Betrachtung, die zu diesen Effekten gegeben wird, ergibt eine Netzwerkarchitektur, die die Gefahren und die Effekte eines Sicherheit Bruches herabsetzt.
Angreifer lichten häufig auf Bediener ab, die Dienstleistungen zum Internet und zu den internen Netzen zur Verfügung stellen; der Kompromiß dieser Systeme erlaubt dem Angreifer einen Eingang in die Organisation. Bediener, die mehrfache Dienstleistungen laufen lassen, auch anwesende Sicherheit riskiert, weil jeder Service einen möglichen Eingang in dieses bestimmte System zur Verfügung stellt. Es ist besonders wichtig, die Geschichte einer Anwendung oder Service für Sicherheit Verwundbarkeit zu überprüfen. Email, Netz, DNS, und ftp Bediener haben eine lange Geschichte von Verwundbarkeit, und ihr simultaner Gebrauch auf einem einzelnen System stellt einige Zugangspunkte für einen Angreifer zur Verfügung.
Die Organisation und der Plan des Netzes zieht in Erwägung die Implementierung dieser Bestandteile. Dieses schließt die körperliche Plazierung und die Organisation der Netzausrüstung und -verdrahtung, sowie die Methode ein, von der Internet-Zugang zur Verfügung gestellt wird. Vermittlungsdienstanforderungen und das Verhältnis der Benutzer zu diesen Dienstleistungen zu kennzeichnen ist zur Sicherheit einer Netzwerkarchitektur wichtig.
Viele Betriebssysteme und kommen zusammengebaut durch Rückstellung, um jeden Service zur Verfügung zu stellen es Unterstützungen, obwohl eine Organisation selten Notwendigkeiten an oder verwenden alle. Wenn eine Organisation Akte das Teilen, den Druck, Netz und email Fähigkeiten benötigt, sollten die Bediener, die diese Dienstleistungen liefern, alle ihre anderen gesperrten Dienstleistungen haben. Wenn diese Dienstleistungen zu den unterschiedlichen Gruppen innerhalb der Organisation zur Verfügung gestellt werden, oder wenn eine freie Notwendigkeit an diesen Dienstleistungen, Informationen zu teilen nicht hergestellt wird, sollten sie auf unterschiedliche Systeme und Netze laufen gelassen werden, die die users'access Notwendigkeiten reflektieren.
Online: 313 users browsing the articles directory
. |