Senza componenti della rete, non ci è rete e senza considerazione per questi componenti, non ci è sicurezza! Il primo punto verso una topologia sicura della rete è esaminare i dispositivi ed i sistemi usati per effettuarla. Le seguenti considerazioni e tipi di apparecchiature sono comuni ad un'organizzazione:
|
|
· Accedi ai dispositivi
· Dispositivi di sicurezza
· Assistenti e sistemi
· Organizzazione e disposizione
Il dispositivo di accesso è la parte dell'apparecchiatura della rete che fornisce l'accesso e le intercomunicazioni del Internet fra le reti ed è il primo elemento richiesto per un'organizzazione Internet-accessibile. Le organizzazioni non possono avere bisogno di un dispositivo di accesso, ma se desiderano comunicare con altre reti o fornire l'accesso dalla parte esterna agli impiegati o agli utenti del Internet, un dispositivo di accesso è necessario. I dispositivi di accesso vengono in molte forme; il più comuni sono modem e routers.
Ci sono generalmente due (o più) interfacce su un dispositivo di accesso. Le interfacce a cui la rete dell'organizzazione collega sono considerate l'interfaccia interna del router (o dell'altra apparecchiatura). Le interfacce che collegano al Internet Service Provider (ISP) sono le interfacce esterne. La rete interna contiene quei sistemi ed attrezzature dal lato interno del router. La rete o le reti accessibili dal Internet forma la rete esterna.
L'uso del dispositivo di accesso ha un effetto diretto sulla sicurezza di una topologia della rete perché contribuisce a definire il modello di accesso del Internet usato nell'organizzazione ed è il primo punto in cui la difesa è necessaria. Ci è molti modelli di accesso che i progettisti possono usare, compreso accesso eccezione-basato altamente restrittivo, aperto e una combinazione fra. i modelli Eccezione-basati di accesso applicano una limitazione di difetto che respinge tutto l'accesso, seguita dalle eccezioni per i servizi e la connettività necessari. Ciò è un metodo comunemente usato di protezione dove la parete refrattaria è configurata per ostruire il traffico a tutti solo alcuni protocolli e servizi specificati dei sistemi specifici. Un esempio di accesso eccezione-basato è respinge tutto il traffico al web server tranne traffico di TCP per port 80 (l'orificio di protocollo e di servizio del IP (HTTP) che gli usi di web server). i modelli Eccezione-basati di accesso sono utili negli ambienti semplici della rete in cui ci è poca diversità o esigenza della rete delle regole di filtrazione complesse.
Un modello aperto permette l'accesso a tutto a meno che proibito al contrario esplicitamente. Questo modello mette a fuoco soltanto sui servizi forniti da una rete e dai relativi sistemi. Usa le regole della parete refrattaria per concedere o respinge l'accesso dalle reti specifiche e dai sistemi ai servizi espliciti quali un web server o un email e fornisce il controllo di accesso granulare. Questo modello non intraprende azione in relazione al resto degli orificii ed i protocolli che non sono in uso, tuttavia, che possa presentare un rischio di sicurezza in alcuni ambienti della rete.
I seguenti esempi dimostrano l'utilità ed i pericoli di un accesso aperto modellano.
In un ambiente semplice della rete, in cui il web server è collegato direttamente al Internet, un modello aperto potrebbe generare i rischi inutili di sicurezza. In questo caso, la parete refrattaria permette l'accesso al web server dalle reti amichevoli specifiche e dai sistemi, ma non interessa qualunque altro traffico a o da il web server, compreso traffico ostile dal Internet. Ciò presenta un pericolo se un attacker compromette il web server. Il attacker può allora installare un nuovo e servizio non autorizzato di quel sistema, che fa funzionare inalterato dalla parete refrattaria. Un modello eccezione-basato proteggerebbe da questo.
I modelli aperti sono utili da fornire il controllo di accesso granulare e da proteggere da traffico non autorizzato ai servizi specifici, come è usato spesso con gli assistenti di Domain Name e gli assistenti del email. Gli assistenti di Domain Name e gli assistenti del email hanno spesso relè secondari che forniscono il servizio ai sistemi del Internet e proteggono il sistema primario da esposizione al Internet. I sistemi primari possono essere configurati con un modello aperto di accesso che permette il traffico della rete al Domain Name ed il email assiste soltanto dagli assistenti del relè. Questo esempio inoltre suppone che la topologia netta del lavoro protegge gli assistenti primari dall'attacco esterno.
Ci sono parecchie scuole di pensiero quando determina quale modello di accesso dovrebbe essere usato. Il modello eccezione-basato è più restrittivo e dispone il brunt delle responsabilità di sicurezza sulle resistenze della parete refrattaria. Il modello aperto conta di più sui sistemi in uso assicurare che sono configurate saldamente e fornire la possibilità minima per il compromesso e la modifica.
Le pareti refrattarie, gli assistenti riservati virtuali della rete (VPN) ed i sistemi di rilevazione di intrusione (identificazioni) sono comunemente esempi usati dei dispositivi di sicurezza. Le pareti refrattarie sono usate per proteggere la rete interna dalle minacce esterne permettendo o respingendo determinati tipi di traffico e di dati della rete. Le pareti refrattarie non sono significate soltanto per il bordo della rete, ma dovunque limitazioni di quel traffico sono richieste o suggerite. I dispositivi di VPN sono usati per fornire l'accesso a distanza sicuro dal Internet agli utenti generando un traforo cifrato tramite cui il calcolatore della ripresa esterna accede alla rete interna di un'organizzazione. I sistemi di rilevazione di intrusione forniscono il controllo e la notifica attivi degli attacchi conosciuti ai sistemi e delle reti guardando i dati della rete. Questi dispositivi forniscono la primo e maggior parte del livello evidente di sicurezza e sono vitali a tutta la topologia della rete.
Gli assistenti ed i sistemi sono tutti i calcolatori utilizzati all'interno dell'organizzazione. Questi sistemi includono il fotoricettore, posta, inizio attività, assistenti di stampa e della lima, calcolatori desktop e sistemi di amministrazione della rete. I requisiti di questi sistemi influenzano l'architettura di rete ed includono i servizi di rete offerti ed inoltre dettano a chi l'accesso è fornito. Ogni servizio fornito interessa la sicurezza della rete e del sistema su cui funziona. La considerazione data a questi effetti provoca un'architettura di rete che minimizza i rischi e gli effetti di frattura di sicurezza.
I attackers esploreranno spesso per gli assistenti che forniscono i servizi sia al Internet che alle reti interne; il compromesso di questi sistemi concede al attacker una porta nell'organizzazione. Gli assistenti che fanno funzionare i servizi multipli inoltre sicurezza attuale rischia perché ogni servizio fornisce una porta potenziale in quel sistema particolare. È particolarmente importante esaminare la storia di un'applicazione o il servizio per le vulnerabilità di sicurezza. Il email, il fotoricettore, il DNS e gli assistenti del ftp hanno una storia lunga delle vulnerabilità ed il loro uso simultaneo su un singolo sistema fornisce parecchi punti di accesso per un attacker.
L'organizzazione e la disposizione della rete prende in considerazione l'esecuzione di questi componenti. Ciò include la disposizione e l'organizzazione fisiche dell'apparecchiatura e dei collegamenti della rete, così come il metodo da cui l'accesso del Internet è fornito. Identificare i requisiti di servizio di rete ed il rapporto tra gli utenti e questi servizi è importante alla sicurezza di un'architettura di rete.
Molti sistemi operativi ed arrivano configurato per difetto per fornire ogni servizio esso supporti, malgrado il fatto che bisogni di organizzazione raramente o usa tutti. Se un'organizzazione ha bisogno della compartecipazione della lima, della stampa, del fotoricettore e delle possibilità del email, gli assistenti che forniscono questi servizi dovrebbero avere tutti i loro altri servizi inabilitati. Se questi servizi sono forniti ai gruppi differenti all'interno dell'organizzazione o se una necessità libera per questi servizi di ripartire le informazioni non è stabilita, dovrebbero essere fatti funzionare sui sistemi e sulle reti differenti che riflettono i bisogni dei users'access.
Online: 714 users browsing the articles directory
|
|