.
A separação das redes vem frequentemente no formulário da funcionalidade especializada da rede tal como a gerência de rede, a monitoração, e o acesso remoto. O acesso a estas funções pode merecer a separação do restante do infrastructure da rede. Os domínios da transmissão e os números diferentes da rede comunicam-se entre se através dos routers e adicionando relações extra da rede aos usuários e ao equipamento da rede.
A gerência de rede consulta ao controle, à configuração e à manutenção da ferragem da rede usada durante todo uma organização. Muitos destes dispositivos fornecem a rede, o terminal, e o acesso browser-baseado correia fotorreceptora para administrá-los e configurarar. É aconselhável disallow a abilidade de controlar estes dispositivos do Internet e de outras redes in-band. A gerência de rede in-band ocorre quando os administradores conectam ao dispositivo sobre uma das redes essas os serviços do dispositivo. A gerência in-band de um router, para o exemplo, ocorre quando o administrador lhe conecta do Internet sobre a relação externa ou da rede interna sobre a relação interna. A gerência remota de um router que amarre o Internet a uma rede do serviço ou à rede interna não deve ser permitida do Internet. Embora os outsiders não possam alcançar o router diretamente do Internet, podem alcançá-lo de um sistema Internet-acessível na rede do serviço. O acordo de um sistema rede-baseado serviço fornece o atacante com o acesso ao equipamento da rede. Se possível, é o mais melhor estabelecer uma rede da gerência em uma terceira relação da rede e restringir o acesso da gerência ao router somente dessa rede especial.
Uma rede da gerência é frequentemente uma conexão física separada aos dispositivos e em quais lá são somente um punhado de estações dedicadas da gerência. Nenhuma outra rede deve ter o connectivity à rede da gerência, a menos que controlado com um único, sistema da elevado-segurança; o acesso ocorre de outra maneira pela presença física em uma das estações da gerência. O uso de uma rede da gerência limita severamente a abilidade de um atacante de alcançar sistemas e o equipamento importantes, que diminui o risco do acordo.
A monitoração da rede é uma função útil que ajude na segurança de uma rede eliminando erros de problemas e mantendo o desempenho. A separação de dados da rede pode hinder a abilidade de monitorar seções da rede. Conseqüentemente, é importante considerar o que monitorar deve ser usada e onde e para incorporar as mudanças ou o equipamento requerido na arquitetura de rede.
Diversos métodos da monitoração da rede devem ser considerados, as.well.as sua colocação no projeto da rede. A deteção do intrusion é uma inovação relativamente nova que seja provar útil na rede. Estes sistemas da deteção do intrusion (IDS) são colocados durante todo a rede e monitoram ativamente para sinais sabidos do ataque. A colocação do IDS é frequentemente útil em pontos de acesso da rede, including a rede do serviço, perto do interior e da parte externa dos guarda-fogos, dos dispositivos do acesso remoto including VPNs e seletor- em usuários, e de sistemas chaves próximos. Os guarda-fogos agem também como um formulário da monitoração para uma rede. Seu papel é mais ativo que manipulam o tráfego da rede permitindo que ou disallowing a informação passe completamente. Os efeitos de muitos ataques podem ser limitados pela análise regular e freqüente destes métodos de monitoração, including a análise do registro e a configuração do equipamento para notificar administradores no evento de uma condição do ataque.
Outras considerações para monitorar incluem a abilidade para que os administradores monitorem o tráfego da rede e analisem-no para insecurities como a parte da manutenção regular. A rede e sua execução afetam a abilidade de monitorar o tráfego nesta maneira. O equipamento da rede suporta frequentemente a monitoração com SNMP e RMON, dois protocolos estandardizados usados para esta finalidade. Um método final da monitoração da rede é através dos suites complexos do software da gerência de rede. Estes pacotes usam um número protocolos e de métodos diferentes adquirir e analisar a informação e fornecer o alerta e respostas rápidos às circunstâncias anômalas. Estas ferramentas utilizam frequentemente os agentes especiais que funcionam conjuntamente com os sistemas e o equipamento que estão sendo monitorados; estes pacotes não são afetados pela orientação física da rede, entretanto.
Se os métodos de acesso remoto forem necessitados na organização, os métodos para fornecê-la devem ser considerados durante a criação da arquitetura de rede. Dois métodos são usados geralmente: Soluções de VPN e seletor- no acesso do modem. As soluções de VPN vêm em dois formulários—a aplicação do dispositivo e do software de ferragem. O dispositivo da ferragem VPN fornece diversos benefícios; é um dispositivo especializado que frequentemente forneça um nível elevado do desempenho e incorpore seus próprios métodos da segurança. A solução do software VPN funciona como uma aplicação ou um serviço em sistemas existentes do usuário e confia frequentemente nos mecanismos da segurança de seu sistema operando-se respectivo.
Os efeitos na arquitetura de rede requerida para suportar um VPN são similares para cada solução. Os dispositivos de VPN podem mais fàcilmente ser integrados em uma maneira segura no ambiente da rede porque o acesso a e o controle do dispositivo são ditados mais fàcilmente. O serviço do software requer mais atenção. Para conseguir a segurança a mais elevada, o software de VPN deve funcionar em um usuário dedicado e ser tratado enquanto um dispositivo com nenhum outro presta serviços de manutenção ao presente. O sistema operando-se deve ser configurarado em uma maneira segura e nenhum outro serviço internamente usado deve ser funcionado no sistema a fim impedir o acesso à rede interna. As soluções do software VPN são afetadas pelos vulnerabilities do sistema operando-se as.well.as todos os insecurities no software.
Seletor- na sustentação através dos modem e do acesso os usuários fornecem uma conexão direta à rede interna. As considerações para seletor- em métodos incluem o uso de uma rede da gerência controlar o dispositivo para protegê-lo das mudanças de configuração desautorizadas. Seletor- no usuário confia frequentemente em outros usuários na rede para fornecer o authentication de seus usuários. O trajeto da rede usado para o authentication deve também ser confidencial. Finalmente, seletor- em usuários disallow redes remotas para distribuir o tráfego através do seu seletor- em linhas. Os atacantes usarão frequentemente o software "guerra-marcando" fazer a varredura de números de telefone para seletor- em usuários. Quando a exploração não puder ser impedida, a organização e a configuração apropriadas seletor- no equipamento limitarão o risco do acordo.
Há diversas considerações dadas à colocação de VPN e seletor- em sistemas a fim proteger a rede interna. Ao definir a arquitetura de rede, os desenhadores devem identificar a funcionalidade suportada e fornecida pelo acesso remoto. VPNs pode fornecer o acesso transparente a todos os recursos de uma rede, permitindo que o sistema remoto apareça e funcione enquanto se for ficado fisicamente na organização. Seletor- no acesso, a menos que combinado com uma solução de VPN, é usado frequentemente fornecer uns serviços mais limitados tais como o email e o acesso da correia fotorreceptora. Apesar das diferenças nos métodos, ambos fornecem o mesmo acesso básico—da funcionalidade das redes e das posições remotas, distrusted. Conseqüentemente, é aconselhável colocar usuários do acesso remoto em uma rede separada e controlar o acesso às facilidades que usa. A rede previamente mencionada da gerência deve também ser usada controlar e configurarar estes sistemas.
A colocação do equipamento do acesso remoto segue a mesma lógica usada para o outro equipamento da rede: a limitação dos efeitos se um ataque ocorrer. Os atacantes tentarão encontrar os alvos que os fornecem com a maioria de acesso aos outros sistemas e equipamento. Os dispositivos do acesso remoto são fàcilmente alvos identifiable e devem ser protegidos adequadamente.
Online: 394 users browsing the articles directory
. |