¡Sin componentes de la red, no hay red, y sin la consideración para estos componentes, no hay seguridad! El primer paso hacia una topología segura de la red es examinar los dispositivos y los sistemas usados para ponerla en ejecucio'n. Las consideraciones y los tipos siguientes de equipo son comunes a una organización:
|
|
· Tenga acceso a los dispositivos
· Dispositivos de seguridad
· Servidores y sistemas
· Organización y disposición
El dispositivo del acceso es el pedazo del equipo de la red que proporciona el acceso y la intercomunicación del Internet entre las redes y es el primer elemento requerido para una organización Internet-accesible. Las organizaciones no pueden necesitar un dispositivo del acceso, pero si desean comunicarse con otras redes o proporcionar el acceso del exterior a los empleados o a los usuarios del Internet, un dispositivo del acceso es necesario. Los dispositivos del acceso vienen en muchas formas; el más comunes son módems y rebajadoras.
Hay generalmente dos (o más) interfaces en un dispositivo del acceso. Los interfaces con los cuales la red de la organización conecta se consideran el interfaz interno de la rebajadora (o del otro equipo). Los interfaces que conectan con el Internet Service Provider (ISP) son los interfaces externos. La red interna abarca esos sistemas y equipo en el lado interno de la rebajadora. La red o las redes accesibles del Internet forma la red externa.
El uso del dispositivo del acceso tiene un efecto directo en la seguridad de una topología de la red porque ayuda a definir el modelo del acceso del Internet usado en la organización y es el primer punto donde está necesaria la defensa. Hay muchos modelos del acceso que los diseñadores pueden utilizar, incluyendo el acceso excepcio'n-basado altamente restrictivo, abierto, y una combinación entre. los modelos Excepcio'n-basados del acceso aplican una restricción del defecto que rechace todo el acceso, seguida por las excepciones para los servicios y la conectividad necesarios. Éste es un método comúnmente usado de protección donde el cortafuego se configura para bloquear tráfico a todos sino algunos protocolos y servicios especificados en sistemas específicos. Un ejemplo del acceso excepcio'n-basado es rechaza todo el tráfico al servidor del Web a excepción de tráfico del TCP para virar 80 hacia el lado de babor (el puerto del protocolo y del servicio del IP (HTTP) que el servidor del Web utilice). los modelos Excepcio'n-basados del acceso son útiles en ambientes simples de la red donde hay poca diversidad o necesidad de la red de reglas de filtración complejas.
Un modelo abierto permite el acceso a cada uno a menos que esté prohibido de otra manera explícitamente. Este modelo se centra en solamente los servicios proporcionados por una red y sus sistemas. Utiliza reglas del cortafuego para permitir o rechaza el acceso de redes y de sistemas específicos a los servicios explícitos tales como un servidor del Web o un email y proporciona control de acceso granular. Este modelo no toma ninguna acción en el resto de los puertos y los protocolos que no son adentro el uso, sin embargo, que puede presentar un riesgo de la seguridad en algunos ambientes de la red.
Los ejemplos siguientes demuestran la utilidad y los peligros de un acceso abierto modelan.
En un ambiente simple de la red, donde el servidor del Web está conectado directamente con el Internet, un modelo abierto pudo crear riesgos innecesarios de la seguridad. En este caso, el cortafuego permite el acceso al servidor del Web de redes y de sistemas amistosos específicos, pero no afecta ningún otro tráfico a o desde el servidor del Web, incluyendo tráfico hostil del Internet. Esto presenta un peligro si un atacante compromete el servidor del Web. El atacante puede entonces instalar un nuevo y desautorizado servicio en ese sistema, que funciona inafectado por el cortafuego. Un modelo excepcio'n-basado protegería contra esto.
Los modelos abiertos son útiles de proporcionar control de acceso granular y de protegerlo contra tráfico desautorizado a los servicios específicos, como se utiliza a menudo con los servidores del Domain Name y los servidores del email. Los servidores del Domain Name y los servidores del email tienen a menudo relais secundarios que proporcionen servicio a los sistemas del Internet y protejan el sistema primario contra la exposición al Internet. Los sistemas primarios se pueden configurar con un modelo abierto del acceso que permita tráfico de la red al Domain Name y el email mantiene solamente de los servidores del relais. Este ejemplo también asume que la topología neta del trabajo protege los servidores primarios contra ataque externo.
Hay varias escuelas del pensamiento al determinarse qué modelo del acceso debe ser utilizado. El modelo excepcio'n-basado es más restrictivo y pone la parte más recia de las responsabilidades de la seguridad en las fuerzas del cortafuego. El modelo abierto confía más en los sistemas en uso de asegurar que están configuradas con seguridad y de proporcionar la posibilidad mínima para el compromiso y la modificación.
Los cortafuegos, los servidores privados virtuales de la red (VPN), y los sistemas de la detección de la intrusión (identificaciones) son comúnmente ejemplos usados de los dispositivos de seguridad. Los cortafuegos son utilizados para proteger la red interna contra amenazas exteriores permitiendo o rechazando ciertos tipos de tráfico y de datos de la red. Los cortafuegos no se significan solamente para el borde de la red, pero dondequiera las restricciones de ese tráfico se requieren o se recomiendan. Los dispositivos de VPN son utilizados para proporcionar el acceso alejado seguro del Internet a los usuarios creando un túnel cifrado a través de el cual la computadora del telecontrol tenga acceso a la red interna de una organización. Los sistemas de la detección de la intrusión proporcionan la supervisión y la notificación activas de ataques sabidos contra sistemas y de redes mirando datos de la red. Estos dispositivos proporcionan primer y la mayoría obvio del nivel de la seguridad y son vitales a cualquier topología de la red.
Los servidores y los sistemas son todas las computadoras usadas dentro de la organización. Estos sistemas incluyen el Web, correo, conexión, archivo y los print servers, las computadoras de escritorio, y los sistemas de la dirección de la red. Los requisitos para estos sistemas influencian la arquitectura de red e incluyen los servicios de red ofrecidos, y también dictan a quién el acceso se proporciona. Cada servicio proporcionado afecta la seguridad de la red y del sistema en los cuales funciona. La consideración dada a estos efectos da lugar a una arquitectura de red que reduzca al mínimo los riesgos y los efectos de una abertura de la seguridad.
Los atacantes explorarán a menudo para los servidores que proporcionan servicios al Internet y a las redes internas; el compromiso de estos sistemas no prohibe a atacante un umbral en la organización. Los servidores que funcionan servicios múltiples también la actual seguridad arriesgan porque cada servicio proporciona un umbral potencial en ese sistema particular. Es particularmente importante examinar la historia de un uso o el servicio para las vulnerabilidades de la seguridad. El email, el Web, el DNS, y los servidores del ftp tienen una historia larga de vulnerabilidades, y su uso simultáneo en un solo sistema proporciona varios puntos de acceso para un atacante.
La organización y la disposición de la red toma en la consideración la puesta en práctica de estos componentes. Esto incluye la colocación y la organización físicas del equipo y del cableado de la red, así como el método por el cual el acceso del Internet es proporcionado. Identificar requisitos del servicio de red y la relación de usuarios a estos servicios es importante para la seguridad de una arquitectura de red.
Muchos sistemas operativos y llegan configurado por el defecto para proporcionar cada servicio él las ayudas, a pesar de el hecho de que las necesidades de una organización raramente o utilizan todos. Si una organización necesita compartir del archivo, la impresión, el Web, y capacidades del email, los servidores que proporcionan estos servicios deben tener sus el resto de servicios inhabilitados. Si estos servicios se proporcionan a diversos grupos dentro de la organización o si una necesidad clara de estos servicios de compartir la información no se establece, deben ser funcionados en los diversos sistemas y redes que reflejan las necesidades de los users'access.
Online: 340 users browsing the articles directory
|
|