Sem componentes da rede, não há nenhuma rede, e sem consideração para estes componentes, não há nenhuma segurança! A primeira etapa para uma topologia segura da rede é examinar os dispositivos e os sistemas usados executá-la. As seguintes considerações e tipos de equipamento são comuns a uma organização:
|
|
· Alcance dispositivos
· Dispositivos de segurança
· Usuários e sistemas
· Organização e disposição
O dispositivo do acesso é a parte de equipamento da rede que fornece o acesso e a intercomunicação do Internet entre redes e é o primeiro elemento requerido para uma organização Internet-acessível. As organizações não podem necessitar um dispositivo do acesso, mas se quiserem se comunicar com outras redes ou fornecer o acesso da parte externa aos empregados ou aos usuários do Internet, um dispositivo do acesso é needed. Os dispositivos do acesso vêm em muitos formulários; o mais comuns são modem e routers.
Há geralmente duas (ou mais) relações em um dispositivo do acesso. As relações a que a rede da organização conecta são consideradas a relação interna do router (ou do outro equipamento). As relações que conectam ao Internet Service Provider (ISP) são as relações externas. A rede interna compreende aqueles sistemas e equipamento no lado interno do router. A rede ou as redes acessível do Internet dão forma à rede externa.
O uso do dispositivo do acesso tem um efeito direto na segurança de uma topologia da rede porque ajuda definir o modelo do acesso do Internet usado na organização e é o primeiro ponto onde a defesa é needed. Há muitos modelos do acesso que os desenhadores podem usar, including o acesso exceção-baseado altamente restritivo, aberto, e uma combinação dentro entre. os modelos Exceção-baseados do acesso aplicam uma limitação do defeito que disallows todo o acesso, seguida por exceções para serviços e connectivity needed. Este é um método geralmente usado da proteção onde o guarda-fogo é configurarado para obstruir o tráfego a tudo com exceção de alguns protocolos e serviços especificados em sistemas específicos. Um exemplo do acesso exceção-baseado é disallow todo o tráfego ao web server à exceção do tráfego do TCP para mover 80 (o porto do protocolo e do serviço do IP (HTTP) que os usos do web server). os modelos Exceção-baseados do acesso são úteis nos ambientes simples da rede onde há pouca diversidade ou necessidade da rede para réguas filtrando complexas.
Um modelo aberto permite o acesso a todos a menos que proibido de outra maneira explicitamente. Este modelo focaliza somente nos serviços fornecidos por uma rede e por seus sistemas. Usa réguas do guarda-fogo reservar ou disallow o acesso das redes e dos sistemas específicos aos serviços explícitos tais como um web server ou um email e fornece o controle de acesso granular. Este modelo não fazem exame de nenhuma ação no restante dos portos e os protocolos que não são dentro o uso, entretanto, que pode apresentar um risco da segurança em alguns ambientes da rede.
Os seguintes exemplos demonstram a utilidade e os perigos de um acesso aberto modelam.
Em um ambiente simples da rede, onde o web server fosse conectado diretamente ao Internet, um modelo aberto pôde criar riscos desnecessários da segurança. Neste caso, o guarda-fogo permite o acesso ao web server das redes e dos sistemas amigáveis específicos, mas não afeta nenhum outro tráfego a ou do web server, including o tráfego hostil do Internet. Isto apresenta um perigo se um atacante comprometer o web server. O atacante pode então ajustar acima um serviço novo e desautorizado nesse sistema, que funciona não afetado pelo guarda-fogo. Um modelo exceção-baseado protegeria de encontro a este.
Os modelos abertos são úteis de fornecer o controle de acesso granular e de protegê-lo de encontro a tráfego desautorizado aos serviços específicos, como é usado frequentemente com usuários do Domain Name e usuários do email. Os usuários do Domain Name e os usuários do email têm frequentemente os relés secundários que fornecem o serviço aos sistemas do Internet e protegem o sistema preliminar da exposição ao Internet. Os sistemas preliminares podem ser configurarados com um modelo aberto do acesso que permita o tráfego da rede ao Domain Name e o email preste serviços de manutenção somente dos usuários do relé. Este exemplo supõe também que a topologia líquida do trabalho protege os usuários preliminares do ataque externo.
Há diversas escolas do pensamento ao determinar que modelo do acesso deve ser usado. O modelo exceção-baseado é mais restritivo e coloca o brunt das responsabilidades da segurança nas forças do guarda-fogo. O modelo aberto confia mais nos sistemas no uso assegurar que estão configurarados firmemente e fornecer a possibilidade mínima para o acordo e a modificação.
Os guarda-fogos, os usuários confidenciais virtuais da rede (VPN), e os sistemas da deteção do intrusion (IDS) são geralmente exemplos usados de dispositivos de segurança. Os guarda-fogos são usados proteger a rede interna das ameaças externas permitindo ou disallowing determinados tipos de tráfego e de dados da rede. Os guarda-fogos não são significados somente para a borda da rede, mas em qualquer lugar as limitações desse tráfego são requeridas ou recomendadas. Os dispositivos de VPN são usados fornecer o acesso remoto seguro do Internet aos usuários criando um túnel cifrado através de que o computador do telecontrole alcança a rede interna de uma organização. Os sistemas da deteção do intrusion fornecem a monitoração e a notificação ativas de ataques sabidos em sistemas e de redes prestando atenção a dados da rede. Estes dispositivos fornecem primeiro e a maioria de nível óbvio da segurança e são vitais a toda a topologia da rede.
Os usuários e os sistemas são todos os computadores usados dentro da organização. Estes sistemas incluem a correia fotorreceptora, o correio, o início de uma sessão, os usuários da lima e da impressora, computadores desktop, e sistemas de gerência da rede. As exigências para estes sistemas influenciam a arquitetura de rede e incluem os serviços de rede oferecidos, e ditam também a quem o acesso é fornecido. Cada serviço fornecido afeta a segurança da rede e do sistema em que funciona. A consideração dada a estes efeitos resulta em uma arquitetura de rede que minimize os riscos e os efeitos de uma ruptura da segurança.
Os atacantes farão a varredura frequentemente para os usuários que fornecem serviços ao Internet e às redes internas; o acordo destes sistemas permite ao atacante uma entrada na organização. Os usuários que funcionam serviços múltiplos também a segurança atual arriscam porque cada serviço fornece uma entrada potencial nesse sistema particular. É particularmente importante examinar o history de uma aplicação ou o serviço para vulnerabilities da segurança. O email, a correia fotorreceptora, o DNS, e os usuários do ftp têm um history longo dos vulnerabilities, e seu uso simultâneo em um único sistema fornecem diversos pontos de acesso para um atacante.
A organização e a disposição da rede fazem exame na consideração da execução destes componentes. Isto inclui a colocação e a organização físicas do equipamento e da fiação da rede, as.well.as o método por que o acesso do Internet é fornecido. Identificar exigências do serviço de rede e o relacionamento dos usuários a estes serviços é importante para a segurança de uma arquitetura de rede.
Muitos sistemas operando-se e chegam configurarado pelo defeito para fornecer cada serviço ele sustentações, apesar do fato que necessidades de uma organização raramente ou usam todo. Se uma organização necessitar compartilhar da lima, imprimir, correia fotorreceptora, e potencialidades do email, os usuários que fornecem estes serviços devem ter todos seus serviços restantes incapacitados. Se estes serviços estiverem fornecidos aos grupos diferentes dentro da organização ou se uma necessidade desobstruída para estes serviços compartilhar da informação não estiver estabelecida, devem ser funcionados nos sistemas e nas redes diferentes que refletem as necessidades dos users'access.
Online: 338 users browsing the articles directory
|
|