DMZ Sicherheit für die Datenübertragung zwischen Rechnern des Netzwerks

DMZ-Konzepte

Die Verwendung einer DMZ und Gesamtkonzeption und Umsetzung lässt sich relativ einfach oder sehr komplex, je nach den Bedürfnissen der jeweiligen Geschäfts-oder Netzwerk system.The DMZ Konzept kam in Verwendung als die Notwendigkeit für die Trennung der Netze wurde immer akuter, als wir anfingen auf, mehr Zugang zu den Dienstleistungen für Einzelpersonen oder Partnern außerhalb der LAN-Infrastruktur. Einer der wichtigsten Gründe, warum die DMZ hat die Gunst kommen, ist die Erkenntnis, dass eine einzige Art von Schutz unterliegen failure.This Fehler kann von der Projektierung Fehler entstehen, Planung Fehler, Betriebsstörungen oder vorsätzliches Handeln seitens der ein interner Mitarbeiter oder Angriffe von außen Kraft getretenen DMZ hat bewiesen, sicherer und bietet mehrstufigen Schutz für die Sicherheit der geschützten Netzwerke und Maschinen. Es ist auch sehr flexibel, skalierbar und relativ robust in seiner Fähigkeit, den Schutz, den wir brauchen. DMZ-Design beinhaltet jetzt die Möglichkeit, mehrere Produkte zu verwenden (sowohl Hardware-und Software-basiert) auf mehreren Plattformen, um die Höhe der erforderlichen Schutz zu erreichen, und sind häufig so ausgelegt, um die Failover-Funktionalität sowie bereitzustellen. Wenn wir arbeiten mit einer DMZ, wir muss eine gemeinsame Grundlage, von dem aus work.To erleichtern das Verständnis haben, prüfen wir eine Reihe von konzeptionellen Wege für den Verkehrsfluss in den folgenden Abschnitt. Zuvor jedoch wollen wir sicherstellen, dass wir verstehen die grundlegenden Konfigurationen, die für Firewall und DMZ-Standort genutzt werden können und wie jeder kann sichtbar gemacht werden. In den folgenden Abbildungen werden wir sehen, und diskutieren diese Konfigurationen. Bitte beachten Sie, dass jede dieser Konfigurationen auf interne Netzwerke schutz ist sinnvoll, Ihre Ressourcen und zum Schutz von Netzwerken wie dem Internet.

Entwerfen von End-to-End Sicherheit für die Datenübertragung zwischen Rechnern des Netzwerks

Proper DMZ-Design, entwickelt in Zusammenarbeit mit der Sicherheitspolitik und der Plan zuvor, eine End-to-End-Schutz der Informationen auf dem von network.The Bedeutung dieser Funktion übertragen wird mehr voll ausgeschöpft später in dem Artikel, wenn wir einige Rezension der Sicherheit verbundenen Probleme in der aktuellen Implementierung von TCP/IPv4 und die Übermittlung von Daten erfasst, Verwendung von einem oder mehreren der vielen Firewall-Produkte oder Geräte zur Zeit zur Verfügung steht meistens die Möglichkeit zu blockieren oder zu filtern bestimmte Protokolle und den Schutz der Daten leisten wie es wird transmitted.This Schutz kann die Form der Verschlüsselung zu nehmen und können die verfügbaren Transporte nutzen, um Daten sowie zu schützen. Darüber hinaus, die richtige Anwendung der Technologien, die innerhalb dieses Design kann für die notwendigen Funktionen, die zuvor in den Konzepten von AAA und detaillierte CIA unter Verwendung der mehrschichtigen Ansatz zum Schutz diskutierten wir in früheren sections.This müssen End-to-End-Sicherheit erfordert dass wir vertraut mit und merken Sie sich grundlegende Netzwerk-Traffic-Muster und protocols.The nächsten Abschnitten näher zu erläutern, dass die DMZ mit dieser Fähigkeit im Auge Design.

Traffic Flow und Protokoll Grundlagen

Ein weiteres die Vorteile der Verwendung einer DMZ-Design, das eine oder mehrere Firewalls umfasst, ist die Möglichkeit, den Verkehrsfluss in und aus der DMZ viel mehr zusammenhängend und Kontrolle mit viel mehr Granularität und Flexibilität. Wenn die Firewall-Produkt im Einsatz (Hardware-oder Software) ist ein Produkt über den Heimgebrauch Ebene konzipiert wurden, die Möglichkeit besteht in der Regel zu fließenden Verkehrs innerhalb und außerhalb des Netzes oder DMZ-Paket Kontrolle durch Filterung von Port-Nummern auf, und erlauben oder verweigern die Nutzung der gesamten Protokolle. Zum Beispiel könnte die Regel-Satz eine Erklärung enthalten, dass Blöcke Kommunikation über ICMP, welches Protokoll 1 Block würde. Eine Aussage, die erlaubt IPSec-Verkehr, wo es gewünscht wurde, damit Verkehr mit ESP oder AH würde geschrieben werden, dass für ESP Protokoll 50 oder 51 für Authentication Header (AH). (Für eine Liste der Protokoll-IDs finden Sie www.iana.org / Aufgaben / Protokoll-Nummern.) Beachten Sie, dass ebenso wie die Regelung der Sicherheit, dass das Prinzip der geringst möglichen Privilegien folgt, müssen wir in unserem Entwurf die Möglichkeit enthalten, nur dann erforderlich, damit Verkehr in die und aus den verschiedenen Teilen der DMZ-Struktur.

Making Your Security Come Together

In der heutigen Sicherheitslage Schlachtfeld, es scheint fast unmöglich, win.You müssen die besten Produkte und Verfahren für Ihr Unternehmen zu identifizieren. Wenn Sie alle der vorgeschlagenen Security-Lösungen haben, aber nicht genügend Personal, um sie zu verwalten, können die Lösungen nicht wirksam genug. Einfach mit den entsprechenden Produkten wird nicht alle Ihre Probleme zu lösen, müssen Sie verstehen, wie effektiv zu bedienen und konfigurieren Sie die products.There es keine einfache Lösung für die beste Möglichkeit, um die Sicherung Ihrer organization.This gehen, ist, warum Unternehmen in der ganzen Welt zu verbringen Hunderte von Millionen von Dollar für Consulting-Unternehmen zu kommen und Sicherheit für sie Entscheidungen zu treffen. Wir haben viel Boden in diesem Artikel behandelt, weil Ihre Netzwerk-Infrastruktur ist buchstäblich und im übertragenen Sinne das Rückgrat Ihres Netzwerks. Schaffung eines Netzes Sicherheitspolitik berührt jeden Aspekt Ihres Netzwerks und eine gründliche Bewertung wird Zeit und sorgfältige Anstrengungen auszufüllen, damit Ihr Netzwerk ist so sicher wie es vernünftigerweise angesichts der organisatorischen Zwängen und Erwägungen Sie zu tun haben werden, zu nehmen. Es ist oft hilfreich, um die Netzwerk-Infrastruktur in seine Systeme oder Gebiete zu brechen, um sicherzustellen, dass Sie alle Bereiche, einschließlich der Geräte und Medien, die Topologie, Intrusion Detection und Prevention, System Hardening decken, und alle Netzwerkkomponenten wie Router, Switches, und Modems. Nachdem Sie alle Bereiche identifiziert, müssen Sie einen von oben nach unten sehen, wie Sicherheit wird derzeit durchgeführt werden und welche Gefahren bestehen zu nehmen.

Mit einem Blick auf Themen wie Informations-Kritikalität und Durchführung einer Analyse der Auswirkungen, können Sie entscheiden, was in Ihrem Projekt enthalten und werden, was vernünftigerweise weggelassen werden, oder für einen späteren Phase, wenn nötig verzögert. Verständnis der Bedrohung Umwelt und die Schwachstellen Ihres Netzwerks ist auch wichtig, während der Planungsphase. Bedarf müssen sorgfältig entwickelt werden, weil sie die Grundlage für den Geltungsbereich Ihres Projekts bilden. Funktionale Anforderungen sollte zuerst entwickelt, gefolgt von technischen, rechtlichen und politischen Anforderungen. Achten Sie darauf, diese in Ihre Aufgabe Details, wenn Sie Ihre PSP zu schaffen, damit alle benötigten Elemente werden anwesend sein und machte in den Projektplan. In einem Projekt die Sicherheit der Infrastruktur, werden Sie eine Vielzahl von Fähigkeiten benötigen, die sich über die Tiefe und bauen Breite Wissen vernetzen. Achten Sie darauf, diese Fähigkeiten zu definieren, so dass Sie Ihr Team beurteilen kann, und Ihre Organisation Fähigkeiten gaps.These identifizieren müssen, bevor Ihr Projekt gehen können behandelt werden, und erfordert oft Hinzuziehung externer Auftragnehmer oder für die Schulung für interne Mitarbeiter. So oder so, kann dies auch Ihr Budget und Ihre Zeitplanung beeinflussen, so werden Sie sicher, dass Sie eine Gap-Analyse zwischen Bedarf und vorhandenen Qualifikationen vor dem Verfahren mit Ihrem Projekt. Die PSP wird der Anwendungsbereich des Projekts, so dass, sobald Sie festgestellt haben alle Arbeit durch die Abgrenzung der Aufgaben, müssen Sie einen Bereich überprüfst. Wenn die definierten kleiner ist als der Anwendungsbereich in Ihrem PSP dargelegt, müssen Sie die Unterschiede in Einklang zu bringen.

Auch, dass Sie alle Änderungen mit Ihrem Geltungsbereich Projektträger zu erörtern, so dass Sie mit den gleichen Erwartungen über die Projektergebnisse zu starten. Scheduling eine Infrastruktur, die Sicherheit kann eine Herausforderung sein Projekt durch alle beweglichen Teile involved.You 'll run in Terminüberschneidungen, Ressourcen-Nutzung Konflikte, Zeitprobleme und more.These sollte es sein, den höchsten Grad möglich vor Beginn des Projekts entschlossen, weil die Dinge nur erhalten komplizierter und schwer zu lösen sind, wenn die Projektarbeit ist im Gange. Ein wichtiger Planung ist festzustellen, dass mit allen Bereichen Ihres Netzwerks sein stieß und stieß, werden Sie sicherstellen, Teilprojekt-Teams arbeiten nicht aneinander vorbei und Verderben brauchen Arbeit gerade getan oder versehentlich falsche Injektion von Indikatoren in den Prozess durch ihre eigene Aufgabe arbeiten. Wenn alles gesagt und getan ist, sollten Sie in der Lage sein zu definieren, zu implementieren und zu verwalten ein sehr nützliches Netzwerk Sicherheitspolitik, wenn Sie einen einheitlichen Methodik folgen und Teamarbeit und Qualität oberste priorities.This ist die Grundlage aller anderen Security-Projekte; es berührt, alles in Ihrer Organisation, so dass Erfolg hier wird die Rahmenbedingungen für einen sehr sicheren Netzwerk, das Ihnen helfen, in der Nacht schlafen zu erstellen, zu wissen, man habe alles mögliche, um Ihre Organisation Vermögenswerte zu sichern getan.

Solutions Fast Track

Definieren Sie Ihre Organisation

- Sie müssen in Ihrem Unternehmen Business-und Business Prozesse zu verstehen, bevor Sie ein Netzwerk Sicherheitspolitik kann Handwerk.

- Betrachten Sie die IT-Bedürfnisse und Besonderheiten der verschiedenen Bereiche in Ihrem Unternehmen, z. B. die Anwendung Entwickler haben möglicherweise unterschiedliche Sicherheitsanforderungen als Mitglieder Ihrer Human Resources-Bereich.

- Seien Sie rechtliche oder regulatorische Anforderungen, die die Anforderungen Ihres Unternehmens zu erfüllen, wie zum Beispiel Compliance-Maßnahmen wie SOX oder HIPPAA bewusst. Trusted Networks

- Soweit möglich, sollten Sie den Unterschied zwischen definieren vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken in Ihrer Umgebung, dh Netze, die sicher übertragen können sensible Daten im Vergleich zu denen, die Gefahr durch interne oder externe Angreifer sind.

- Die zunehmende Verfügbarkeit von zu Hause aus High-Speed-Internetzugang und WLAN-Hotspots hat es sehr viel schwieriger, eine Demarkationslinie zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken zu schaffen.

- Auch in vertrauenswürdigen Netzwerken, sollte Ihr Netzwerk Sicherheitspolitik der Schutzmaßnahmen, die durchgeführt werden sollten, um Ihre Daten zu schützen, wie es das Netzwerk durchläuft diktieren. Vertrauenswürdige Netzwerke

- Jedes Mal, wenn Sie Ihre Daten ein Netzwerk durchläuft, wo sie Gefahr laufen, abgefangen oder von einem böswilligen Benutzer manipuliert werden können, müssen Sie die Schritte, die das Risiko minimieren, dass dies geschieht, wird zu skizzieren.

- Wann immer möglich, sollte die Wirtschaft Daten erst dann über ein nicht vertrauenswürdiges Netzwerk übertragen werden, eine Klartext-oder andere, leicht lesbaren Format.

- Technologien wie zB Netzwerk-Quarantäne und Federation Services machen einen immer größeren Einfluss auf Ihre Fähigkeit, Ihr Netzwerk wie die Linie zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken weiter zu verschwimmen zu sichern.

Q. Ich habe schon ein Perimeter-Firewall konfiguriert und zahlreiche andere Ressourcen für mein Unternehmen, sind wir nicht schon jetzt sicher?

A. Die einzige Möglichkeit, einen Computer oder ein Netzwerk machen komplett sicher ist es nie zu einem Netzwerk oder Stecker verbinden, eine Diskette oder USB-Laufwerk. (Dropping sie über Bord in der Mitte des Ozeans hilft auch.) In der modernen IT-Umgebung, der Satz, der zahlt, ist "Defense in Depth" Konfiguration mehrerer Schichten der Sicherheit (im Rahmen des Budgets und der Vernunft), so dass, wenn eine Schicht fehlschlägt, wird eine weitere Schicht vorhanden sein, um Ihre Ressourcen zu sichern.

Q. Wie kann ich feststellen, welche Ressourcen im Netzwerk sollte Priorität erhalten, wenn crafting unserer Sicherheitspolitik?

A. In einer perfekten Welt würden Sie haben ein unbegrenztes Budget perfekte Sicherheit für alle Aspekte Ihres Netzwerks bereitzustellen. In Wirklichkeit haben Sie nur so viel Geld ausgeben und so ist es normalerweise nicht wert, mehr Geld für die Sicherung eines Vermögenswertes als Vermögenswert wert ist. In vielerlei Hinsicht ist diese Entscheidung nicht eine technische Frage, sondern muss in Verbindung mit Daten Eigentümer und Entscheidung getroffen werden, Entscheidungsträger in Ihrem Unternehmen, auf die Ressourcen zu bestimmen, muss Vorrang eingeräumt werden in einer begrenzten Budget.

Q. Was ist der Unterschied zwischen einer Politik und eines Verfahrens?

A. Ihr Netzwerk-Sicherheitspolitik sollte eine High-Level-Dokument, das Änderungen in der Technologie, ohne ständige Überprüfung standhalten kann. In Ergänzung zu Ihrer Sicherheitspolitik, können Sie eine Reihe von Verfahren, die erläutert, wie Sie bestimmte Technologien oder Produkte zu sichern angeben; diese Verfahren sind viel eher technischer Natur und kann als die Technologie, die sie beziehen sich auf Änderungen aktualisiert werden. Mit anderen Worten, geben Sie Ihr Netzwerk Sicherheitspolitik "Was", "Wann", "Wo" und "Wer", während Ihr Verfahren konzentrieren können, mehr über die Besonderheiten des "Wie".

Q. Wie reagiere ich an den CEO oder andere VP, der darauf besteht, dass er oder sie sollte von allen Beschränkungen befreit Sicherheit?

A. Das ist eine heikle politische Nadel zum Faden, aber du tust ein Bärendienst für Ihre Organisation, wenn Sie nicht wenigstens den Versuch machen. Zum Beispiel könnten Sie darauf hinweisen, dass ein Netz-Virus die gleiche Menge an Schaden anrichten wird, unabhängig davon, ob sie vom Computer eine Sekretärin oder die CEO's Laptop entstanden. Es ist das "schwächste Glied" der Spruch in Aktion, wenn ein bestimmter Teil der linken Seite ist Ihr Netzwerk ungesichert, kann es möglicherweise verringern die Sicherheit des gesamten Netzwerks.

---

Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle.
Wichtig: Dieser Artikel "DMZ Sicherheit für die Datenübertragung zwischen Rechnern des Netzwerks" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.

---