L'isolamento delle reti interessa il flusso dei dati della rete, che i servizi fanno funzionare sui sistemi particolari e di dove sono individuati. Non ne interessa c'è ne dei dati interni o esterni della rete dal viaggiare attraverso quei stessi percorsi. L'isolamento è usato spesso per aumentare la sicurezza e l'efficienza della rete da traffico determinato d'isolamento della rete ai determinati legare e reti fisici. L'isolamento della rete è realizzato con l'uso delle reti fisiche e virtuali multiple all'interno di singola organizzazione separare la funzionalità. I progettisti della rete possono aumentare la sicurezza organizzando la rete nelle relative zone funzionali e tenendo conto dell'effetto che ciascuna di queste funzioni ha su sicurezza.
Un esempio di isolamento della rete deve progettare la rete in modo che le credenziali degli utenti di accesso a distanza non viaggino attraverso alcuni legare o circuiti della rete che sono esposti agli utenti o ad altri sistemi. Il metodo più semplice per fornire questa sicurezza deve collegare l'assistente di accesso a distanza direttamente all'assistente di autenticazione con un singolo cavo. Un altro metodo deve usare una topologia commutata della rete, mantenendo l'assistente di autenticazione ed il dispositivo di accesso a distanza sui loro propri segmenti riservati. I dati trasmessi da uno all'altro allora viaggeranno fra soltanto i due sistemi ed i loro segmenti, dove nessun altro sistema può osservarlo.
L'isolamento è discusso nei seguenti contesti:
· Assista la differenziazione
|
|
· VLANS
· Pareti refrattarie
La primo e maggior parte del concetto evidente è l'isolamento di esterno da traffico interno della rete. La differenziazione di servizio è l'identificazione e la categorizzazione dei servizi di rete. I servizi di rete hanno fornito da un'organizzazione possono essere categorizzati come servizi esterni-soltanto, interni-soltanto, o del ponticello. Mentre il nome implica, i servizi esterni ed interni-soltanto forniscono la funzionalità alla rete esterna o interna, ma non entrambe. I servizi del ponticello forniscono la funzionalità sia alla rete interna che alla rete esterna. I servizi esterni dovrebbero essere isolati in una rete di servizio, o essere ospitati dall'ISP per l'organizzazione. Inoltre, l'amministrazione di questi servizi dovrebbe accadere via la rete precedentemente accennata dell'amministrazione. I servizi interni dovrebbero essere protetti da accesso di rete esterno di servizio o del Internet.
È considerato pericoloso per fissare i sistemi e le attrezzature direttamente al Internet senza certa forma di protezione, in modo da è sicuro da proteggere le reti di servizio con i meccanismi di protezione quale una parete refrattaria.
La topologia della rete più semplice prende un router e collega un'interfaccia all'ISP e l'altra ad un dispositivo di funzionamento in multiplex quale un mozzo. Tutti i sistemi interni allora sono collegati al mozzo. Senza entrare nel particolare della numerazione della rete, questo è efficace fornire l'accesso del Internet a tutti i sistemi interni nell'organizzazione, ma inoltre permette che tutti i sistemi sul Internet comunichino direttamente con ogni sistema sulla rete interna. Ogni sistema è suscettibile dell'attacco e l'intera infrastruttura di calcolo potrebbe compromettersi.
Il requisito di accesso del Internet dovrebbe essere categorizzato in accesso uscente e ricevuto. L'accesso uscente si riferisce al concetto più comune di accesso del Internet—la capacità di comunicare con gli assistenti di fotoricettore, di trasmettere il email e di trasferire le lime dal sistema centrale verso i satelliti. La maggior parte dei sistemi richiedono l'accesso outbound del Internet, ma tipicamente devono fissare dal traffico inbound arbitrario del Internet. Tutti i comunicazione e protocollo della rete dettagliano da parte, la capacità di realizzare queste azioni non richiede i sistemi interni fornire l'accesso a quelli sul Internet. Nel definire un'architettura di rete, è importante identificare i servizi ed i sistemi che richiedono l'accesso iniziato dai sistemi Internet-basati. Le considerazioni di sicurezza per l'architettura di rete ora prendono ad una figura di base come tre codici categoria organizzativi della rete—l'esterno, il mediatore e la rete interna.
I servizi di calcolo hanno fornito da una forma di organizzazione la base della rete. Oltre ai metodi di sicurezza e di configurazione impiegati per proteggere i diversi assistenti ed i sistemi operativi, l'isolamento dei servizi di rete è una tattica importante di sicurezza perché protegge dall'attacco e limita gli effetti di un attacco. I servizi sono quelle caratteristiche che gli utenti richiedono e sono assicurati dai calcolatori e dalle attrezzature della rete. I servizi comuni includono:
· Domain Name System (Dns)
· Serving di fotoricettore
· Compartecipazione della lima
· Stampa
· Inizio attività della rete
Gli assistenti di Domain Name System in un'organizzazione servono spesso gli utenti interni così come il Internet esterno. L'applicazione che fornisce i servizi di DNS ha una storia delle vulnerabilità che hanno permesso che i attackers compromettessero il sistema su cui funziona e corrompessero le relative annotazioni. Dato questa storia, l'attenzione attenta a sicurezza è richiesta. Se l'organizzazione effettua il loro proprio assistente di DNS, è spesso più adatta per la rete di servizio per proteggere la rete interna dagli effetti contrari dell'attacco. Come componente dell'architettura di rete, la sicurezza inoltre è sostenuta dalla sovrabbondanza. L'uso degli assistenti multipli di DNS fornisce un livello di affidabilità in caso di guasto o l'attacco ad uno e la disposizione di considerazione di questi meriti nell'architettura di rete. Gli assistenti multipli di DNS non dovrebbero essere disposti sulla stessa rete; lo scopo della sovrabbondanza è fornire un livello elevato di affidabilità in caso di il guasto di una rete. Se entrambi gli assistenti di DNS sono situati sulla stessa rete o su una singola rete di servizio, inscatolano entrambi sono presi da servizio tramite un singolo attacco. La soluzione ideale deve individuare gli assistenti ridondanti di DNS sulle reti separate che hanno percorsi differenti a loro. Ciò impedisce i attackers inabilitare tutti i servizi di Domain Name senza un metodo complesso di attacco. Gli assistenti di DNS dovrebbero essere protetti da una parete refrattaria e gli assistenti primari dovrebbero essere configurati con le limitazioni di controllo di accesso che respingono le domande arbitrarie e zona di DNS trasferisce agli assistenti sconosciuti.
La separazione di uso di DNS inoltre richiede la considerazione. Molte organizzazioni utilizzano un singolo assistente di DNS, con o senza la sovrabbondanza, per rispondere sia alle domande interne che esterne. Ciò significa che i sistemi Internet-basati hanno accesso all'assistente di nome, così come i sistemi interni. Questo gettare un ponte delle reti interne ed esterne può presentare un alto rischio di sicurezza se l'assistente di nome si compromette. Un altro rischio di sicurezza quando per mezzo di un assistente di nome comune è la rivelazione delle informazioni. L'assistente comune di DNS immagazzina tutte le nome ed informazioni della rete per sia sistemi internamente che esternamente accessibili. Un attacker può spigolare queste informazioni dall'assistente, arrivare ad un'idea ragionevole dell'architettura di rete interna ed identificare i sistemi di obiettivi potenziali.
Una soluzione a questi problemi è una topologia spacc-Split-DNS, che genera due assistenti di nome distinti—uno per i sistemi sulla rete interna ed uno per quelli sul Internet per usare. Le annotazioni in ciascuno allora sono aggiornate indipendentemente ed i sistemi esterni non hanno accesso alle informazioni sui sistemi internamente networked. Il attacker più non ha un ponticello potenziale fra le reti interne ed esterne e gli effetti dell'attacco sono limitati.
Il email è uno dei servizi di rete più importanti ad un'organizzazione e l'istituzione dei servizi del email nell'architettura di rete richiede la progettazione attenta. È inadvisable sostenere il email con un singolo mail server. Gli assistenti della posta immagazzinano spesso il contenuto dei users'mailboxes, compreso le informazioni riservate e confidenziali dell'azienda. Un singolo punto di guasto è presente quando per mezzo di soltanto un assistente. È ugualmente pericoloso fornire l'accesso al mail server primario dal Internet perché un attacker può esporre o avere accesso alle relative informazioni riservate. Una soluzione deve stabilire i relè della posta alle posizioni differenti sulla rete ed allora permettere l'accesso al mail server primario soltanto da quei sistemi di relè. I relè della posta sono situati spesso sulla rete di servizio ed ulteriore via all'ISP per fornire parecchi livelli della sovrabbondanza in caso di le edizioni di connettività o di attacco l'organizzazione.
Se un attacker può riuscire a compromettere il mail server primario, il attacker può allora accedere a molte altre risorse sensibili dell'organizzazione. L'uso di un relè della posta difende il mail server primario e limita gli effetti dell'attacco. La latta del relè della posta e dovrebbe essere protetta con le regole di filtrazione forti sulla parete refrattaria ed il mail server primario dovrebbe anche essere rigorosamente accesso-controllato permettere la posta inbound soltanto dagli assistenti del relè.
Molte aziende hanno un Web site corporativo che fornisce lo storefront virtuale al Internet e ad un Intranet, o Web site internamente individuato che contiene le informazioni dell'azienda riservata. I luoghi corporativi ed interni di fotoricettore dovrebbero essere ospitati sulle macchine separate per isolare le informazioni accessibili dagli utenti del Internet dagli impiegati. La posizione della rete dei luoghi corporativi di fotoricettore dovrebbe essere determinata ha basato su quanto traffico il luogo vede. Un Web site estremamente popolare situato sulla rete di servizio con altri servizi di rete quali i relè della posta e gli assistenti di DNS può mettere quegli assistenti al rischio in caso di una smentita dell'attacco di servizio. L'intera larghezza di banda può essere consumata, rendendo gli altri servizi inutilizzabili. La disposizione attenta degli aiuti ridondanti e distribuiti degli assistenti di fotoricettore minimizza i rischi connessi con questo servizio. I luoghi di fotoricettore possono essere situati sugli assistenti a distanza ospitati dall'ISP, o il traffico di fotoricettore può essere carico equilibrato fra parecchi assistenti disposti l'un l'altro nella prossimità vicina o persino nelle zone a distanza.
La compartecipazione della lima è una graffetta di vita della rete che è utilizzata ad una maggioranza delle organizzazioni. È inoltre una delle insicurezze più comuni trovate su una rete. L'architettura di rete che sostiene la sicurezza ed i servizi che tengono i rischi potenziali fa così con attenzione controllando l'accesso di rete agli assistenti di lima. Nel ripartire i filesystems fra i sistemi multipli sulle reti interne, l'accesso non dovrebbe essere disponibile ai extranets, non assiste la rete, o il Internet. La compartecipazione della lima dovrebbe non essere permessa mai dai sistemi sconosciuti o esterni.
Gli inizio attività della rete sono i metodi impiegati dagli utenti per autenticare ad un sistema a distanza o locale. Ciò include l'accesso interattivo ai clienti di UNIX, all'autenticazione di dominio di Windows, all'autenticazione ai luoghi di fotoricettore ed a qualunque altro servizio che richiede le credenziali dell'utente per accesso. Ci sono molti metodi per l'inizio attività della rete, molti di cui sono molto insicuri. Le insicurezze degli inizio attività della rete vengono dall'uso dei metodi di autenticazione del cleartext in cui le credenziali dell'utente sono trasmesse sulla rete senza alcuna crittografia o altra confusione di dati.
Le considerazioni di sicurezza per un disegno di rete includono l'isolamento di traffico che trasporta le credenziali per minimizzare l'occasione per ascoltare di nascosto e l'uso dei sistemi di VPN per fornire la comunicazione cifrata che protegge le credenziali durante il transito. Altri meccanismi di protezione includono le regole della parete refrattaria respingono i protocolli che sono conosciuti per funzionare insecurely dal passare il contorno delle reti interne.
Il telnet, le coperture a distanza ed il ftp sono comunemente servizi usati di cui il traffico non dovrebbe essere permesso fuori della rete interna, se usato affatto. Questi servizi trasmettono le credenziali dell'utente senza alcuna forma della crittografia, permettendo che un attacker ascolti di nascosto ed intercetti le informazioni.
L'uso delle reti locali virtuali (VLANs) è un metodo relativamente nuovo a topologia della rete che ha presentato con lo sviluppo di nuova apparecchiatura della rete. VLANs fornisce un'alternativa alla topologia diretta e commutata normale della rete facilitando le reti varie tramite fissaggi più intelligenti. Il VLAN permette che i gruppi dei sistemi sulle reti e sui segmenti fisici differenti comunichino seamlessly senza l'esigenza di un router. Uno degli svantaggi delle reti dirette e commutate è che l'ubicazione fisica dei sistemi detta spesso la loro presenza su una rete particolare. Per esempio, mettendo due sistemi che sono fisicamente in la stessa stanza su due reti differenti richiede che i cavi della rete terminano a due posti differenti, uno ad ogni punto di accesso della rete. Se l'apparecchiatura della rete non è posizionata fisicamente nella stessa zona, questa diventa abbastanza unmanageable. VLANs tiene conto questa possibilità e così trasparente.
L'uso di tecnologia di VLAN inoltre ha considerazioni di sicurezza che possono consigliare al loro uso. La natura delle reti virtuali e dinamicamente specificate tiene conto la sintonizzazione a grana fine del traffico della rete. La capacità di modellare il flusso di traffico della rete è la capacità di controllarla, che fornisce le possibilità molto flessibili di sicurezza che lo rendono più difficile per la rete che ascolta di nascosto e prevede la smentita facilmente contrastata dei tentativi di servizio. È importante notare che la parte del beneficio di tecnologia di VLAN viene dal relativo manageability. I coordinatori inscatolano più facilmente controllano le informazioni della rete, riuniscono le informazioni statistiche e l'avviso e risolvono le circostanze anomale.
L'uso delle pareti refrattarie in un'architettura di rete è visto generalmente come requisito di tutta l'organizzazione che ha accesso del Internet. Le pareti refrattarie sono attrezzi utili ed il loro uso nell'architettura di rete fornisce la sicurezza più grande. Come accennato più presto, le pareti refrattarie sono usate spesso per proteggere le reti interne da accesso dai sistemi Internet-basati non autorizzati. Possono anche essere usate per proteggere le reti ed i extranets di servizio. L'uso delle pareti refrattarie non è un metodo preventivo garantito, tuttavia. Nel progettare una rete, è importante determinare le limitazioni state necessarie per l'organizzazione e dove la parete refrattaria è più favorevole. Le pareti refrattarie multiple sono utilizzate spesso per proteggere i punti di accesso della rete e le reti specializzate durante l'infrastruttura.
Le pareti refrattarie vengono in varie forme compreso gli apparecchi dedicati della parete refrattaria, suites software-basati della parete refrattaria e come funzionalità incorporata dell'apparecchiatura della rete. Nel considerare la sicurezza per un'architettura di rete, è spesso utile utilizzare più di uno di questi metodi. I routers sono utili per l'applicazione delle regole di filtrazione generiche come respingere l'accesso ai numeri port o ai servizi particolari. Le pareti refrattarie del software e dei fissaggi possono allora lavorare insieme con i routers per realizzare la filtrazione più a grana fine basata sui particolari più granulari quali le bandierine e le opzioni di protocollo
Online: 403 users browsing the articles directory
|
|