Lokalisierung der Netze beeinflußt den Fluß von Netzdaten, die Dienstleistungen auf bestimmte Systeme laufen lassen und von dem sie lokalisiert werden. Sie beeinflußt nicht irgendwelche der internen oder externen Netzdaten vom Reisen über jene gleichen Wege. Lokalisierung wird häufig verwendet, um die Sicherheit und die Leistungsfähigkeit des Netzes durch lokalisierenden bestimmten Netzverkehr zu bestimmten körperlichen Leitungen und zu Netzen zu erhöhen. Netzlokalisierung wird mit dem Gebrauch von mehrfachen körperlichen und virtuellen Netzen innerhalb einer einzelnen Organisation, Funktionalität zu trennen erzielt. Netzentwerfer können Sicherheit erhöhen, indem sie das Netz in seine Funktionsbereiche und in Betracht der Auswirkung organisieren, die jede dieser Funktionen auf Sicherheit hat.
Ein Beispiel der Netzlokalisierung soll das Netz entwerfen, damit die Bescheinigungen der Fernzugriffbenutzer nicht über irgendwelche Netzleitungen oder -stromkreise reisen, die Benutzer oder anderen Systemen ausgesetzt werden. Die einfachste Methode, zum dieser Sicherheit bereitzustellen soll den Fernzugriffbediener direkt an den Authentisierung Bediener mit einem einzelnen Kabel anschließen. Eine andere Methode soll eine geschaltete Netztopologie verwenden und hält den Authentisierung Bediener und die Fernzugriffvorrichtung auf ihren eigenen privaten Segmenten. Die Daten, die von einer zur anderen geschickt werden, reisen dann zwischen nur die zwei Systeme und ihre Segmente, in denen kein anderes System es ansehen kann.
Lokalisierung wird in den folgenden Kontexten besprochen:
· Halten Sie Unterscheidung instand
|
|
· VLANS
· Brandmauern
Das erste und meiste offensichtliche Konzept ist die Lokalisierung von externem vom internen Netzverkehr. Service-Unterscheidung ist die Kennzeichnung und die Kategorisierung der Vermittlungsdienste. Die Vermittlungsdienste, die von einer Organisation bereitgestellt werden, können als externe-nur, interne-nur oder Brücke Dienstleistungen kategorisiert werden. Während der Name andeutet, stellen externe und interne-nur Dienstleistungen Funktionalität entweder zum externen oder internen Netz, aber nicht beide zur Verfügung. Brücke Dienstleistungen stellen Funktionalität zum internen Netz und zum externen Netz zur Verfügung. Externe Dienstleistungen sollten in einem Service-Netz lokalisiert werden, oder durch das ISP für die Organisation bewirtet werden. Auch das Management dieser Dienstleistungen sollte über das vorher erwähnte Managementnetz auftreten. Interne Dienstleistungen sollten vor externem Internet- oder Service-Netzzugang geschützt werden.
Es gilt als gefährlich, Systeme und Ausrüstung direkt zum Internet ohne irgendeine Form des Schutzes anzubringen, also ist sicher, Service-Netze mit Schutzeinheiten wie einer Brandmauer zu schützen.
Die einfachste Netztopologie nimmt einen Fräser und schließt eine Schnittstelle an das ISP und die andere an eine Mehrkanalausrüstung Vorrichtung wie eine Nabe an. Alle internen Systeme werden dann an die Nabe angeschlossen. Ohne in das Detail der Netznumerierung zu erhalten, ist dieses wirkungsvoll, Internet-Zugang zu allen internen Systeme in der Organisation zur Verfügung zu stellen, aber es läßt auch alle Systeme auf dem Internet direkt jedes System im internen Netz verbundenSEIN. Jedes System ist gegen Angriff empfindlilch, und die gesamte rechnende Infrastruktur könnte verglichen werden.
Die Anforderung für Internet-Zugang sollte in abgehenden und ankommenden Zugang kategorisiert werden. Abgehender Zugang bezieht sich das auf allgemeinste Konzept des Internet-Zuganges—die Fähigkeit, mit Netzbedienern zu verständigen, email zu senden und Akten zu downloaden. Die meisten Systeme erfordern outbound Internet-Zugang, aber müssen gewöhnlich vom willkürlichen inbound Internet-Verkehr sichern. Alle Netzkommunikation und -protokoll schildern beiseite, die Fähigkeit, diese Tätigkeiten durchzuführen erfordert nicht interne Systeme, Zugang zu denen auf dem Internet zur Verfügung zu stellen genau. Wenn man eine Netzwerkarchitektur definiert, ist es wichtig, die Dienstleistungen und die Systeme zu kennzeichnen, die den Zugang erfordern, der durch Internet-gegründete Systeme eingeleitet wird. Die Sicherheit Betrachtungen für die Netzwerkarchitektur nehmen einer grundlegenden Form als drei organisatorische Kategorien Netz das—externe, den Vermittler und das interne Netz jetzt.
Die rechnenden Dienstleistungen stellten von einer Unternehmensform die Grundlage des Netzes zur Verfügung. Neben den Konfiguration und Sicherheit Methoden, die verwendet werden, um die einzelnen Bediener und die Betriebssysteme zu schützen, ist Lokalisierung der Vermittlungsdienste eine wichtige Sicherheit Taktik, weil sie vor Angriff sich schützt und die Effekte eines Angriffs einschränkt. Die Dienstleistungen sind jene Eigenschaften, die die Benutzer erfordern und von den Computern und von der Netzausrüstung vorausgesetzt werden. Allgemeine Dienstleistungen schließen ein:
· Domain Name System (DNS)
· Netzumhüllung
· Akte Teilen
· Druck
· Netz-LOGON
Die Domain Name Systembediener in einer Organisation dienen häufig die internen Benutzer sowie das externe Internet. Die Anwendung, die DNS Dienstleistungen liefert, hat eine Geschichte von Verwundbarkeit, die Angreifern, sich das System zu vergleichen erlaubt haben, auf dem sie läuft und seine Aufzeichnungen zu verderben. Diese Geschichte gegeben, wird besondere Aufmerksamkeit zur Sicherheit angefordert. Wenn die Organisation ihren eigenen DNS Bediener beibehält, ist sie häufig entsprochen für das Service-Netz, um das interne Netz vor schädlichen Wirkungen des Angriffs zu schützen bestes. Als Teil der Netzwerkarchitektur wird Sicherheit auch durch Redundanz gepolstert. Der Gebrauch der mehrfachen DNS Bediener liefert ein Niveau der Zuverlässigkeit im Falle des Ausfalls oder des Angriffs auf einem und die Plazierung der Betrachtung dieser Verdienste in der Netzwerkarchitektur. Mehrfache DNS Bediener sollten nicht auf das gleiche Netz gesetzt werden; der Zweck der Redundanz ist, ein hohes Niveau der Zuverlässigkeit im Falle des Ausfalls von einem Netz zur Verfügung zu stellen. Wenn beide DNS Bediener auf dem gleichen Netz oder auf einem einzelnen Service-Netz sind, machen sie beide werden genommen aus Service heraus durch einen einzelnen Angriff ein. Die ideale Lösung soll überflüssige DNS Bediener auf Einzelnetzen lokalisieren, die unterscheidene Wege zu ihnen haben. Dieses verhindert, daß Angreifer alle Domain Nameservices ohne eine komplizierte Angriff Methode sperren. DNS Bediener sollten durch eine Brandmauer geschützt werden, und Primärbediener sollten mit Zugriffssteuerungbeschränkungen zusammengebaut werden, die willkürliche Fragen mißbilligen und DNS Zone auf unbekannte Bediener bringt.
Die Trennung des DNS Verbrauches erfordert auch Betrachtung. Viele Organisationen benutzen einen einzelnen DNS Bediener, mit oder ohne Redundanz, um die internen und externen Fragen zu beantworten. Dies heißt, daß die Internet-gegründeten Systeme Zugang zum Namensbediener haben, sowie die internen Systeme. Diese Hohlraumbildung der internen und externen Netze kann eine hohe Sicherheit Gefahr darstellen, wenn der Namensbediener verglichen wird. Eine andere Sicherheit Gefahr, wenn, einen allgemeinen Namensbediener zu verwenden die Enthüllung der Informationen ist. Der allgemeine DNS Bediener speichert die ganze von und von Netzinformationen für innerlich und außen zugängliche Systeme. Ein Angreifer kann diese Informationen vom Bediener auflesen, zu einer angemessenen Idee der internen Netzwerkarchitektur kommen, und mögliche Zielsysteme kennzeichnen.
Eine Lösung zu diesen Problemen ist eine Topologie AufspaltencDns, die zwei eindeutige Namensbediener einer—für Systeme im internen Netz und einen für die auf dem Internet herstellt, um zu verwenden. Die Aufzeichnungen in jeder werden dann unabhängig aktualisiert, und externe Systeme haben keinen Zugang zu den Informationen über innerlich vernetzte Systeme. Der Angreifer hat nicht mehr eine mögliche Brücke zwischen den internen und externen Netzen, und die Effekte des Angriffs sind begrenzt.
Email ist einer der wichtigsten Vermittlungsdienste zu einer Organisation, und die Einrichtung der email Services in der Netzwerkarchitektur erfordert vorsichtige Planung. Es ist nicht ratsam, email mit einem einzelnen mail server zu stützen. Postbediener speichern häufig den Inhalt von users'mailboxes, einschließlich die privaten und vertraulichen Informationen der Firma. Ein einzelner Punkt des Ausfalls ist anwesend, wenn er nur einen Bediener verwendet. Es ist gleichmäßig gefährlich, Zugang zum Primärmail server vom Internet zur Verfügung zu stellen, weil ein Angreifer Zugang zu seinen privaten Informationen herausstellen oder haben kann. Eine Lösung soll Postrelais an den unterschiedlichen Positionen im Netz herstellen und Zugang zum Primärmail server nur von jenen Transitsystemen dann erlauben. Die Postrelais sitzen häufig auf dem Service-Netz und weiter weg am ISP, um einige Niveaus der Redundanz im Falle Angriff oder Konnektivitätder ausgaben mit der Organisation zu versehen.
Wenn ein Angreifer folgen kann, mit, das Primärmail server sich zu vergleichen, kann der Angreifer viele andere empfindliche Betriebsmittel der Organisation dann zugänglich machen. Der Gebrauch eines Postrelais verteidigt das Primärmail server und begrenzt die Effekte des Angriffs. Die Postrelaisdose und sollte mit starken filternrichtlinien auf der Brandmauer geschützt werden, und das Primärmail server sollte Zugang-kontrolliert auch ausschließlich sein, inbound Post nur von den Relaisbedienern zu erlauben.
Viele Firmen haben eine korporative Web site, die den virtuellen Storefront zum Internet und zu einem Intranet zur Verfügung stellt, oder innerlich lokalisierte Web site, die Privatunternehmeninformationen enthält. Die korporativen und internen Netzaufstellungsorte sollten auf unterschiedlichen Maschinen bewirtet werden, um die Informationen zu lokalisieren, die von den Internet Benutzern von den Angestellten zugänglich sind. Die Netzposition der korporativen Netzaufstellungsorte sollte festgestellt werden gründete auf, wieviel Verkehr der Aufstellungsort sieht. Eine extrem populäre Web site, die auf dem Service-Netz mit anderen Vermittlungsdiensten wie Postrelais und DNS Bedienern gelegen ist, kann jene Bediener an der Gefahr im Falle einer Leistungsverweigerung Angriff setzen. Die gesamte Bandbreite kann verbraucht werden und die anderen Dienstleistungen unbrauchbar machen. Die vorsichtige Plazierung der überflüssigen und verteilten Netzbedienerhilfen setzen die Gefahren herab, die mit diesem Service verbunden sind. Netzaufstellungsorte können auf den Remotebedienern sich befinden, die durch das ISP bewirtet werden, oder Netzverkehr kann die Last sein, die unter einigen Bedienern ausgeglichen wird, die miteinander in nahe Nähe oder sogar in Remotebereiche gelegt werden.
Akte das Teilen ist eine Heftklammer des Netzlebens, das an einer Majorität Organisationen verwendet wird. Es ist auch eins der allgemeineren Unsicherheit, die in einem Netz gefunden wird. Die Netzwerkarchitektur, die Sicherheit und Dienstleistungen stützt, die mögliche Gefahren halten, tut so, indem sie sorgfältig den Netzzugang zu den Akte Bedienern steuert. Wenn er filesystems unter mehrfachen Systemen in den internen Netzen teilt, sollte Zugang nicht für die extranets vorhanden sein, hält Netz oder Internet instand. Akte das Teilen sollte nie von unbekannten oder externen Systemen erlaubt werden.
Netz-LOGON sind die Methoden, die von den Benutzern verwendet werden, um zu einem Remote- oder lokalen System zu beglaubigen. Dieses schließt wechselwirkenden Zugang zu den UNIX Konten, zur Windows Gebiet Authentisierung, zur Authentisierung zu den Netzaufstellungsorten und zu jedem möglichem anderen Service ein, der Benutzerbescheinigungen für Zugang erfordert. Es gibt viele Methoden für Netz-LOGON, von dem viele sehr unsicher sind. Die Unsicherheit von Netz-LOGON kommt vom Gebrauch von Klartextauthentisierung Methoden, worin die Benutzerbescheinigungen über das Netz ohne irgendeine Verschlüsselung oder andere Datenverdunkelung übertragen werden.
Sicherheit Betrachtungen für eine Netzgestaltung schließen die Lokalisierung des Verkehrs ein, der Bescheinigungen trägt, um die Gelegenheit für das Heimlich zuhören und den Gebrauch von VPN Systemen herabzusetzen, um verschlüsselte Kommunikation zur Verfügung zu stellen, die die Bescheinigungen während der Durchfahrt schützt. Andere Schutzeinheiten schließen Brandmauerrichtlinien mißbilligen die Protokolle ein, die bekannt, um vom Führen der Grenze der internen Netze insecurely zu arbeiten.
Telnet, Remoteoberteile und ftp sind allgemein verwendete Dienstleistungen deren Verkehr nicht außerhalb des internen Netzes erlaubt werden sollte, wenn Sie an allen verwendet werden. Diese Dienstleistungen übertragen Benutzerbescheinigungen ohne irgendeine Form der Verschlüsselung und erlauben einem Angreifer, die Informationen heimlich zuzuhören und abzufangen.
Der Gebrauch von virtuellen lokalen Netzwerken (VLANs) ist eine verhältnismäßig neue Annäherung zur Netztopologie, die mit der Entwicklung der neuen Netzausrüstung entstand. VLANs stellen eine Alternative zur normalen verlegten und geschalteten Netztopologie von der Vereinfachung der verschiedenen Netze durch intelligentere Kleinteile zur Verfügung. Das VLAN läßt Gruppen Systeme in den unterschiedlichen körperlichen Netzen und in den Segmenten ohne die Notwendigkeit an einem Fräser seamlessly in Verbindung stehen. Eine der Beeinträchtigungen der verlegten und geschalteten Netze ist, daß die körperliche Position der Systeme häufig ihre Anwesenheit in einem bestimmten Netz vorschreibt. Z.B. zwei Systeme setzend, die physikalisch in sind, erfordert der gleiche Raum auf zwei unterschiedliche Netze, daß die Netzkabel bei zwei unterschiedlichen Plätzen enden, ein an jedem Netzzugangpunkt. Wenn die Netzausrüstung nicht physikalisch im gleichen Bereich sitzt, wird diese ziemlich unmanageable. VLANs lassen diese Fähigkeit zu und so durchsichtig.
Der Gebrauch von VLAN Technologie hat auch Sicherheit Betrachtungen, die ihren Gebrauch anregen können. Die Natur der virtuellen und dynamisch spezifizierten Netze läßt das feinkörnige Abstimmen des Netzverkehrs zu. Die Fähigkeit, den Fluß des Netzverkehrs zu formen ist die Fähigkeit, sie zu steuern, die sehr flexible Sicherheit Fähigkeiten liefert, die es schwieriger für das heimlich zuhörende Netz bilden und für leicht vereitelte Leistungsverweigerung Versuche zur Verfügung stellt. Es ist wichtig, zu merken, daß der Teil des Nutzens der VLAN Technologie von seiner Lenkbarkeit kommt. Verwalter machen überwachen leicht Netzinformationen, erfassen statistische Informationen und Nachricht und beheben unregelmäßige Bedingungen ein.
Der Gebrauch der Brandmauern in einer Netzwerkarchitektur wird im Allgemeinen als Anforderung für jede mögliche Organisation gesehen, die Internet-Zugang hat. Brandmauern sind nützliche Werkzeuge und ihr Gebrauch in der Netzwerkarchitektur liefert grössere Sicherheit. Wie früh erwähnt, werden Brandmauern häufig benutzt, um interne Netze vor Zugang zu schützen durch nicht autorisierte Internet-gegründete Systeme. Sie können auch benutzt werden, um Service Netze und extranets zu schützen. Der Gebrauch der Brandmauern ist nicht eine garantierte vorbeugende Methode, jedoch. Wenn man ein Netz entwirft, ist es wichtig, die Beschränkungen festzustellen, die für die Organisation benötigt werden und wo die Brandmauer am vorteilhaftesten ist. Mehrfache Brandmauern werden häufig verwendet, um Netzzugangpunkte und fachkundige Netze während der Infrastrukturs zu schützen.
Brandmauern kommen in einige unterschiedliche Formen einschließlich engagierte Brandmauergeräte, Software-gegründete Brandmauersuiten und als eingebaute Funktionalität der Netzausrüstung. Wenn man Sicherheit für eine Netzwerkarchitektur betrachtet, ist es häufig nützlich, mehr als ein dieser Methoden zu verwenden. Fräser sind für die Anwendung der generischen filternrichtlinien wie Mißbilligen des Zuganges zu den bestimmten Portzahlen oder zu den Dienstleistungen nützlich. Kleinteil- und Software-Brandmauern können in Verbindung mit den Fräsern dann arbeiten, um die feinkörnigere Entstörung durchzuführen, die auf granulierteren Details wie Protokollmarkierungsfahnen und -wahlen basiert
Online: 334 users browsing the articles directory
|
|