Компоненты сети

Без сетевых компонентов, нет сети, а без учета этих компонентов нет безопасности! Первый шаг к безопасной сетевой топологии заключается в изучении устройства и системы, используемые для его выполнения. Следующие соображения и типов оборудования, общих для организации:

· Доступ устройств

· Безопасности устройства

· Серверы и системы

· Организация и структура

Доступ Devices

Доступ устройство - кусок сетевого оборудования, которая обеспечивает доступ в Интернет и междуэтажных между сетями и является первым элементом, необходимых для доступной через Интернет организации. Организаций могут не нужен устройства доступа, но если они хотят общаться с другими сетями или предоставить доступ извне для сотрудников или пользователей Интернета, доступ устройство необходимо. Доступ устройств прийти во многих формах; Наиболее распространенными являются модемов и маршрутизаторов.

Есть обычно два (или более) интерфейсов на устройства доступа. В интерфейсов, в которой сеть организации подключается считаются внутреннего интерфейса маршрутизатора (или другого оборудования). В интерфейсов, что соединение с поставщиком услуг Интернета (ISP) являются внешние интерфейсы. Внутренняя сеть включает в себя эти системы, и оборудование на внутренней стороне маршрутизатора. Сеть или сети доступных из Интернета форму внешней сети.

Использование этого устройства доступа оказывает непосредственное воздействие на безопасность сетевой топологии, поскольку она помогает определить доступ в Интернет модели, используемой в организации и является первой точкой, где необходима защита. Есть доступ многих дизайнеров модели, которые можно использовать, в том числе весьма ограниченными исключением основе доступа, открытых, и сочетание между ними. Исключение - доступ модели применяется по умолчанию ограничений, который запрещает всем доступ, а затем исключения необходимых услуг и связи. Это широко используемый метод защиты, когда брандмауэр сконфигурирован блокировать трафик для всех, кроме нескольких указанных протоколов и услуг на конкретных систем. Примером исключения на основе доступа, чтобы запретить весь трафик на веб-сервер за исключением TCP трафик порта 80 (ИС протокола и службы порта (HTTP), что Web сервер использует). Исключение - доступ модели полезны в простых условиях, когда сети мало разнообразия сети или необходимости сложные правила фильтрации.

Открытая модель позволяет доступ для всех, если иное прямо запрещено. Эта модель посвящен только услуг сети и их систем. Он использует брандмауэр правил заблокировать или разрешить доступ из конкретных сетей и систем четко услуг, таких как веб-сервер или электронной почте и обеспечивает гранулированный контроль доступа. Эта модель не принимает никаких решений по оставшейся части портов и протоколов, которые не используются, однако, которые могут представлять собой угрозу безопасности в некоторых сетевых средах.

Следующие примеры свидетельствуют о полезности и опасности открытого доступа модели.

В простой сетевой среде, где веб-сервер подключен непосредственно к Интернету, открытой модели может создавать ненужных рисков безопасности. В этом случае брандмауэр разрешает доступ к Web серверу из конкретных дружественных сетей и систем, но никак не повлияет на другие движения или от веб-сервера, в том числе враждебных трафик из Интернета. Это представляет собой опасность, если злоумышленник компромиссы Веб сервера. Нападавший может создать новую и несанкционированного службы по этой системе, которая проходит независимо от брандмауэра. Исключение модель будет защищать против этого.

Открыть модели целесообразно предусмотреть гранулированного контроля доступа и защиты от несанкционированного трафика конкретных услуг, как это часто используется в серверах домена и серверами электронной почты. Доменное имя сервера и почтовые серверы часто имеют среднее реле, которые предоставляют услуги Интернет систем и защиты системы начального воздействия Интернета. Основная системы могут быть настроены с открытой модель доступа, что позволяет сети на доменное имя и служб электронной почты только из ретрансляционных серверов. Этот пример также предполагает, что сеть топологии защищает основную серверов от внешнего нападения.

Есть несколько школ мысли, которые при определении модели доступа следует использовать. Исключение модель является более ограничительным и возлагает бремя ответственности безопасности на межсетевом экране сильных. Такую открытую модель в большей степени полагается на использование в системах заверить, что они настроены надежно и обеспечивать минимальные возможности для компромисса и модификации.

Предохранительные устройства

Межсетевые экраны, Virtual Private Network (VPN) серверов, и систем обнаружения вторжений (IDS) обычно используются примеры устройств безопасности. Межсетевые экраны используются для защиты внутренней сети от внешних угроз, разрешая или запрещение определенных видов сетевого трафика и данных. Межсетевые экраны не только на границе сети, но нигде ограничений движения, которые требуются или рекомендуются. VPN устройств, которые используются для обеспечения безопасного удаленного доступа через Интернет для пользователей посредством создания шифрованного туннеля, через который удаленному компьютеру доступ к внутренней сети организации. Intrusion систем обнаружения обеспечения активного контроля и уведомления о нападениях на известных систем и сетей путем просмотра сети данных. Эти устройства обеспечивают первый и наиболее очевидный уровень безопасности и являются жизненно важными для любой сетевой топологии.

Серверы и системы

Серверы и системы всех компьютеров, используемых в организации. Эти системы включают Web, почта, вход, файлов и серверов печати, настольные компьютеры, сети и системы управления. Требования к этим системам влияет на архитектуру сети и включить сеть услуг, и они также требуют к которым предоставляется доступ. Каждый услуг сказывается на безопасности сети и системы, по которым она проходит. Рассмотрение учетом этих последствий результатов в сетевой архитектуры, чтобы свести к минимуму риски и последствия нарушения безопасности.

Злоумышленники часто сканирования серверов, предоставляющих услуги Интернет, так и внутренних сетей; Компромисс этих систем позволяет атакующему один портала в организации. Серверы, которые противоречат нескольких служб также рисков безопасности, поскольку каждый сервис предоставляет потенциал портала, в частности, что системы. Это особенно важно для изучения истории заявки или службы безопасности уязвимостей. Электронная почта, Web, DNS и FTP серверов уже давно уязвимости, а также их одновременного использования в одной системе содержит несколько пунктов доступа к злоумышленнику.

Организация и макета

Организация и структура сети учитывает выполнение этих компонентов. Это включает физическое размещение и организацию работы сетевого оборудования и проводки, а также метод, посредством которого доступ в Интернет предоставляется. Определение сетевой службы потребности и взаимоотношения пользователей этих услуг имеет важное значение для безопасности сетевой архитектуры.

Многие операционные системы и прибыть в настройках по умолчанию для обеспечения каждого сервиса она поддерживает, несмотря на то, что организация нуждается редко или использует все из них. Если потребности организации совместного использования файлов, печати, Интернета, электронной почты и возможностей серверов, оказывающие эти услуги должны иметь все их прочие услуги инвалидам. Если эти услуги предоставляются различными группами внутри организации или если явной необходимости этих услуг для обмена информацией не создана, они должны размещаться на различных систем и сетей, которые отражают users'access потребностей.