Изоляция сетей влияет на поток сети данные, которые противоречат услуг на конкретных системах, и где они расположены. Это никак не повлияет на внутренние и внешние сети данные из путешествия через те же дорожки. Изолирующие часто используются для повышения безопасности и эффективности сети, изолировав некоторых трафик определенных физических проводов и сетей. Сеть изоляции достигается с использованием различных физических и виртуальных сетей в рамках одной организации отдельных функций. Сеть дизайнеры могут повысить безопасность путем организации сети в своих функциональных областях, и учитывая, что влияние каждой из этих функций по безопасности.
Одним из примеров сети изоляции - проектирование сети с тем, что полномочия удаленного доступа пользователей не поездки в любую сеть проводов или схем, которые подвергаются пользователями или другими системами. Проще представить эту безопасность для подключения удаленного доступа сервера непосредственно с сервером аутентификации с одним кабелем. Еще одним методом является использование коммутируемых сетевой топологии, сохранение подлинности сервер удаленного доступа и устройства на их собственные сегменты. Данные, отправленные с одного этапа к другому будет только поездки между двумя системами и их сегментах, где ни одна другая система не может его просматривать.
Изолирующие обсуждается в следующих контекстах:
· Служба дифференциации
|
|
· VLANS
· Брандмауэры
Первое и наиболее очевидное понятие изоляции от внешнего внутреннего сетевого трафика. Служба дифференциации заключается в выявлении и классификации сетевых услуг. Сеть услуг организации можно классифицировать как внешний только, - только внутренние, или мост услуг. Как видно из названия, внешней и внутренней - только услуги функцию либо внешней или внутренней сети, но не одновременно. Мост услуг функцию как для внутренней сети и внешней сети. Внешние услуги должны быть изолированы в сеть обслуживания, или под эгидой ISP для организации. Кроме того, руководство этих услуг должно происходить через упомянутые выше сети. Внутренний услуг должны быть защищены от внешних Интернет или услугу доступа к сети.
Считается опасным придавать систем и оборудования непосредственно к Интернету без определенной формы защиты, поэтому убедитесь, что для защиты службы сети с механизмами защиты, таких, как брандмауэр.
Простейший сетевой топологии принимает маршрутизатор соединяет один интерфейс для ISP и других к мультиплексирование устройство, такое как концентратор. Все внутренние системы затем подключены к концентратору. Не вдаваясь в подробности нумерации сети, это является эффективным для обеспечения доступа к Интернету для всех внутренних систем в организации, но и позволяет всем системам в Интернете общаться непосредственно с каждой системе по внутренней сети. Каждая система подвержена нападению, и весь вычислительной инфраструктуры может быть нарушена.
Требование доступа в Интернет следует разбить на исходящие и входящие доступа. Исходящий доступ относится к наиболее распространенным понятие доступа к сети Интернет - возможность общаться с веб-серверов, отправки электронной почты и загрузки файлов. Большинство систем требуют исходящий доступ в Интернет, но, как правило, необходимость обеспечения от произвольного въездному Интернет трафика. Все сети связи и протокола подробно стороне, способность выполнять эти действия не требуют внутренние системы, обеспечивающие доступ к тем в Интернете. При определении сетевой архитектуры, важно определить служб и систем, которые требуют доступа к Интернет по инициативе систем. В безопасности для сетевой архитектуры сейчас основной формы, как три организационных классов сети внешней, промежуточной и внутренней сетью.
В компьютерных услуг организации составляют основу сети. Помимо конфигурации и безопасности методов, используемых для защиты отдельных серверов и операционных систем, изоляции сети услуг является важным безопасности тактику, поскольку она защищает от нападения и ограничивает последствия нападения. Услуги эти функции, что пользователи нуждаются и услуги компьютеры и сетевое оборудование. Общие услуги:
· Система доменных имен (DNS)
· Электронная почта
· Web выступающей
· Совместное использование файлов
· Печать
· Сеть логин
В систему доменных имен серверов в организации часто выполняют внутренние пользователи, а также внешнего Интернета. Приложение, которое дает DNS услуг историю уязвимостей, которые позволяют атакующему скомпрометировать систему, на которой оно противоречит и коррумпированным его записей. В этой истории, пристальное внимание к безопасности не требуется. Если организация имеет собственные DNS сервера, часто лучше подходит для обслуживания сети, в целях защиты внутренней сети от вредного воздействия нападения. В рамках архитектуры сети, безопасности также активизируется в избыточности. Использование нескольких серверов DNS обеспечивает уровень надежности, в случае невыполнения или нападение на одну, а размещение этих заслуживает рассмотрения в сети архитектуры. Несколько DNS серверов не должны быть помещены в той же сети; С целью резервирования является обеспечение высокого уровня надежности, в случае провала одну сеть. Если оба DNS серверы находятся в той же сети или от одного сеть обслуживания, как они могут быть выведены из обслуживания одного нападения. Идеальным решением является излишним, чтобы найти DNS серверов на отдельных сетей, которые имеют различные пути к ним. Это не позволяет атакующему отключить от всех доменных имен услуги без сложного метода нападения. DNS серверов должно быть защищено брандмауэром, а также серверов начального должны быть настроены с контроля доступа ограничения, которые запрещают произвольные запросы DNS зоны и переводы неизвестных серверов.
Разделение DNS использование также требует рассмотрения. Многие организации используют один DNS сервер, или без избыточности, как ответить на внутренние и внешние запросы. Это означает, что Интернет систем имеют доступ к имени сервера, а также внутренние системы. Это преодоление внутренних и внешних сетей могут представлять собой высокий риск безопасности, если имя сервера скомпрометированы. Другой риск безопасности при использовании общего сервера имен является раскрытие информации. Общая DNS сервер хранит все названия и сетевой информации для внутренних и внешних доступных систем. Атакующий может получить эту информацию с сервера, прийти к разумной идею внутренней сетевой архитектуры, а также выявлять потенциальных целевых систем.
Одним из путей решения этих проблем является раскол - DNS топологии, которая создает две различные серверы имен - одно для систем внутренней сети и один для тех, кто в Интернете использовать. Записи в каждом затем обновляться самостоятельно, и внешними системами не имеют доступа к информации о внутренних сетевых систем. Нападавший не имеет потенциал мост между внутренней и внешней сетями, и последствия нападения ограничены.
Электронная почта является одним из наиболее важных сетевых услуг по организации, и создание службы электронной почты в сети архитектуры требует тщательного планирования. Это нежелательно для поддержки электронной почты с одним почтовым сервером. Почтовые серверы часто сохранять содержание users'mailboxes, в том числе частных компаний и конфиденциальной информации. А единой точки отказа присутствует при использовании только один сервер. Не менее опасным для обеспечения доступа к основным почтовым сервером из интернета, поскольку злоумышленник мая разоблачить или иметь доступ к своей личной информации. Одним из решений является создание почта реле в разных местах по сети, а затем разрешить доступ к первичным почтовым сервером только от тех, релейные системы. Почтовый реле часто расположены на обслуживание сети и дальше, на ISP обеспечить несколько уровней избыточности в случае нападения или подключения вопросы с организацией.
Если злоумышленник может добиться успеха в ущерба основной почтовый сервер, злоумышленник может затем доступ многих других важных ресурсов организации. Использование электронной почты реле защищает первичного сервера и ограничивает последствия нападения. Почтовый связи могут и должны быть защищены с сильным правила фильтрации на межсетевом экране, и главная почтового сервера необходимо также строго контролируется доступ - чтобы входящая почта только из ретрансляционных серверов.
Многие компании корпоративный веб-сайт, который предоставляет виртуальную витрину в Интернет и интранет, или внутри находится веб-сайт, содержащий информацию частной компании. В корпоративном и внутренние сайты должны быть размещены на отдельных машинах, с тем чтобы изолировать информации, доступной через Интернет пользователи из работников. Сеть расположения корпоративных веб-сайтов должны определяться исходя из того, сколько трафика сайт видит. Чрезвычайно популярный веб-сайт, расположенных на сети обслуживания с других сетевых услуг, таких как реле почты и DNS серверы могут поставить эти серверы в опасности в случае атака "отказ в обслуживании. Весь трафик может быть потреблен, оказание других услуг негодность. Тщательный размещения излишним и распространены Веб-серверы помогает минимизировать риски, связанные с этой службой. Веб-сайты могут быть расположены на удаленных серверах МПР, или Интернет трафик может быть сбалансированной нагрузки между несколькими серверами, в непосредственной близости друг от друга или даже в отдаленных районах.
Файл обмена является продуктом сетевой жизни, что используется в большинстве организаций. Это также является одной из наиболее распространенных неопределенность найти в сети. В сетевой архитектуры, которые поддерживают безопасность и услуги, которые обладают потенциальными рисками это путем тщательного контроля за сетевой доступ к файловым серверам. После обмена несколькими файловых систем на внутренних сетей, доступа не должно быть доступным для внешние, услуг сети или Интернет. Совместное использование файлов не должно быть позволено из неизвестных или внешних систем.
Сеть входы в методах, используемых для аутентификации пользователей к удаленной или локальной системы. Это включает в себя интерактивный доступ к счетам UNIX, Windows домена подлинности, аутентификации на сайтах, и любых других услуг, что требует пользователя для доступа. Есть много методов для входа в сеть, многие из которых весьма ненадежно. В области безопасности сетевых входов за счет использования cleartext подлинности методы которой пользователя передаются по сети без шифрования или другие данные помутнения.
Соображения безопасности на проектирование сети включают изоляцию трафика, который осуществляет полномочия, чтобы свести к минимуму возможность подслушивающие и использование VPN систем обеспечения шифрованной связи, которая защищает полномочия во время перевозки. Другие защитные механизмы включают правил брандмауэра, чтобы запретить протоколы, которые известны функции небезопасное от прохождения границы внутренних сетей.
Telnet, удаленного орудий и FTP обычно используются услуги которых трафик не следует допускать вне внутренней сети, если они используются на всех. Эти услуги передачи пользователя без какого-либо шифрования, что позволяет злоумышленнику eavesdrop и перехвата информации.
Использование виртуальных локальных сетей (VLANs) - это относительно новый подход к сетевой топологии, которые возникли с развитием нового сетевого оборудования. VLANs предоставить альтернативу обычным коммутируемым и маршрутизацией сетевой топологии за счет упрощения различных сетей через более интеллектуальное оборудование. В VLAN позволяет группах систем на различных физических сетей и сегментов общаться слаженно без необходимости маршрутизатор. Одним из недостатков маршрутизированных и коммутируемых сетей заключается в том, что физическое размещение системы зачастую диктует свое присутствие на конкретной сети. Например, поставив две системы, которые физически в той же комнате на двух различных сетей требует, чтобы сети кабелей прекратить в двух различных местах, по одному на каждом сети точки доступа. Если сетевое оборудование физически не находится в том же районе, это становится совершенно неуправляемой. VLANs возможности для этого потенциал и делать это открыто.
Использование технологии VLAN также соображения безопасности, что может стимулировать их использование. Характер виртуальных и динамично указанных сетей позволяет мелкозернистых настройки сетевого трафика. Способность формировать поток сетевого трафика - это возможность контроля, которая обеспечивает очень гибкие возможности безопасности, что затрудняет для подслушивающие сеть и обеспечить более легко срываются отказ в обслуживании попыток. Важно отметить, что часть благо технологии VLAN происходит от его управляемости. Администраторы могут легче контролировать сети информации, сбора статистической информации и уведомления и разрешения аномальные условия.
Использование межсетевых экранов в сетевой архитектуре в общем рассматривается как требование для любой организации, что имеет доступ к Интернету. Межсетевые экраны являются полезными инструментами, и их использование в сетевой архитектуры обеспечивает большую безопасность. Как упоминалось ранее, брандмауэры часто используются для защиты внутренней сети от несанкционированного доступа Интернет систем. Они также могут использоваться для защиты сетей и услуг внешние. Использование межсетевых экранов - это не метод профилактики гарантируется, однако. При проектировании сети важно для определения ограничений, необходимых для организации и, когда брандмауэр является наиболее выгодным. Несколько брандмауэров часто используются для защиты сети точек доступа и специализированных сетей по всей инфраструктуре.
Брандмауэры прийти в различных формах, включая выделенного межсетевого экрана устройства, программное обеспечение на базе межсетевого экрана апартаментов, а также встроенной функциональности сетевого оборудования. При рассмотрении безопасности для сетевой архитектуры, он часто полезно использовать более одного из этих методов. Маршрутизаторы являются полезными для применения общего правила фильтрации такими, как запрещение доступа к конкретным номера портов или услуг. Аппаратные и программные межсетевые экраны могут работать совместно с маршрутизаторами выполнять более мелкозернистой фильтрации на основе более подробных деталей, таких, как протокол флаги и варианты
Online: 417 users browsing the articles directory
|
|