.
Trennung der Netze kommt häufig in Form von fachkundiger Netzfunktionalität wie Netzführung, Überwachung und Fernzugriff. Zugang zu diesen Funktionen kann Trennung vom Rest der Netzinfrastrukturs verdienen. Unterschiedliche Sendung Gebiete und Netzzahlen stehen unter einander über Fräser in Verbindung und indem sie Extranetzschnittstellen Bedienern und Netzausrüstung hinzufügen.
Netzführung bezieht sich die Steuerung, die Konfiguration und die auf Wartung der Netzkleinteile, die während einer Organisation benutzt werden. Viele dieser Vorrichtungen liefern Netz, Anschluß und Netz Datenbanksuchroutine-gegründeten Zugang, um sie auszuüben und zusammenzubauen. Es ist mißbilligt die Fähigkeit, diese Vorrichtungen vom Internet und von anderen Inbandnetzen zu handhaben ratsam. Inbandnetzführung tritt auf, wenn die Verwalter an die Vorrichtung über einem der dieser Netze die Vorrichtung Dienstleistungen anschließen. Inbandmanagement eines Fräsers z.B. tritt auf, wenn der Verwalter an ihn vom Internet über der externen Schnittstelle oder vom internen Netz über der internen Schnittstelle anschließt. Fernverwaltung eines Fräsers, der das Internet an ein Service-Netz oder an internes Netz bindet, sollte nicht vom Internet erlaubt werden. Obgleich Außenseiter nicht den Fräser direkt vom Internet zugänglich machen können, können sie es von einem Internet-zugänglichen System im Service-Netz zugänglich machen. Kompromiß eines Service Netz-gegründeten Systems versieht den Angreifer mit Zugang zur Netzausrüstung. Wenn möglich, ist er, ein Managementnetz auf einer dritten Netzschnittstelle herzustellen am besten und Managementzugang zum Fräser von nur diesem speziellen Netz einzuschränken.
Ein Managementnetz ist häufig eine unterschiedliche ungesicherte Systemverbindung zu den Vorrichtungen und auf, welchen dort nur eine Handvoll engagierte Managementstationen sind. Kein anderes Netz sollte Konnektivität zum Managementnetz haben, es sei denn gesteuert durch ein einzelnes, Hochsicherheit System; Zugang tritt anders durch körperliche Anwesenheit bei einer der Managementstationen auf. Der Gebrauch von einem Managementnetz begrenzt streng die Fähigkeit eines Angreifers, wichtige Systeme und Ausrüstung zugänglich zu machen, die die Gefahr des Kompromisses verringert.
Die Netzüberwachung ist eine nützliche Funktion, die in der Sicherheit eines Netzes hilft, indem es Probleme ausprüft und Leistung beibehält. Die Trennung von Netzdaten kann die Fähigkeit hindern, Abschnitte des Netzes zu überwachen. Folglich ist es wichtig, zu betrachten, was die Überwachung verwendet werden sollte und wo und die erforderlichen Änderungen oder die Ausrüstung in die Netzwerkarchitektur enthalten.
Einige Methoden der Netzüberwachung sollten, sowie ihre Plazierung im Design des Netzes betrachtet werden. Eindringenabfragung ist eine verhältnismäßig neue Innovation, die die Prüfung ist, die im Netz nützlich ist. Diese Eindringenabfragung Systeme (Identifikation) werden während des Netzes gesetzt und überwachen aktiv bekannte Zeichen des Angriffs. Die Plazierung von Identifikation ist häufig an den Netzzugangpunkten, einschließlich das Service-Netz, nahe dem Innere und der Außenseite der Brandmauern, der Fernzugriffvorrichtungen einschließlich VPNs und Vorwahlknopf- in den Bedienern und der nahen Schlüsselsysteme nützlich. Brandmauern dienen auch als eine Form des Überwachens ein Netz. Ihre Rolle ist dadurch aktiver, daß sie Netzverkehr manipulieren, indem sie Informationen durch überschreiten lassen oder mißbilligen. Die Effekte vieler Angriffe können durch regelmäßige und häufige Analyse dieser überwachenmethoden, einschließlich Maschinenbordbuchanalyse und Konfiguration der Ausrüstung begrenzt werden, um Verwalter im Falle eines Angriff Zustandes mitzuteilen.
Andere Betrachtungen für die Überwachung schließen die Fähigkeit ein, damit Verwalter Netzverkehr überwachen und ihn für Unsicherheit als Teil der regelmäßigen Wartung analysieren. Das Netz und seine Implementierung beeinflussen die Fähigkeit, Verkehr auf diese Art zu überwachen. Netzausrüstung stützt häufig die Überwachung mit SNMP und RMON, zwei standardisierte Protokolle, die zu diesem Zweck verwendet werden. Eine abschließende Methode der Netzüberwachung ist über komplizierte Netzführung-Software-Suiten. Diese Pakete verwenden eine Anzahl von unterschiedlichen Protokollen und Methoden, um Informationen zu erwerben und zu analysieren und schnellen Alarm und Antworten zu den unregelmäßigen Bedingungen zur Verfügung zu stellen. Diese Werkzeuge verwenden häufig spezielle Mittel, die in Verbindung mit den Systemen und der Ausrüstung laufen, die überwacht wird; diese Pakete werden nicht durch die körperliche Lagebestimmung des Netzes, jedoch beeinflußt.
Wenn Fernzugriffmethoden in der Organisation benötigt werden, sollten die Methoden, zum sie bereitzustellen während der Kreation der Netzwerkarchitektur betrachtet werden. Zwei Methoden werden allgemein verwendet: VPN Lösungen und Vorwahlknopf- im Modemzugang. VPN Lösungen kommen in zwei Formen—die Hardwareeinheit- und Software-Anwendung. Die Vorrichtung der Kleinteile VPN liefert einigen Nutzen; es ist eine fachkundige Vorrichtung, die häufig ein hohes Niveau der Leistung liefert und seine eigenen Sicherheit Methoden enthält. Die Lösung der Software VPN läuft als Anwendung oder Service an vorhandenen Bedienersystemen und beruht häufig auf den Sicherheit Einheiten seines jeweiligen Betriebssystems.
Die Effekte auf die Netzwerkarchitektur, die erfordert wird, um ein VPN zu stützen, sind für jede Lösung ähnlich. VPN Vorrichtungen können in einer sicheren Weise in das Netzklima leicht integriert werden, weil der Zugang zu und die Steuerung der Vorrichtung leicht vorgeschrieben werden. Der Software-Service erfordert mehr Aufmerksamkeit. Um die höchste Sicherheit zu erzielen, sollte die VPN Software auf einen engagierten Bediener laufen und behandelt werden während eine Vorrichtung ohne andere Geschenk instandhält. Das Betriebssystem sollte in einer sicheren Weise zusammengebaut werden und keine anderen innerlich verwendeten Dienstleistungen sollten auf das System laufen gelassen werden, um Zugang zum internen Netz zu verhindern. Lösungen der Software VPN werden durch die Verwundbarkeit des Betriebssystems sowie jede mögliche Unsicherheit in der Software beeinflußt.
Vorwahlknopf- in der Unterstützung über Modem und Zugang stellt Bediener einen direkten Anschluß zum internen Netz zur Verfügung. Die Betrachtungen für Vorwahlknopf-in Methoden schließen den Gebrauch von einem Managementnetz ein, die Vorrichtung zu steuern, um sie vor nicht autorisierten Konfiguration Änderungen zu schützen. Vorwahlknopf- im Bediener baut häufig auf andere Bediener im Netz, um Authentisierung seiner Benutzer zur Verfügung zu stellen. Der Netzweg, der für Authentisierung benutzt wird, sollte privat auch sein. Schließlich Vorwahlknopf- in den Bedienern Netze mit größerer geographischer Ausdehnung mißbilligen Sie, um Verkehr über ihrem Vorwahlknopf- in den Linien zu verlegen. Angreifer benutzen häufig "Krieg-wählende" Software, um Telefonnummern für Vorwahlknopf-in Bediener abzulichten. Während die Abtastung nicht verhindert werden kann, begrenzen die korrekte Organisation und die Konfiguration Vorwahlknopf- in der Ausrüstung die Gefahr des Kompromisses.
Es gibt einige Betrachtungen, die zur Plazierung von VPN und Vorwahlknopf- in den Systemen gegeben werden, um das interne Netz zu schützen. Wenn sie die Netzwerkarchitektur definieren, sollten die Entwerfer die Funktionalität kennzeichnen, die vom Fernzugriff gestützt wird und bereitgestellt ist. VPNs kann transparenten Zugang zu allen Betriebsmittel eines Netzes zur Verfügung stellen und das ferninstallierte System erscheinen und arbeiten lassen, während es wurde, wenn es physikalisch an der Organisation saß. Vorwahlknopf- im Zugang es sei denn kombiniert mit einer VPN Lösung, wird häufig verwendet, begrenztere Services wie email und Netzzugang zur Verfügung zu stellen. Trotz der Unterschiede bezüglich der Methoden, liefern beide den gleichen grundlegenden Funktionalität—Zugang von den Remote-, mißtrauten Netzen und von den Positionen. Folglich ist es ratsam, Fernzugriffbediener auf ein Einzelnetz zu setzen und Zugang zum Service zu steuern, die er benutzt. Das vorher erwähnte Managementnetz sollte auch benutzt werden, um diese Systeme zu steuern und zusammenzubauen.
Die Plazierung der Fernzugriffausrüstung folgt der gleichen Logik, die für andere Netzausrüstung verwendet wird: die Beschränkung der Effekte, wenn ein Angriff auftritt. Angreifer versuchen, die Ziele zu finden, die sie mit dem meisten Zugang zu anderen Systemen und zu Ausrüstung versehen. Fernzugriffvorrichtungen sind leicht identifizierbare Ziele und sollten ausreichend geschützt werden.
Online: 378 users browsing the articles directory
. |