La séparation des réseaux vient souvent sous forme de fonctionnalité spécialisée de réseau telle que la gestion de réseau, la surveillance, et l'accès à distance. L'accès à ces fonctions peut mériter la séparation du reste de l'infrastructure de réseau. Les différents domaines d'émission et nombres de réseau communiquent parmi l'un l'autre par l'intermédiaire des couteaux et en ajoutant les interfaces supplémentaires de réseau aux serveurs et à l'équipement de réseau.
|
|
La gestion de réseau se rapporte à la commande, à la configuration et à l'entretien du matériel de réseau utilisé dans toute une organisation. Plusieurs de ces dispositifs fournissent le réseau, la borne, et l'accès du Web navigateur-based pour les administrer et configurer. Il est recommandé rejettent la capacité de contrôler ces dispositifs de l'Internet et d'autres réseaux in-band. La gestion de réseau in-band se produit quand les administrateurs relient au dispositif plus d'un des réseaux ces les services de dispositif. La gestion in-band d'un couteau, par exemple, se produit quand l'administrateur se relie à lui de l'Internet au-dessus de l'interface externe ou du réseau interne au-dessus de l'interface interne. On ne devrait pas permettre la gestion à distance d'un couteau qui attache l'Internet à un réseau de service ou au réseau interne de l'Internet. Bien que les étrangers ne puissent pas accéder au couteau directement de l'Internet, ils peuvent lui accéder d'un système Internet-accessible dans le réseau de service. Le compromis d'un système réseau-basé par service fournit à l'attaquant l'accès à l'équipement de réseau. Si possible, il est le meilleur pour établir un réseau de gestion sur une troisième interface de réseau et pour limiter l'accès de gestion au couteau seulement de ce réseau spécial.
Un réseau de gestion est souvent un raccordement physique séparé aux dispositifs et sur ce qui il y a seulement une poignée de stations consacrées de gestion. Aucun autre réseau ne devrait avoir la connectivité au réseau de gestion, à moins que commandé par un simple, système de haut-sécurité ; l'accès se produit autrement par la présence physique à une des stations de gestion. L'utilisation d'un réseau de gestion limite sévèrement la capacité d'un attaquant d'accéder aux systèmes et à l'équipement importants, qui diminue le risque de compromis.
La surveillance de réseau est une fonction utile qui facilite la sécurité d'un réseau en corrigeant des problèmes et en maintenant l'exécution. La séparation des données de réseau peut gêner la capacité de surveiller des sections du réseau. Par conséquent, il est important de considérer ce que la surveillance devrait être employée et où et pour incorporer les changements ou l'équipement requis à l'architecture de réseau.
Plusieurs méthodes de surveillance de réseau devraient être considérées, aussi bien que leur placement dans la conception du réseau. La détection d'intrusion est une innovation relativement nouvelle qui est s'avérer utile dans le réseau. Ces systèmes de détection d'intrusion (identifications) sont placés dans tout le réseau et surveillent activement pour les signes connus de l'attaque. Le placement de l'des identifications est souvent utile aux points d'accès de réseau, y compris le réseau de service, près de l'intérieur et de l'extérieur des murs à l'épreuve du feu, des dispositifs d'accès à distance comprenant VPNs et cadran-dans des serveurs, et des systèmes principaux proches. Les murs à l'épreuve du feu agissent également en tant que forme de surveillance pour un réseau. Leur rôle est plus en activité du fait ils manoeuvrent le trafic de réseau en permettant ou en rejetant à l'information de passer à travers. Les effets de beaucoup d'attaques peuvent être limités par l'analyse régulière et fréquente de ces méthodes de surveillance, y compris l'analyse de notation et la configuration de l'équipement pour informer des administrateurs en cas d'un état d'attaque.
D'autres considérations pour surveiller incluent la capacité pour que les administrateurs surveillent le trafic de réseau et de l'analysent pour des insécurités en tant qu'élément de l'entretien régulier. Le réseau et son exécution affectent la capacité de surveiller le trafic de cette façon. L'équipement de réseau soutient souvent la surveillance avec SNMP et RMON, deux protocoles normalisés utilisés à cette fin. Une méthode finale de surveillance de réseau est par l'intermédiaire des suites complexes de logiciel de gestion de réseau. Ces paquets emploient un certain nombre de de différents protocoles et méthodes pour acquérir et analyser l'information et pour fournir l'alerte et les réponses rapides aux conditions anormales. Ces outils utilisent souvent les agents spéciaux qui fonctionnent en même temps que les systèmes et l'équipement étant surveillés ; ces paquets ne sont pas affectés par l'orientation physique du réseau, cependant.
Si des méthodes d'accès à distance sont nécessaires dans l'organisation, les méthodes pour la fournir devraient être considérées pendant la création de l'architecture de réseau. Deux méthodes sont généralement employées : Solutions de VPN et cadran-dans l'accès de modem. Les solutions de VPN viennent sous deux formes—l'application de dispositif câblé et de logiciel. Le dispositif du matériel VPN fournit plusieurs avantages ; c'est un dispositif spécialisé qui souvent fournit un niveau élevé d'exécution et incorpore ses propres méthodes de sécurité. La solution du logiciel VPN fonctionne comme application ou service sur les systèmes existants de serveur et se fonde souvent sur les mécanismes de sécurité de son logiciel d'exploitation respectif.
Les effets sur l'architecture de réseau exigée pour soutenir un VPN sont semblables pour chaque solution. Des dispositifs de VPN peuvent plus facilement être intégrés d'une façon bloquée dans l'environnement de réseau parce que l'accès à et la commande du dispositif plus facilement sont dictés. Le service de logiciel exige plus d'attention. Pour réaliser la sécurité la plus élevée, le logiciel de VPN devrait fonctionner sur un serveur consacré et être traité pendant qu'un dispositif sans autre entretient le présent. Le logiciel d'exploitation devrait être configuré d'une façon bloquée et aucun autre service intérieurement utilisé ne devrait être couru sur le système afin d'empêcher l'accès au réseau interne. Des solutions du logiciel VPN sont affectées par les vulnérabilités du logiciel d'exploitation aussi bien que toutes les insécurités dans le logiciel.
Cadran-dans l'appui par l'intermédiaire des modems et de l'accès les serveurs fournit un raccordement direct au réseau interne. Les considérations pour cadran-dans des méthodes incluent l'utilisation d'un réseau de gestion de commander le dispositif pour le protéger contre les changements de configuration non autorisés. Cadran-dans le serveur compte souvent sur d'autres serveurs sur le réseau pour fournir l'authentification de ses utilisateurs. Le chemin de réseau utilisé pour l'authentification devrait également être privé. En conclusion, cadran-dans des serveurs rejetez les réseaux à distance pour conduire le trafic à travers le leur cadran-dans des lignes. Les attaquants emploieront souvent le logiciel "guerre-composant" pour balayer des numéros de téléphone pour cadran-dans des serveurs. Tandis que le balayage ne peut pas être empêché, l'organisation et la configuration appropriées de cadran-dans l'équipement limiteront le risque de compromis.
Il y a plusieurs attention reçu au placement de VPN et cadran-dans des systèmes afin de protéger le réseau interne. En définissant l'architecture de réseau, les concepteurs devraient identifier la fonctionnalité soutenue et fournie par l'accès à distance. VPNs peut fournir l'accès transparent à toutes les ressources d'un réseau, permettant au système à distance d'apparaître et fonctionner pendant qu'il s'il étaient physiquement plac à l'organisation. Cadran-dans l'accès, à moins que combiné avec une solution de VPN, est souvent employé pour fournir des services plus limités tels que l'accès d'email et de Web. En dépit des différences dans les méthodes, tous les deux assurent le même accès de base—de fonctionnalité à partir des réseaux et des endroits à distance et méfieés. Par conséquent, il est recommandé de placer des serveurs d'accès à distance sur un réseau séparé et de commander l'accès aux équipements qu'il emploie. Le réseau précédemment mentionné de gestion devrait également être employé pour commander et configurer ces systèmes.
Le placement de l'équipement d'accès à distance suit la même logique utilisée pour l'autre équipement de réseau : la limitation des effets si une attaque se produit. Les attaquants essayeront de trouver les cibles qui leur fournissent la plupart d'accès aux autres systèmes et équipement. Les dispositifs d'accès à distance sont facilement les cibles identifiables et devraient être protégés en juste proportion.
Online: 389 users browsing the articles directory
|
|