Isolatie Netwerk

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Isolatie van de netwerken van invloed op de stroom van het netwerk van gegevens, die diensten draaien op bepaalde systemen, en waar zij zich bevinden. Het heeft geen enkele invloed op de interne of externe netwerk gegevens van reizen over dezelfde paden. Isolatie wordt vaak gebruikt om de veiligheid en efficiëntie van het netwerk te versterken door het isoleren van bepaalde netwerk verkeer naar bepaalde fysieke draden en netwerken. Netwerk isolatie wordt bereikt met het gebruik van meerdere fysieke en virtuele netwerken binnen een organisatie te scheiden functionaliteit. Netwerk ontwerpers de veiligheid kunnen vergroten door het organiseren van het netwerk in zijn functionele gebieden en rekening houdend met de impact die elk van deze functies heeft op de veiligheid.

Een voorbeeld van het netwerk van isolement is om het netwerk zo te ontwerpen dat de geloofsbrieven van de RAS-gebruikers niet reizen over elk netwerk kabels of circuits die zijn blootgesteld aan gebruikers of andere systemen. De eenvoudigste methode om deze zekerheid is de RAS-server rechtstreeks verbinding maken met de authenticatie-server met een enkele kabel. Een andere methode is het gebruik van een geschakeld netwerk topologie, het voeren van de authenticatie-server en remote access device op hun eigen prive-segmenten. De gegevens verzonden van de ene naar de andere zal dan alleen reizen tussen de twee systemen en hun segmenten, waar geen andere systeem kunnen bekijken.

Isolatie wordt besproken in de volgende contexten:

· Service differentiatie

· VLANs

· Firewalls

De eerste en meest voor de hand liggende concept is de isolatie van de externe uit interne netwerkverkeer. Service differentiatie is de identificatie en categorisatie van netwerkdiensten. Het netwerk diensten van een organisatie kan worden gecategoriseerd als extern-only, interne-only, of brug diensten. Zoals de naam al impliceert, externe-en interne-only diensten functionaliteit om hetzij de externe of interne netwerk, maar niet beide. Bridge diensten functionaliteit voor zowel het interne netwerk en het externe netwerk. Externe diensten moeten worden geïsoleerd in een service-netwerk, of georganiseerd door de ISP voor de organisatie. Ook moet het beheer van deze diensten gebeuren via de eerder genoemde netwerk. Interne diensten moeten worden beschermd tegen externe internet of dienst toegang tot het netwerk.

Het wordt beschouwd als gevaarlijk voor de systemen en apparatuur hechten rechtstreeks aan het internet zonder enige vorm van bescherming, dus zorg ervoor dat dienst netwerken beveiligen met de bescherming van mechanismen zoals een firewall.

De eenvoudigste netwerk topologie is een router en verbindt een interface naar de ISP en de andere naar een multiplexing-apparaat, zoals een hub. Alle van de interne systemen worden dan aangesloten op de hub. Zonder het krijgen in de details van het netwerk van nummering, is dit effectief tot internet toegang tot alle van de interne systemen in de organisatie te bieden, maar maakt het ook mogelijk alle systemen op het internet om rechtstreeks te communiceren met elk systeem op het interne netwerk. Elk systeem is gevoelig voor aanvallen, en de hele informatica-infrastructuur zouden kunnen worden aangetast.

De eis voor Internet-toegang moet worden gecategoriseerd in uitgaande en binnenkomende toegang. Uitgaande toegang verwijst naar de meest gangbare concept van toegang tot internet-het vermogen om te communiceren met Web-servers, e-mail verzenden en downloaden van bestanden. De meeste systemen vereisen uitgaande toegang tot internet, maar meestal moeten beveiligen tegen willekeurige inkomende internetverkeer. Alle netwerk communicatie en protocol detail opzij, de mogelijkheid om het uitvoeren van deze handelingen vereist geen interne systemen om de toegang tot die op het Internet. Bij het definiëren van een netwerk architectuur, is het belangrijk om de diensten en systemen die wel toegang nodig geïnitieerd door internet-gebaseerde systemen te identificeren. De overwegingen van veiligheid voor de architectuur van het netwerk nu een basisvorm als drie organisatorische klassen van het externe netwerk-, de tussenpersoon, en het interne netwerk.

Diensten Differentiatie

De computing diensten van een organisatie vormen de basis van het netwerk. Afgezien van de configuratie en beveiliging methoden die worden gebruikt om de individuele servers te beschermen en besturingssystemen, geïsoleerd van het netwerk diensten is een belangrijk veiligheid tactiek, want het beschermt tegen aanvallen en beperkt de gevolgen van een aanval. De diensten zijn die functies die de gebruikers nodig hebben en worden geleverd door computers en netwerk-apparatuur. Gemeenschappelijke diensten omvatten:

· Domain Name System (DNS)

· E

· Webserver

· File sharing

· Printing

· Netwerk login

DNS

Het Domain Name System-servers in een organisatie vaak dienen de interne gebruikers en de externe internet. De toepassing die voorziet DNS services heeft een geschiedenis van kwetsbaarheden die zijn toegestaan aanvallers het systeem waarop het draait en corrupte registers zijn compromis. Gezien deze geschiedenis, is zorgvuldige aandacht voor de veiligheid nodig. Als de organisatie hun eigen DNS-server onderhoudt, is het vaak het meest geschikt voor de service netwerk met het oog op het interne netwerk te beschermen tegen schadelijke effecten van de aanval. Als onderdeel van het netwerk architectuur, is de beveiliging ook ondersteund door redundantie. Het gebruik van meerdere DNS-servers biedt een niveau van betrouwbaarheid in het geval van storing of aanval op een, en de plaatsing van deze aandacht verdient in het netwerk architectuur. Meerdere DNS-servers moet niet worden geplaatst op hetzelfde netwerk, het doel van redundantie is om een hoog niveau van betrouwbaarheid in het geval van het falen van een netwerk te bieden. Als beide DNS-servers bevinden zich op hetzelfde netwerk of op een enkele dienst netwerk, kunnen ze beide uit de vaart genomen door een enkele aanval. De ideale oplossing is te vinden redundante DNS-servers op verschillende netwerken die verschillende paden naar hen. Dit voorkomt dat aanvallers uit te schakelen alle domeinnaam diensten zonder een complexe aanval methode. DNS-servers moeten worden beschermd door een firewall, en primaire servers moeten worden geconfigureerd met beperkingen toegang controle die weigeren willekeurige vragen en DNS zone transfers naar onbekende servers.

De scheiding van DNS-gebruik vereist ook aandacht. Veel organisaties gebruiken een DNS-server, met of zonder redundantie, te beantwoorden zowel interne als externe vragen. Dit betekent dat de op internet gebaseerde systemen toegang hebben tot de server naam, alsook de interne systemen. Deze overbrugging van de interne en externe netwerken kan een groot gevaar voor de veiligheid als de naam-server in het gedrang komt. Een ander gevaar voor de veiligheid bij het gebruik van een gemeenschappelijke naam-server is de openbaring van informatie. De gemeenschappelijke DNS-server slaat alle van de naam en het netwerk informatie voor zowel intern als extern toegankelijke systemen. Een aanvaller kan achterhalen van deze informatie van de server, komen tot een redelijk idee van het interne netwerk architectuur, en identificeren potentieel doelwit systemen.

Een oplossing voor deze problemen is een split-DNS-topologie, die twee verschillende nameservers-een voor systemen op het interne netwerk en een voor die op het internet creëert om te gebruiken. De records worden vervolgens in elk onafhankelijk bijgewerkt en externe systemen hebben geen toegang tot informatie over intern netwerksystemen. De aanvaller heeft niet langer een mogelijke brug tussen de interne en externe netwerken, en de gevolgen van de aanval zijn beperkt.

E

Als een aanvaller kan slagen in gevaar te brengen de primaire mailserver, kan de aanvaller vervolgens toegang tot veel andere gevoelige middelen van de organisatie. Het gebruik van een mail relay verdedigt de primaire mailserver en beperkt de gevolgen van de aanval. De mail relay kunnen en moeten worden beschermd met sterke filtering regels voor de firewall en de primaire mailserver moet ook worden strikt gecontroleerde toegang mogelijk te maken inkomende e-mail alleen van de relais-servers.

Webserving

Veel bedrijven hebben een corporate website die de virtuele storefront biedt tot het internet en een intranet of intern gelegen website die particuliere onderneming informatie bevat. De corporate en interne websites worden gehost op aparte machines in om de informatie toegankelijk via internet gebruikers van werknemers te isoleren. Het netwerk locatie van corporate websites moeten worden bepaald op basis van hoeveel verkeer de site ziet. Een zeer populaire website bevindt zich op de service netwerk met andere netwerkdiensten zoals e-mail relais en DNS-servers kunnen brengen die servers in gevaar in het geval van een denial of service-aanval. De gehele bandbreedte kan worden geconsumeerd, waardoor de andere diensten onbruikbaar. De zorgvuldige plaatsing van overbodige en gedistribueerde webservers helpt bij het minimaliseren van de risico's verbonden aan deze service. Websites kunnen op externe servers worden gehost door de ISP, of Web-verkeer kan load-balanced tussen verschillende servers geplaatst in de onmiddellijke nabijheid van elkaar of zelfs in afgelegen gebieden.

Bestands-en printerdeling

Delen van bestanden is een hoofdbestanddeel van het netwerk van het leven dat wordt gebruikt bij een meerderheid van de organisaties. Het is ook een van de meest voorkomende onzekerheden gevonden op een netwerk. Het netwerk architectuur die de veiligheid en diensten die houden de potentiële risico's ondersteunt doet dat door een zorgvuldige controle van het netwerk toegang tot het dossier-servers. Toen het delen van bestandssystemen tussen meerdere systemen op de interne netwerken, moet de toegang niet beschikbaar zijn voor de extranetten, service-netwerk, of internet. File sharing mag nooit worden toegestaan van onbekende of externe systemen.

Netwerk Login

Netwerk logins zijn de methoden die worden gebruikt door de gebruikers te authenticeren met een externe of lokale systeem. Dit omvat interactieve toegang tot UNIX-rekeningen, Windows Domain authenticatie, verificatie van websites, en alle andere diensten die gebruiker referenties voor toegang vereist. Er zijn vele methoden voor het netwerk inloggen, waarvan vele zijn zeer onzeker. De onzekerheden van het netwerk logins komen uit het gebruik van cleartext authenticatie methoden waarin de gebruiker de geloofsbrieven worden verzonden over het netwerk zonder encryptie of andere gegevens verwarring.

Veiligheid overwegingen voor een netwerk ontwerp omvat de isolatie van het verkeer dat de geloofsbrieven van de gelegenheid voor het afluisteren te minimaliseren en het gebruik van VPN systemen voor versleutelde communicatie die de geloofsbrieven beschermt tijdens het transport te bieden draagt. Andere mechanismen ter bescherming van zijn firewall-regels aan de protocollen die bekend zijn weigeren om onveilig functie uit het passeren van de grens van de interne netwerken.

Telnet, remote schelpen, en FTP worden vaak gebruikt diensten waarvan het verkeer mag niet worden toegestaan buiten het interne netwerk, als het al gebruikt. Deze diensten zenden gebruikersreferenties zonder enige vorm van encryptie, waardoor een aanvaller af te luisteren en de informatie onderscheppen.

VLANs

Het gebruik van Virtual Local Area Networks (VLAN's) is een relatief nieuwe aanpak van de netwerktopologie die zijn ontstaan met de ontwikkeling van nieuwe netwerk-apparatuur. VLAN's bieden een alternatief voor de normale gerouteerd en schakelde netwerktopologie door vereenvoudiging van diverse netwerken door middel van meer intelligente hardware. De VLAN laat groepen van systemen op verschillende fysieke netwerken en segmenten naadloos communiceren zonder de noodzaak van een router. Een van de nadelen van gerouteerd en geschakelde netwerken is dat de fysieke locatie van de systemen vaak dicteert hun aanwezigheid op een bepaald netwerk. Bijvoorbeeld, waardoor twee systemen die fysiek in dezelfde ruimte op twee verschillende netwerken vereist dat de netwerk kabels te beëindigen op twee verschillende plaatsen, een op elk netwerk toegangspunt. Als het netwerk apparatuur niet fysiek in hetzelfde gebied, wordt dit nogal onhandelbaar. VLAN's mogelijk maken voor deze mogelijkheid, en wel transparant.

Het gebruik van VLAN-technologie heeft ook overwegingen van veiligheid kunnen bevorderen dat het gebruik ervan. De aard van virtuele en dynamisch gespecificeerd netwerken zorgt voor fijnkorrelig tuning van netwerkverkeer. De mogelijkheid om de doorstroming van het netwerkverkeer vorm is de mogelijkheid om het te controleren, die zeer flexibele beveiligingsmogelijkheden bepaalt dat het moeilijker maken voor netwerk afluisteren en te zorgen voor beter gedwarsboomd denial of service-pogingen. Het is belangrijk om dat deel van het voordeel van VLAN-technologie nota komt voort uit haar beheersbaarheid. Beheerders kunnen gemakkelijk controleren netwerk informatie te verzamelen van statistische informatie en kennis te stellen en op te lossen afwijkende voorwaarden.

Firewalls

Het gebruik van firewalls in een netwerk architectuur wordt algemeen gezien als een vereiste voor elke organisatie die toegang tot internet heeft. Firewalls zijn nuttige hulpmiddelen, en hun gebruik in het netwerk architectuur biedt meer veiligheid. Zoals eerder vermeld, zijn firewalls vaak gebruikt om interne netwerken te beschermen tegen toegang door onbevoegden op internet gebaseerde systemen. Ze kunnen ook worden gebruikt ter bescherming service netwerken en extranetten. Het gebruik van firewalls is niet een gegarandeerde preventieve methode, echter. Bij het ontwerpen van een netwerk, is het belangrijk om de beperkingen die nodig zijn voor de organisatie te bepalen en waar de firewall meest voordelig is. Meerdere firewalls worden vaak gebruikt om te beschermen netwerk access points en gespecialiseerde netwerken in de infrastructuur.

Firewalls zijn er in verschillende vormen aannemen, waaronder firewall apparaten, software gebaseerde firewall suites, en als ingebouwde functionaliteit van de netwerk-apparatuur. Bij de behandeling van de beveiliging voor een netwerk architectuur, is het vaak nuttig om meer dan een van deze methoden te gebruiken. Routers zijn nuttig voor de toepassing van generieke filtering regels zoals afwijzen toegang tot bepaalde poortnummers of diensten. Hardware en software firewalls kunnen dan werken in combinatie met de routers uit te voeren meer fijnkorrelig filteren op basis van meer gedetailleerde gegevens zoals protocol vlaggen en opties

een artikel afkomstig van Randy Groegel

Disclaimer: Onze website is niet verantwoordelijk voor de informatie in dit artikel. In dit artikel wordt op geen enkele manier de standpunten, meningen, gedachten of overtuigingen van de artikelen directory personeel.
Vertaling aankondiging: Het artikel "Netwerk Isolation" werd vertaald met behulp van een geautomatiseerde vertaling dienst. Onze excuses voor eventuele vertaalfouten die heeft plaatsgevonden. Dank u voor uw begrip.


Online: 1342 users browsing the articles directory