La separación de redes viene a menudo en la forma de funcionalidad especializada de la red tal como dirección de la red, supervisión, y acceso alejado. El acceso a estas funciones puede merecer la separación del resto de la infraestructura de la red. Los diversos dominios de la difusión y números de la red se comunican entre uno a vía las rebajadoras y agregando interfaces adicionales de la red a los servidores y al equipo de la red.
|
|
La dirección de la red refiere al control, a la configuración y al mantenimiento del hardware de la red usado a través de una organización. Muchos de estos dispositivos proporcionan la red, el terminal, y el acceso browser-basado Web para administrarlos y para configurar. Es recomendable rechaza la capacidad de manejar estos dispositivos del Internet y de otras redes in-band. La dirección de la red in-band ocurre cuando los administradores conectan con el dispositivo sobre una de las redes esas los servicios del dispositivo. La gerencia in-band de una rebajadora, por ejemplo, ocurre cuando el administrador conecta con ella del Internet sobre el interfaz externo o de la red interna sobre el interfaz interno. La gerencia alejada de una rebajadora que ate el Internet a una red del servicio o a la red interna no se debe permitir del Internet. Aunque los forasteros no pueden tener acceso a la rebajadora directamente del Internet, pueden tenerle acceso de un sistema Internet-accesible en la red del servicio. El compromiso de un sistema red-basado servicio provee del atacante el acceso al equipo de la red. Si es posible, es el mejor establecer una red de la gerencia en un tercer interfaz de la red y restringir el acceso de la gerencia a la rebajadora solamente de esa red especial.
Una red de la gerencia es a menudo una conexión física separada a los dispositivos y en cuáles allí son solamente un puñado de estaciones dedicadas de la gerencia. Ninguna otra red debe tener conectividad a la red de la gerencia, a menos que esté controlada con un solo, sistema de la alto-seguridad; el acceso ocurre de otra manera por presencia física a la una de las estaciones de la gerencia. El uso de una red de la gerencia limita seriamente la capacidad de un atacante de tener acceso a sistemas y al equipo importantes, que disminuye el riesgo del compromiso.
La supervisión de la red es una función útil que ayuda en la seguridad de una red eliminando errores de problemas y manteniendo funcionamiento. La separación de los datos de la red puede obstaculizar la capacidad de supervisar las secciones de la red. Por lo tanto, es importante considerar lo que debe ser utilizada la supervisión y donde e incorporar los cambios o el equipo requeridos en la arquitectura de red.
Varios métodos de supervisión de la red se deben considerar, así como su colocación en el diseño de la red. La detección de la intrusión es relativamente una nueva innovación que es el probar útil en la red. Estos sistemas de la detección de la intrusión (identificaciones) se ponen a través de la red y supervisan activamente para las muestras sabidas del ataque. La colocación del las identificaciones es a menudo útil en los puntos de acceso de red, incluyendo la red del servicio, cerca del interior y del exterior de cortafuegos, de dispositivos del acceso alejado incluyendo VPNs y dial-en los servidores, y de sistemas dominantes cercanos. Los cortafuegos también actúan como forma de supervisión para una red. Su papel es más activo en que manipulan tráfico de la red permitiendo que o rechazando la información pase a través. Los efectos de muchos ataques se pueden limitar por el análisis regular y frecuente de estos métodos de supervisión, incluyendo análisis del registro y la configuración del equipo para notificar a administradores en el acontecimiento de una condición del ataque.
Otras consideraciones para supervisar incluyen la capacidad para que los administradores supervisen tráfico de la red y lo analicen para las inseguridades como parte del mantenimiento regular. La red y su puesta en práctica afectan la capacidad de supervisar tráfico de esta manera. El equipo de la red apoya a menudo la supervisión con SNMP y RMON, dos protocolos estandardizados usados para este propósito. Un método final de supervisión de la red está vía habitaciones complejas del software de la dirección de la red. Estos paquetes utilizan un número de diversos protocolos y métodos para adquirir y para analizar la información y para proporcionar alarma y respuestas rápidas a las condiciones anómalas. Estas herramientas utilizan a menudo los agentes especiales que funcionan conjuntamente con los sistemas y el equipo que son supervisados; estos paquetes no son afectados por la orientación física de la red, sin embargo.
Si los métodos de acceso alejado se necesitan en la organización, los métodos para proporcionarla se deben considerar durante la creación de la arquitectura de red. Dos métodos se utilizan comúnmente: Soluciones de VPN y dial-en el acceso del módem. Las soluciones de VPN vienen en dos formas—el uso del dispositivo y del software de hardware. El dispositivo del hardware VPN proporciona varias ventajas; es un dispositivo especializado que proporciona un alto nivel del funcionamiento e incorpora a menudo sus propios métodos de la seguridad. La solución del software VPN funciona como un uso o servicio en sistemas existentes del servidor y confía a menudo en los mecanismos de la seguridad de su sistema operativo respectivo.
Los efectos sobre la arquitectura de red requerida para apoyar un VPN son similares para cada solución. Los dispositivos de VPN se pueden integrar más fácilmente de una manera segura en el ambiente de la red porque el acceso a y el control del dispositivo se dictan más fácilmente. El servicio del software requiere más atención. Para alcanzar la seguridad más alta, el software de VPN debe funcionar en un servidor dedicado y ser tratado mientras que un dispositivo sin otro mantiene el presente. El sistema operativo se debe configurar de una manera segura y ningunos otros servicios internamente usados se deben funcionar en el sistema para prevenir el acceso a la red interna. Las soluciones del software VPN son afectadas por las vulnerabilidades del sistema operativo así como cualquier inseguridad en el software.
Dial-en ayuda vía los módems y el acceso los servidores proporcionan una conexión directa a la red interna. Las consideraciones para dial-en los métodos incluyen el uso de una red de la gerencia de controlar el dispositivo para protegerlo contra cambios de configuración desautorizados. Dial-en el servidor confía a menudo en otros servidores en la red para proporcionar la autentificación de sus usuarios. La trayectoria de la red usada para la autentificación debe también ser privada. Finalmente, dial-en los servidores rechace las redes alejadas para encaminar tráfico a través de su dial-en líneas. Los atacantes utilizarán a menudo software "guerra-que marca" para explorar los números de teléfono para dial-en los servidores. Mientras que la exploración no puede ser prevenida, la organización y la configuración apropiadas dial-en del equipo limitarán el riesgo del compromiso.
Hay varias consideraciones dadas a la colocación de VPN y dial-en sistemas para proteger la red interna. Al definir la arquitectura de red, los diseñadores deben identificar la funcionalidad apoyada y proporcionada por el acceso alejado. VPNs puede proporcionar el acceso transparente a todos los recursos de una red, permitiendo que el sistema alejado aparezca y funcione mientras que si fue establecido físicamente en la organización. Dial-en el acceso, a menos que esté combinado con una solución de VPN, se utiliza a menudo proporcionar servicios más limitados tales como acceso del email y del Web. A pesar de las diferencias en métodos, ambos proveen el mismo acceso básico—de la funcionalidad de redes y de localizaciones alejadas, desconfianza. Por lo tanto, es recomendable colocar los servidores del acceso alejado en una red separada y controlar el acceso a las instalaciones que utiliza. La red previamente mencionada de la gerencia se debe también utilizar para controlar y para configurar estos sistemas.
La colocación del equipo del acceso alejado sigue la misma lógica usada para el otro equipo de la red: la limitación de los efectos si ocurre un ataque. Los atacantes procurarán encontrar las blancos que proveen de ellas la mayoría del acceso a los otros sistemas y equipo. Los dispositivos del acceso alejado son fácilmente blancos identificables y se deben proteger adecuadamente.
Online: 600 users browsing the articles directory
|
|