隔離のネットワークを構築し、ネットワークのデータの流れに影響を与え、どのサービスを実行し、特定のシステムでは、かれらは、どこに位置します。 のいずれかの影響を与えることはありません内部または外部ネットワークからデータを横断旅行者と同じパスします。 隔離がしばしば使われ、セキュリティと効率性を高めるため、特定のネットワークに隔離されるネットワークのトラフィックを特定の物理的なネットワークの配線とします。 隔離ネットワークを使用すると、複数の達成は、物理的および仮想ネットワーク内で、 1つの組織の機能を分離します。 デザイナーのネットワークのセキュリティを高めることができ、ネットワークを組織化される機能には、各地域への影響を考慮して、これらの関数は、安全保障します。
1つの例は、ネットワークに隔離してネットワークを設計するので、リモートアクセスユーザーの認証情報を任意のネットワークに渡っていないことが電線や回路や、その他のシステムのユーザーにさらされます。 このセキュリティを提供する最も簡単な方法は、リモートアクセスサーバーに直接接続して、認証サーバーに接続して、 1つのケーブルを外します。 別の方法を使用するには、ネットワークトポロジに切り替えて、認証サーバーとリモートアクセスを維持するためのデバイスを、自分のプライベートセグメントします。 から送信されたデータを他の1つは、その後の旅行の間に2つのシステムとそのセグメントのみ、他のシステムはできませんどこに表示されます。
隔離が議論され、次のコンテキスト:
スポンジサービスの差別化
|
|
スポンジのvlan
スポンジファイアウォール
最初の最も明白な概念とは、外部から内部ネットワークのトラフィックを分離します。 サービスの差別化は、ネットワークサービスの同定と分類します。 ネットワークサービスを提供されることができ、組織の外部のみに分類され、内部にのみ、または橋のサービスです。 名前が示すように、外部と内部のみの機能を提供するサービスの外部または内部ネットワークのいずれか、ではなく両方でした。 橋の両方のサービスを提供する機能を、内部ネットワークと外部ネットワークします。 外部のサービスは、孤立しなければならないサービスのネットワーク、またはホストされ、ユーザーの所在地を組織します。 また、これらのサービスの管理を経由して発生しなければ、前述のネットワークを管理します。 内部外部から守らなければならないインターネットサービスやネットワークサービスにアクセスできます。
それは危険な考えシステムや機器を接続せずに直接インターネットに何らかの形で保護するため、サービスを保護するため、必ずネットワークを保護するファイアウォールのような仕組みだ。
最も単純なネットワークトポロジルータと接続するには1つのインターフェイスを、他のユーザーの所在地を多重化するなどのデバイスをハブにします。 すべての内部システムは、その後ハブに接続しています。 ネットワークの詳細をせずに入らないようにするの番号は、これは効果的なインターネットへのアクセスを提供するには、システムのすべての内部組織が、それもでき、インターネット上ですべてのシステムを直接通信する各システムは、内部ネットワークにします。 各システムは、攻撃を受けやすいし、コンピューティングインフラストラクチャ全体の可能性があります。
インターネットへのアクセスの要求を送信および受信に分類されなければならないにアクセスできます。 発信アクセスのほとんどの共通の概念を意味してインターネットへのアクセス-ウェブサーバーと通信できるように、メールの送信、およびファイルのダウンロードします。 ほとんどのシステムで必要な外部へのインターネットへのアクセスが、通常より任意のインバウンドインターネットのトラフィックを確保する必要があります。 すべてのネットワーク通信やプロトコルの詳細はさておき、これらのアクションを実行する能力は必要ありません内部システムへのアクセスを提供し、インターネット上でそれらのだ。 ネットワークアーキテクチャを定義する際に、サービスを識別することが重要で、システムへのアクセスを必要としないインターネットベースのシステムの初期化されます。 安全面での配慮のためのネットワークアーキテクチャの基本的な形をとるとして今のクラスの3つの組織の外部ネットワークは、中間、および内部ネットワークにします。
コンピューティングパワーを提供するサービスの基盤を形成する組織のネットワークです。 さておき、設定方法を使用するとセキュリティを保護するため、個別のサーバーのオペレーティングシステムでは、隔離のネットワークサービスのセキュリティが重要な戦術と攻撃から保護するため、攻撃の効果を制限しています。 このサービスは、これらの機能を必要としてユーザーのコンピュータやネットワーク機器が提供されます。 共通のサービスを含める:
スポンジドメインネームシステム( dns )
メールスポンジ
スポンジウェブ検索
スポンジファイル共有
スポンジ印刷
スポンジネットワークのログイン
ドメインネームシステムサーバーでは、組織に頻繁に奉仕する内部ユーザーと同様に外部のインターネットにします。 アプリケーションdnsサービスを提供するには、歴史の脆弱性を攻撃することが許可されている妥協案を実行すると、システムはその記録を破損します。 この与えられた歴史、慎重に注意して安全保障が必要です。 組織を維持した場合は、独自のdnsサーバ、それは頻繁に最も適したサービスのネットワークを保護するために、内部ネットワークからの悪影響を攻撃します。 ネットワークアーキテクチャの一環として、セキュリティも強化され冗長します。 dnsサーバーを使用することにより、複数レベルの信頼性を提供するこのイベントには1つの攻撃に失敗した場合や、および配置して、これらのメリットは、ネットワークアーキテクチャ考察します。 複数のdnsサーバーに置かれるべきではないと同じネットワーク上に;の目的は、冗長性は高いレベルの信頼性を提供することで、イベントの1つのネットワークの失敗します。 dnsサーバーの両方の場所に位置した場合と同じネットワーク上に、または1つのサービスネットワークでは、両方を同時に撮影することができ、 1つのサービスを攻撃します。 理想的な解決策を見つけることは、ネットワークの冗長dnsサーバーを個別に異なるパスをしていた。 これにより、攻撃者からのすべてのドメイン名サービスを無効にせずに複雑な攻撃方法です。 dnsサーバーをファイアウォールで保護されなければならない、とプライマリサーバーの制限が設定されるべきでアクセス制御を許可して任意のクエリおよびdnsゾーン未知のサーバーに転送します。
分離を考慮することも必要にdns使用します。 dnsサーバーを使用し、 1つの団体の多くは、冗長性の有無にかかわらず、内部および外部の両方のクエリに答えています。 これは、インターネットベースのシステムにアクセスするには、ネームサーバーと同様、内部のシステムにします。 このブリッジの内部および外部ネットワークに存在する可能性が高い場合、ネームサーバーのセキュリティリスクが悪化した。 別のセキュリティリスクを使用している場合は、共通のネームサーバーの情報を明らかにします。 共通のdnsサーバーのすべての店舗の名前とネットワークの両方の情報を内部と外部からアクセス可能なシステムです。 この情報を集めることができ、攻撃者からして、サーバに到着するというアイデアは、合理的な内部ネットワークのアーキテクチャ、および潜在的なターゲットシステムを識別します。
これらの問題を解決する1つの分割は、 dnsのトポロジーは、 2つの別個のネームサーバーを作成するための1つのシステム上の内部ネットワークに、もう1つは、インターネット上でそれらを使用します。 次に、各レコードの更新は、独立して、外部のシステムを持たない情報については、内部ネットワーク上のシステムにアクセスできるようにします。 もはや潜在的な攻撃には、橋の間の内部および外部ネットワークでは、との効果の攻撃は限られています。
電子メールは1つの最も重要なネットワークサービスを提供する組織、およびメールサービスの設立は、ネットワークアーキテクチャの綿密な計画が必要です。 それは得策ではないとの電子メールをサポートし、 1つのメールサーバーです。 単一点障害が存在するときに、 1つのサーバのみを使用します。 同様に危険を提供することがメインのメールサーバーにアクセスできるようにするため、インターネットからの攻撃にさらす可能性や個人情報にアクセスできるようにしました。 1つの解決策はメールのリレーを確立して、ネットワーク上の別の場所で、その後のアクセスを許可し、プライマリのメールサーバーからのみそれらのシステムをリレーします。 メールリレーは、しばしばに位置してネットワークとのさらなるサービスを提供して、ユーザーの所在地をいくつかのレベルの冗長性は、攻撃やイベントの接続に関する問題を組織します。
攻撃に成功することができた場合は、メインのメールサーバに妥協すると、攻撃者にアクセスすることができ、他の多くのリソースに敏感な組織です。 メールリレーを使用すると、プライマリのメールサーバーを守ると、攻撃の効果を制限しています。 メールリレーのことができなければならないとの強い保護して、ファイアウォールのフィルタリングルールを、メインのメールサーバーにアクセスすべきである厳密に制御されたインバウンドのメールのみを許可するサーバーからリレーします。
多くの企業が、企業のウェブサイトを提供する仮想店舗を、インターネットやイントラネット、または内部のウェブサイトにある民間企業の情報が含まれます。 企業のウェブサイト、および内部でホストされなければならない別のマシンを分離するために、インターネットユーザーの従業員からの情報にアクセスできます。 企業のウェブサイトのネットワーク上の場所に基づいて決定さなければならないどれくらいのサイトのトラフィックを見ています。 非常に人気の高いウェブサイトに位置して、他のネットワークサービスなどのネットワークサービスのメールリレーdnsサーバーおよびそれらのサーバーに危険にさらされる可能性が起こった場合に、サービス拒否の攻撃します。 全体の帯域幅を消費することができ、レンダリングして他のサービスが使用できなくなります。 慎重に配置して、ウェブサーバーの冗長性と分散してリスクを最小限に抑えるに役立ち、このサービスに関連付けられています。 ウェブサイトに位置することができ、リモートサーバープロバイダーによってホストされ、またはロードバランスすることができ、ウェブトラフィックを複数のサーバー間で互いに近接して配置されたり、遠隔地でもします。
ファイル共有は、ネットワークの主要生活に活用することは、大多数の団体です。 それはまた、 1つのネットワーク上でより多くの共通の不安が見つかりました。 ネットワークアーキテクチャをサポートし、セキュリティやサービスの潜在的なリスクは保留して慎重に制御されるので、ネットワークのファイルサーバーにアクセスできるようにします。 ファイルシステムの間で共有する際に、複数のシステム上の内部ネットワークでは、アクセスすることができるようにすべきではないエクストラネット、ネットワークサービス、またはインターネット上します。 ファイル共有が許されることはありません不明であるか、外部からのシステムです。
ネットワークのログインには、ユーザーを認証する方法で使用されて、リモートまたはローカルシステムにします。 これには、インタラクティブなアクセスをunixのアカウントでは、 windowsのドメイン認証は、認証をウェブサイト、およびその他のサービスを必要とするユーザーの認証情報をアクセスできます。 そこには多くの方法では、ネットワークのログイン情報の多くは、これは非常に不安です。 その不安から来るのネットワークのログイン情報をクリア認証方法を使用するユーザーの認証情報は、そこに送信させずに、ネットワーク上でデータを暗号化またはその他の暗黒化します。
安全面での配慮のためには、ネットワーク設計のトラフィックを運ぶ隔離資格を最小限に抑えるための機会を盗聴vpnを使用すると、暗号化通信システムを提供して輸送中の資格情報を保護しています。 他の保護メカニズムを含めるファイアウォールのルールを許可しているプロトコルに機能しているセキュアに合格したから、内部ネットワークの境界をします。
telnetには、リモートシェル、およびftpは、よく利用されるサービスのトラフィックが許されるべきではない、内部ネットワークの外には、使用している場合である。 これらのサービスのフォームを送信するユーザーの認証情報を暗号化せずに、アタッカーを傍受するとの情報を傍受します。
使用する仮想ローカルエリアネットワーク( vlanの)は、比較的新しいアプローチをしてネットワークトポロジが起きたの発達に伴い、新たなネットワーク機器です。 vlanを提供する代わりに、通常の配線の簡素化され、ネットワークトポロジに切り替えて多様なネットワークを通じてより多くのハードウェア知的ます。 vlanのできるように、システムグループに別のセグメントを物理的なネットワークとシームレスに通信を必要とせずルータます。 1つの欠点を切り替えルーティングおよびネットワークシステムの物理的な場所は、多くの場合、特定のネットワーク上のおもむくままに自分の存在します。 たとえば、 2つのパットしているシステムを物理的に、同じ部屋で異なる2つのネットワーク上にネットワークケーブルを終了する必要があり、 2つの異なった場所で、それぞれのネットワークのアクセスポイントの1つです。 ネットワーク機器ではありません場合は物理的に同じエリアに位置して、これはかなり手に負えました。 vlanを許可するための能力と、このように透過します。
vlanの技術を使用しても安全面での配慮を促す可能性を使用しています。 指定して、動的な性質の仮想ネットワークにより、ネットワークのトラフィックが非常に細かいチューニングします。 能力を形状は、ネットワークのトラフィックの流れをコントロールする能力は、非常に柔軟性を提供することをさらに難しくしてセキュリティ機能を提供し、ネットワークの盗聴はこちらで、サービス拒否が簡単に妨害しようとします。 それは重要な部分に注意してから来るの利益のvlanの技術のmanageabilityがあります。 管理者は、より簡単にネットワークを監視する情報については、統計情報を収集し、異常な状態を解決すると通知します。
ファイアウォールで使用するネットワークアーキテクチャは通常見られるために必要なすべての組織がインターネットにアクセスできます。 便利なツールは、ファイアウォール、およびそれらを使用して、ネットワーク層のセキュリティアーキテクチャを提供します。 以前に説明したとおり、ファイアウォールの内部ネットワークを保護するためによく使用される不正なアクセスからインターネットベースのシステムです。 彼らを守るために使われることもネットワークやサービスのエクストラネットます。 ファイアウォールの使用を保証予防法ではありません、しかしします。 ネットワークを設計するときに、それは重要な制限を決定するために必要な組織と、ファイアウォールのどこが最も有益です。 ファイアウォールは、しばしば複数のアクセスポイントのネットワークを守るために活用し、専門的なネットワークインフラストラクチャを通してします。
ファイアウォールなどのフォームには、いくつかの異なる専用のファイアウォール機器、ソフトウェアベースのファイアウォールのスイート、との機能として組み込まれているネットワーク機器です。 ネットワークアーキテクチャを検討する際のセキュリティのため、便利に活用することが多い以上のいずれかの方法です。 ルーターが有用で、アプリケーションの汎用のフィルタリングルールのようなdisallowingアクセスできるように特定のポート番号またはサービスします。 ハードウェアとソフトウェアのファイアウォールと連動して動作することができ次にルーターのフィルタリングを実行するよりきめ細かい粒状に基づいてより多くのフラグやオプションなどの詳細プロトコル
Online: 404 users browsing the articles directory
|
|