Разделение сетей часто поступает в виде сети специализированных функций, таких, как управление сетью, мониторинга и удаленного доступа. Доступ к этим функциям может заслуживать отделения от остальной сетевой инфраструктуре. Различные эфир доменов и номера сети общаться между собой с помощью маршрутизаторов и добавив дополнительные сетевые интерфейсы для серверов и сетевого оборудования.
|
|
Сетевое управление ссылается на контроль, конфигурирование и техническое обслуживание сети оборудования, используемого в рамках всей организации. Многие из этих устройств обеспечения сети, терминал, и веб-браузером, доступ для администрирования и настроить их. Желательно, чтобы запретить возможность управления этими устройствами из Интернета и других в диапазоне сетей. В диапазоне сетевого управления происходит, когда администраторы подключения к устройству одного из сетей, что устройство услуг. В диапазоне управления маршрутизатором, например, происходит, когда администратор подключается к нему из Интернета на внешний интерфейс, или из внутренней сети на внутренний интерфейс. Удаленного управления маршрутизатором, что узы Интернет услуг сети или внутренней сети не следует допускать в Интернете. Хотя стороны не могут получить доступ к маршрутизатору непосредственно из Интернет, они могут получать доступ из сети Интернет доступной системы в сети обслуживания. Компромисс в сети обслуживания системы предоставляет злоумышленнику доступ к сети оборудования. Если это возможно, лучше всего создать сети управления по третьему сетевому интерфейсу и ограничить управления доступа к маршрутизатору из только что специальные сети.
В сети часто является отдельной физической связи с устройствами, и в отношении которых имеются лишь небольшая часть специального управления станции. Ни одна другая сеть должна иметь выход в сети, если с помощью единого, высокого системы безопасности; Доступ иначе происходит путем физического присутствия на одной из станций управления. Использование управления сетью сильно ограничивает возможности злоумышленнику получить доступ к важным системам и оборудованию, которое снижает риск компромисса.
Сеть мониторинга полезную функцию, что способствует безопасности сети в отладке проблем и поддержания деятельности. Разделение сети данных может затруднить способность контролировать участках сети. Поэтому важно рассмотреть, какие наблюдения необходимо использовать и где и включить необходимые изменения или оборудования в сети архитектуры.
Несколько методов мониторинга сети следует рассматривать, а также их место в проектировании сети. Intrusion обнаружения является относительно новым, что оказывается полезным в сети. Эти системы обнаружения вторжений (IDS) размещаются по всей сети и активно контролировать известных признаков атаки. Размещение в IDS часто полезно в сети точек доступа, включая сеть обслуживания, возле внутри и вне брандмауэров, устройств удаленного доступа, включая VPNs и телефонное подключение серверов, и вблизи ключевых систем. Брандмауэры также выступать в качестве одной из форм контроля за сетью. Их роль более активную роль в том, что они манипулируют сетевой трафик, разрешая или запрещение информацию пройти. Последствия многих нападений может быть ограничена регулярные и частые анализ этих методов контроля, включая анализ журналов и конфигурации оборудования уведомлять администраторов в случае нападения состоянии.
Другие соображения контроля включают в себя способность для администраторов для мониторинга сетевого трафика и анализировать его неустойчивостью, как часть регулярного обслуживания. Эта сеть и ее реализация скажется на их способности контролировать движения таким образом. Сетевое оборудование часто поддерживает мониторинг с SNMP и RMON, два стандартизованных протоколов, используемых для этой цели. Последний метод мониторинга сети является сложной сети с помощью программного обеспечения апартаментов. Эти пакеты используют ряд различных протоколов и методов получения и анализа информации и быстрого оповещения и реагирования на аномальные условия. Эти инструменты часто использовать специальные агенты, которые идут в сочетании с системами и оборудованием осуществляется мониторинг; Эти пакеты не зависят от физической ориентации в сеть, однако.
Если удаленный доступ методы нужны в организации, методы предоставить ему следует рассмотреть в ходе создания сети архитектуры. Два метода обычно используются: VPN решений и наборный модем доступа. VPN решения бывают двух видов - аппаратные устройства и приложения. В аппаратных VPN устройство обеспечивает ряд преимуществ; Это специализированные устройства, которые зачастую обеспечивает высокий уровень производительности и включает собственную безопасность методов. Программное решение VPN запускается как приложение или услугу на существующих серверных системах и часто полагается на механизмы безопасности, соответствующих его операционной системы.
Влияние на архитектуру сети, необходимых для поддержки VPN являются аналогичными для каждого решения. VPN устройств может быть более легко интегрироваться в защищенной среде в сетевой среде, поскольку доступа и контроля использования данного устройства более легко определяется. Программное служба требует большего внимания. Для достижения наивысшей безопасности, VPN программное обеспечение должно использовать выделенный сервер, и будет рассматриваться в качестве устройства, не имеющих других услуг настоящем. Операционная система должна быть настроена в защищенной среде и не используются внутри других услуг должны осуществляться в системе, с тем чтобы предотвратить доступ к внутренней сети. Программное обеспечение VPN решения затронутых уязвимости операционной системы, а также неопределенность в любое программное обеспечение.
Наберите в поддержку посредством модемов и серверов доступа обеспечивает прямое соединение с внутренней сетью. Соображения по телефонной линии в методы включают использование управления сетью контролировать устройство для защиты от несанкционированного изменения конфигурации. Телефонную сервера часто опирается на других серверах по сети для обеспечения аутентификации пользователей. Сеть путь используется для аутентификации также должны быть частными. Наконец, телефонное подключение серверов следует запретить удаленных сетей маршрута движения через их набрать - в линиях. Злоумышленники часто используют будет "войной, набрав" программное обеспечение для сканирования номеров телефонов для набора - в серверах. Хотя сканирование невозможно предотвратить, надлежащей организации и конфигурации телефонное подключение оборудования будет ограничить риск компромисса.
Есть несколько соображений вопрос о размещении VPN и телефонное подключение систем в целях защиты внутренней сети. При определении сетевой архитектуры, проектировщики должны определить функциональность и поддержку со стороны удаленного доступа. VPNs может обеспечить транспарентный доступ на все ресурсы сети, позволяя удаленному системы, как и функции он будет, если он физически находится на организацию. Удаленного доступа, если не в сочетании с VPN решения, часто используются для получения более ограниченные услуги, такие как электронная почта и доступ Интернет. Несмотря на различия в методах, как ту же базовые функции - доступ из отдаленных distrusted сетей и местоположения. Поэтому желательно поставить серверы удаленного доступа по отдельной сети и контроля доступа к объектам, которые он использует. Ранее упомянутые сети также следует использовать для контроля и настройки этих систем.
Размещение оборудования удаленного доступа используется та же логика используется для другого сетевого оборудования: ограничение последствий нападения должны происходить. Злоумышленники будут пытаться найти задачи, которые обеспечивают им наиболее доступа к другим системам и оборудованию. Удаленный доступ устройства легко идентифицировать цели и должны быть защищены должным образом.
Online: 334 users browsing the articles directory
|
|