La separazione delle reti viene spesso sotto forma di funzionalità specializzata della rete quali l'amministrazione di rete, il controllo e l'accesso a distanza. L'accesso a queste funzioni può meritare la separazione dal resto dell'infrastruttura della rete. I dominii di radiodiffusione ed i numeri differenti della rete comunicano fra a vicenda via i routers ed aggiungendo le interfacce supplementari della rete agli assistenti ed alle attrezzature della rete.
|
|
L'amministrazione di rete si riferisce al controllo, alla configurazione ed alla manutenzione dei fissaggi della rete utilizzati durante un'organizzazione. Molti di questi dispositivi forniscono la rete, il terminale e l'accesso browser-basato fotoricettore per amministrarli e configurare. È consigliabile respinge la capacità di controllare questi dispositivi dal Internet e da altre reti in-band. L'amministrazione di rete in-band accade quando i coordinatori collegano al dispositivo oltre una delle reti quelle i servizi del dispositivo. L'amministrazione in-band di un router, per esempio, accade quando il coordinatore collega ad esso dal Internet sopra l'interfaccia esterna o dalla rete interna sopra l'interfaccia interna. L'amministrazione a distanza di un router che lega il Internet ad una rete di servizio o alla rete interna non dovrebbe essere permessa dal Internet. Anche se gli stranieri non possono accedere al router direttamente dal Internet, possono accedergli da un sistema Internet-accessibile nella rete di servizio. Il compromesso di un sistema rete-basato servizio fornisce al attacker accesso all'apparecchiatura della rete. Se possibile, è meglio stabilire una rete dell'amministrazione su una terza interfaccia della rete e limitare l'accesso dell'amministrazione al router soltanto da quella rete speciale.
Una rete dell'amministrazione è spesso un collegamento fisico separato ai dispositivi e su quale là sono soltanto una manciata di stazioni dedicate dell'amministrazione. Nessuna altra rete dovrebbe avere connettività alla rete dell'amministrazione, a meno che controllato con un singolo, sistema di alto-sicurezza; l'accesso si presenta al contrario da presenza fisica ad una delle stazioni dell'amministrazione. L'uso di una rete dell'amministrazione limita severamente la capacità di un attacker di accedere ai sistemi ed alle attrezzature importanti, che fanno diminuire il rischio di compromesso.
Il controllo della rete è una funzione utile che aiuta nella sicurezza di una rete mettendo a punto i problemi ed effettuando le prestazioni. La separazione dei dati della rete può ostacolare la capacità di controllare le sezioni della rete. Di conseguenza, è importante considerare che cosa controllare dovrebbe essere usato e dove ed incorporare i cambiamenti o le attrezzature richiesti nell'architettura di rete.
Parecchi metodi di controllo della rete dovrebbero essere considerati, così come la loro disposizione nel disegno della rete. La rilevazione di intrusione è un'innovazione relativamente nuova che è risultare utile nella rete. Questi sistemi di rilevazione di intrusione (identificazioni) sono disposti durante la rete ed attivamente controllano per i segni conosciuti dell'attacco. La disposizione dell'identificazioni è spesso utile ai punti di accesso della rete, compreso la rete di servizio, vicino alla parte interna ed alla parte esterna delle pareti refrattarie, dei dispositivi di accesso a distanza compreso VPNs e manopola- negli assistenti e dei sistemi chiave vicini. Le pareti refrattarie inoltre fungono da forma di controllo per una rete. Il loro ruolo è più attivo in quanto maneggiano il traffico della rete permettendo che o respingendo le informazioni passino attraverso. Gli effetti di molti attacchi possono essere limitati da analisi normale e frequente di questi metodi di controllo, compreso analisi del ceppo e la configurazione dell'apparecchiatura per informare i coordinatori in caso di uno stato di attacco.
Altre considerazioni per il controllo includono la capacità affinchè i coordinatori controllino il traffico della rete e di analizzarlo per le insicurezze come componente della manutenzione normale. La rete e la relativa esecuzione interessano la capacità di controllare il traffico in questo modo. L'apparecchiatura della rete sostiene spesso il controllo con lo SNMP e RMON, due protocolli standardizzati usati a questo fine. Un metodo finale di controllo della rete è via i suites complessi del software dell'amministrazione di rete. Questi pacchetti usano un certo numero di protocolli e di metodi differenti per acquisire ed analizzare le informazioni e fornire l'allarme e le risposte veloci alle circostanze anomale. Questi attrezzi utilizzano spesso gli agenti speciali che funzionano insieme con i sistemi e le attrezzature che sono controllati; questi pacchetti non sono influenzati dall'orientamento fisico della rete, tuttavia.
Se i metodi di accesso a distanza sono necessari nell'organizzazione, i metodi per fornirli dovrebbero essere considerati durante la creazione dell'architettura di rete. Due metodi sono usati comunemente: Soluzioni di VPN e manopola- in accesso del modem. Le soluzioni di VPN vengono in due forme—l'applicazione del dispositivo e del software di fissaggi. Il dispositivo dei fissaggi VPN fornisce parecchi benefici; è un dispositivo specializzato che spesso fornisce un livello elevato delle prestazioni e comprende i relativi propri metodi di sicurezza. La soluzione del software VPN funziona come un'applicazione o servizio dei sistemi attuali dell'assistente e spesso conta sui meccanismi di sicurezza del relativo sistema operativo rispettivo.
Gli effetti sull'architettura di rete richiesta per sostenere un VPN sono simili per ogni soluzione. I dispositivi di VPN possono essere integrati più facilmente in un modo sicuro nell'ambiente della rete perché l'accesso a ed il controllo del dispositivo sono dettati più facilmente. Il servizio del software richiede più attenzione. Per realizzare l'più alta sicurezza, il software di VPN dovrebbe funzionare su un assistente dedicato ed essere trattare come un dispositivo senza altro assiste il presente. Il sistema operativo dovrebbe essere configurato in un modo sicuro e nessun altro servizio internamente usato dovrebbe essere fatto funzionare sul sistema per impedire l'accesso alla rete interna. Le soluzioni del software VPN sono influenzate dalle vulnerabilità del sistema operativo così come tutte le insicurezze nel software.
Manopola- in supporto via i modem e l'accesso gli assistenti fornisce un collegamento diretto alla rete interna. Le considerazioni per manopola- nei metodi includono l'uso di una rete dell'amministrazione controllare il dispositivo per proteggerlo dai cambiamenti di configurazione non autorizzati. Manopola- nell'assistente conta spesso su altri assistenti sulla rete per fornire l'autenticazione dei relativi utenti. Il percorso della rete utilizzato per l'autenticazione dovrebbe anche essere riservato. Per concludere, manopola- negli assistenti respinga le reti a distanza per dirigere il traffico attraverso il loro manopola- nelle linee. I attackers useranno spesso il software "guerra-componente" per esplorare i numeri di telefono per manopola- negli assistenti. Mentre l'esame non può essere evitato, l'organizzazione e la configurazione adeguate manopola- in apparecchiatura limiteranno il rischio di compromesso.
Ci sono parecchie considerazioni date alla disposizione di VPN e manopola- nei sistemi per proteggere la rete interna. Nel definire l'architettura di rete, i progettisti dovrebbero identificare la funzionalità sostenuta e fornita dall'accesso a distanza. VPNs può fornire l'accesso trasparente a tutte le risorse di una rete, permettendo che il sistema a distanza compaia e funzioni mentre se fosse posizionato fisicamente all'organizzazione. Manopola- in accesso, a meno che unito con una soluzione di VPN, sia usato spesso fornire i servizi più limitati quali il email e l'accesso di fotoricettore. Malgrado le differenze nei metodi, entrambi assicurano lo stesso accesso di base—di funzionalità dalle reti e dalle posizioni a distanza e diffidate. Di conseguenza, è consigliabile disporre gli assistenti di accesso a distanza su una rete separata e controllare l'accesso alle facilità che usa. La rete precedentemente accennata dell'amministrazione dovrebbe anche essere usata per controllare e configurare questi sistemi.
La disposizione dell'apparecchiatura di accesso a distanza segue la stessa logica usata per l'altra apparecchiatura della rete: la limitazione degli effetti se un attacco accade. I attackers tenteranno di trovare gli obiettivi che forniscono loro la maggior parte del accesso ad altri sistemi ed attrezzature. I dispositivi di accesso a distanza sono facilmente obiettivi identificabili e dovrebbero essere protetti adeguatamente.
Online: 921 users browsing the articles directory
|
|