ネットワークの分離

ネットワークの分離頻繁に入ってくるという形でのネットワーク機能などの特殊なネットワーク管理、モニタリング、およびリモートアクセスします。 これらの機能にアクセスする可能性のメリットを分離してから残りのネットワークインフラをします。 別のブロードキャストドメインおよびネットワークの数字の間でお互いの意思疎通やルーターを介してネットワークインターフェイスを追加したサーバーとネットワーク機器です。

ネットワーク管理

ネットワーク管理制御を意味して、設定と保守のネットワークハードウェアを使用する組織を通してします。 これらのデバイスを提供する多くのネットワークでは、端末、およびウェブブラウザベースのアクセスを管理して設定してください。 を禁止することをお勧めし、これらのデバイスを管理する能力から、インターネットやその他のネットワーク帯域にします。 インバンドネットワーク管理システム管理者が発生したときに接続するデバイスの1つ以上のネットワークデバイスのサービスをしています。 インバンドルーターの管理、例えば、管理者が発生したときに接続してから、インターネット上の外部からのインターフェイスまたは内部ネットワーク上の内部インターフェイス。 リモート管理するルータが、インターネットとの関係をサービスのネットワークまたは内部ネットワークからインターネットに許されてはいけませんします。 部外者がアクセスできない場合は、ルーターから直接、インターネットにアクセスすることができることから、インターネットでアクセスできるシステムで、ネットワークサービスです。 妥協するサービスを提供し、ネットワークベースのシステムにアクセスできるように、ネットワーク機器を攻撃します。 可能であれば、それは最良の経営を確立するためのネットワークを3つ目のネットワークインターフェイスを制限すると、ルータからのみアクセスできるように管理して特別なネットワークにします。

ネットワーク管理は、多くの場合、物理的な接続を別のデバイスであり、ほんの一握りの専用の管理ステーションです。 なければならない他のネットワーク接続を管理ネットワークでは、 1つのを介して制御された場合を除き、高セキュリティシステム;それ以外のアクセスが発生し、物理的な存在で、 1つの管理ステーションです。 使用するネットワーク管理能力を厳しく制限し、攻撃者にアクセスする重要なシステムや機器、妥協の危険性が低下します。

監視

ネットワーク監視は、エイズの便利な機能には、安全保障問題のデバッグをするには、ネットワークのパフォーマンスを維持するとします。 データのネットワークを分離する能力を阻害する可能性を監視し、ネットワークのセクションにします。 したがって、どのような監視を検討することが重要で、どこで使用されなければならないと、必要な変更を組み込む機器またはネットワークアーキテクチャをします。

ネットワーク監視なければならないいくつかの方法を考慮して、彼らと同様のデザインのネットワークに配置します。 侵入検知は、比較的新しい技術革新がネットワークに有用であることを証明します。 これらの侵入検知システム（のid ）が置かれ、ネットワーク全体を監視するために、積極的に既知の攻撃の兆候だ。 idを配置して、ネットワークへのアクセスに便利な点が多いなど、サービスネットワークでは、ファイアウォールの内側と外側の近くには、リモートアクセスデバイスを含むvpnsやダイヤルインサーバー、およびシステムキーの近くにします。 ファイアウォールでも行為の一形態としては、ネットワークの監視をします。 彼らの役割はより積極的に操作することを許可されるネットワークのトラフィックやdisallowing情報を通過します。 多くの攻撃の影響を限定することができ、頻繁に定期的に分析され、これらの監視方法など、ログ解析や、機器の設定を管理者に通知する条件で、イベント攻撃します。

その他の配慮を監視するには、管理者のための能力を分析し、ネットワークのトラフィックを監視するための不安の一環として定期的にメンテナンスします。 ネットワークに影響を与えると実装のトラフィックを監視する能力をこのようにします。 多くの場合、ネットワーク機器の監視をサポートしたrmon snmpと、 2つの標準的なプロトコルを、この目的のために使用されます。 最終的な方法は、ネットワークを介して複雑なネットワーク監視管理ソフトウェアスイートがございます。 これらのパッケージを使用すると、いくつかのさまざまなプロトコルを獲得する方法を提供し、迅速に情報を分析すると警告異常な反応を条件とします。 多くの場合、これらのツールを活用する特別なエージェントを実行して併用して、監視されているシステムや機器;これらのパッケージは影響を受けません、ネットワークの物理的な方向性をただしました。

リモートアクセス

メソッドは、リモートアクセスに必要な場合は組織の中で、このメソッドを提供しなければならないと考えて作成中のネットワークアーキテクチャです。 2つの方法がよく使われる： vpnソリューションとダイヤルでモデムにアクセスできます。 vpnソリューション来るの2つのフォームには、ハードウェアデバイスおよびソフトウェアアプリケーションです。 vpnデバイスを提供し、ハードウェアのいくつかのメリット;これは、特殊なデバイスを頻繁に提供する高レベルのパフォーマンスとセキュリティを取り入れ、独自のメソッドです。 vpnソリューションのソフトウェアを実行するアプリケーションまたはサービスを既存のサーバシステムに依存している場合が多いのセキュリティメカニズムは、それぞれのオペレーティングシステムです。

への影響は、ネットワーク上のアーキテクチャをサポートするために必要なvpnのは、似たような、各ソリューションです。 vpnデバイスに統合することができ、より簡単で、安全な方法で、ユーザーのネットワーク環境へのアクセスを制御しているため、デバイスは、より簡単に変化します。 さらに、ソフトウェアのサービスが必要注目を集めた。 最高のセキュリティを達成するためには、 vpnソフトウェア専用のサーバー上で実行されなければ、デバイスとして扱われるその他のサービスをせずに存在します。 オペレーティングシステムに設定されなければならないと、安全な方法で他の内部で使用しなければならないサービスを実行するには、システムを防ぐため、内部ネットワークにアクセスできるようにしています。 vpnソリューションは、ソフトウェアの脆弱性の影響を受けた場合でもオペレーティングシステムの不安だけでなく、ソフトウェアです。

ダイヤルモデム経由でのサポートを提供するサーバーにアクセスすると、内部ネットワークに直接接続しています。 を考慮してダイヤル方法を使用するには、ネットワーク管理を制御すると、無許可のデバイスを保護することで設定を変更します。 dial - inサーバーへの頻繁に依存して、ネットワーク上の他のサーバーのユーザー認証を提供します。 ネットワークのパスをすべきである民間の認証に使用されます。 最後に、ダイヤルを許可すべきでサーバーにリモートネットワークのトラフィックのルートを渡ってダイヤル回線にします。 攻撃者は、頻繁に使用する"戦争ダイアル"ソフトウェアをスキャンし、サーバーの電話番号をダイヤルします。 スキャンすることはできません阻止している間は、適切な組織とは、機器の設定ダイヤルのリスクを限定する妥協します。

には、いくつかの位置を考慮に与えられたダイヤルvpnとされているシステムを保護するために、内部ネットワークにします。 ネットワークアーキテクチャを定義する際に、識別しなければデザイナーによって提供される機能がサポートされ、リモートアクセスします。 透明性を提供することができvpnsアクセスできるようにするには、ネットワークのすべてのリソースを、できるように表示されると、リモートシステムとして機能することができればそれは物理的に位置し、組織します。 ダイヤルにアクセスしない限り、 vpnソリューションと合わせて考えると、限られたがしばしば使われ、より多くのサービスを提供するなど、電子メールやウェブにアクセスできます。 メソッドの違いにもかかわらず、同じ基本的な機能の両方を供給するリモートからのアクセスには、不信感と地域のネットワークです。 したがって、リモートアクセスを配置することをお勧めし、個別のネットワークやサーバーへのアクセスを制御する施設を使用しています。 前述のネットワーク管理にも使用されなければ、これらのシステムを制御して設定します。

リモートアクセス機器の位置を次のように同じロジックを使用し、他のネットワーク機器：制限すべき攻撃の影響で発生します。 攻撃は、ターゲットを探す試行して、最もアクセスを提供して他のシステムや機器です。 リモートアクセスデバイスは、簡単に識別できる目標とすべき適切に保護されるべきだ。