DMZ de sécurité pour transmission de données entre machines sur le réseauDMZ Concepts L'utilisation d'une DMZ et sa conception globale et la mise en œuvre peuvent être relativement simples ou très complexes, en fonction des besoins de l'entreprise ou un réseau particulier system.The concept DMZ est entré en fonction comme la nécessité d'une séparation des réseaux est devenue plus aiguë lorsque nous avons commencé de fournir un meilleur accès aux services pour les particuliers et les partenaires extérieur de l'infrastructure LAN. Une des raisons principales pour lesquelles la zone démilitarisée est venu en grâce est la réalisation d'un seul type de protection est soumise à l'échec failure.This peuvent découler d'erreurs de configuration, des erreurs de planification, une panne d'équipement ou d'une action délibérée de la part d'un employé interne ou externe attaque force.The DMZ s'est avérée plus sûre et offre de multiples couches de protection pour la sécurité des réseaux protégés et les machines. Il est également très flexible, évolutif et relativement robuste dans sa capacité à fournir la protection dont nous avons besoin. DMZ conception inclut maintenant la possibilité d'utiliser de multiples produits (matériel et logiciel) sur des plateformes multiples pour atteindre le niveau de protection nécessaire, et sont souvent conçus pour fournir des capacités de basculement ainsi. Lorsque nous travaillons avec une DMZ, nous doit avoir un terrain d'entente à partir duquel work.To faciliter la compréhension, nous examinons un certain nombre de voies conceptuelles pour l'écoulement du trafic dans la section suivante. Avant cela, cependant, nous allons nous assurer de comprendre les configurations de base qui peuvent être utilisées pour les pare-feu et l'emplacement DMZ et comment chacun peut être visualisé. Dans les figures suivantes, nous allons voir et de discuter de ces configurations. S'il vous plaît noter que chacune de ces configurations est utile sur des réseaux internes ayant besoin de protection, et protéger vos ressources de réseaux comme Internet. Concevoir End-to-End de sécurité pour transmission de données entre machines sur le réseauUne conception adaptée en zone démilitarisée, en liaison avec la politique de sécurité et d'un plan mis au point antérieurement, permet en effet d'assurer la protection de fin de l'information transmise sur l'importance network.The de cette capacité est examinée plus en détail dans l'article, lorsque nous passons en revue certains des problèmes de sécurité inhérents à l'implémentation actuelle de TCP/IPv4 et la transmission de données.Le utilisation d'un ou de plusieurs des produits de nombreux pare-feu ou les appareils actuellement disponibles seront le plus souvent les moyens la possibilité de bloquer ou de filtrer des protocoles spécifiques et protéger les données comme il est transmitted.This protection mai prendre la forme de cryptage et peuvent utiliser les transports disponibles pour protéger les données aussi bien. En outre, l'utilisation appropriée des technologies disponibles au sein de cette conception peut prévoir les fonctions nécessaires précédemment détaillées dans les concepts de l'AAA et la CIA, en utilisant l'approche multicouche de protection, nous avons discuté plus tôt dans sections.This nécessité de fournir de bout en bout la sécurité exige que nous sommes au courant de schémas de base et se souvenir du trafic réseau et protocols.The prochaines sections peu mieux illustrer la nécessité de concevoir la zone démilitarisée avec cette capacité à l'esprit. Débit de la circulation et au Protocole de FundamentalsUn autre des avantages d'utiliser un design zone démilitarisée qui comprend un ou plusieurs pare-feu est la possibilité de contrôler le flux du trafic entrant et sortant de la zone démilitarisée beaucoup plus cohérente et avec une grande granularité de plus en souplesse. Lorsque le produit de l'utilisation de pare-feu (matériel ou logiciel) est un produit destiné au-dessus du niveau usage à la maison, la capacité existe habituellement pour contrôler le trafic entrant et sortant du réseau ou DMZ par filtrage de paquets basé sur des numéros de port, et autoriser ou refuser la utilisation de protocoles entier. Par exemple, le jeu de règle pourrait comporter une déclaration qui bloque la communication via ICMP, ce qui bloquerait le protocole 1. Une déclaration qui a permis le trafic IPSec où elle a été voulue pour permettre aux véhicules utilisant ESP ou AH serait écrite permettant protocole 50 pour ESP 51 pour les Authentication Header (AH). (Pour une liste des identifiants de protocole, www.iana.org visite / cessions / protocole numéros.) N'oubliez pas que comme la règle de sécurité qui suit le principe du moindre privilège, nous devons inclure dans notre conception de la capacité nécessaires pour autoriser uniquement trafic entrant et sortant des diverses parties de la structure de zone démilitarisée. Making Your Security Come Together
Dans le champ de bataille de sécurité d'aujourd'hui, il semble presque impossible de win.You doit identifier les meilleurs produits et procédures de votre organisation. Si vous avez toutes les solutions de sécurité proposées, mais pas assez de personnel pour les gérer, les solutions de mai ne pas être suffisamment efficaces. Il suffit d'avoir les produits appropriés ne va pas résoudre tous vos problèmes, vous devez effectivement à comprendre comment utiliser et configurer le products.There pas de solution facile sur la meilleure manière d'aller sur la sécurisation de votre organisation.Cette C'est pourquoi les entreprises partout dans le monde dépensent des centaines de millions de dollars sur la consultation des entreprises à entrer et à prendre des décisions de sécurité pour eux. Nous avons couvert beaucoup de terrain dans cet article car votre infrastructure réseau est littéralement et au figuré l'épine dorsale de votre réseau. Création d'une touche à la politique de sécurité réseau à chaque aspect de votre réseau, et une évaluation approfondie prendra du temps et des efforts attention de bien saisir si votre réseau est aussi sûr que l'on peut raisonnablement, étant donné les contraintes organisationnelles et considérations que vous aurez à traiter. Il est souvent utile pour sortir de l'infrastructure de réseau en ses systèmes ou domaines pour contribuer à veiller à ce que vous couvrez toutes les zones, y compris les dispositifs et les médias, la topologie, la détection et prévention d'intrusion, le durcissement du système, et tous les composants de réseau tels que routeurs, commutateurs, et les modems. Une fois que vous avez identifié tous les domaines, vous avez besoin de prendre un top-to-look fond à quel point la sécurité est actuellement mis en œuvre et quelles menaces existent. En examinant des questions telles que la criticité de l'information et en effectuant une analyse d'impact, vous pouvez décider ce qui doit être inclus dans votre projet et ce qui peut raisonnablement être laissé de côté ou retardé pour une phase ultérieure, si nécessaire. Comprendre le contexte des menaces et des vulnérabilités de votre réseau est également Les besoins importants durant votre phase de planification. être minutieusement développés car ils constituent le fondement de la portée de votre projet. Exigences techniques devraient être développées en premier, suivi technique, juridique, et les exigences politiques. Assurez-vous de les intégrer dans les détails de votre tâche lorsque vous créez votre WBS afin que tous les éléments requis seront présents et pris en compte dans votre plan de projet. Dans un projet d'infrastructures de sécurité, vous aurez besoin d'une grande variété de compétences que la profondeur de l'envergure et du l'étendue des connaissances en réseau. Assurez-vous de définir ces compétences afin que vous puissiez évaluer votre équipe et votre organisation à identifier les compétences gaps.These devront être adressées avant que votre projet peut continuer, et nécessite l'embauche souvent entrepreneurs de l'extérieur ou assurant des formations pour les membres du personnel interne. De toute façon, cela peut affecter à la fois votre budget et votre emploi du temps, donc soyez sûr de faire une analyse de l'écart entre les compétences nécessaires et disponibles avant de procéder à votre projet. Le WBS définit la portée de votre projet, donc une fois que vous avez identifié tous les travail à travers la délimitation des tâches, veillez à effectuer une vérification de portée. Si le champ d'application défini est plus petit que le champ d'application décrites dans votre WBS, vous avez besoin de concilier les différences. Aussi, n'oubliez pas de discuter de tout changement à votre portée promoteur de projet afin de commencer avec les mêmes attentes quant aux résultats du projet. Planification d'un projet de sécurité d'infrastructure peut être difficile compte tenu de toutes les pièces mobiles involved.You 'Run LL dans les conflits d'horaires, l'utilisation des ressources conflits, problèmes de synchronisation, et more.These devraient être résolus à la plus large possible avant de commencer le projet, parce que les choses ne feront plus compliqué et difficile à résoudre une fois les travaux du projet est en cours. Une note de planification important, c'est qu'avec tous les domaines de votre réseau se faire piquer et poussé, vous devez vous assurer que les équipes de sous-projet ne travaillent pas à contre-courant et de défaire le travail vient de le faire par inadvertance ou par injection de faux indicateurs dans le processus par leur propre tâche travail. Quand tout sera dit et fait, vous devriez être en mesure de définir, d'implémenter et gérer une grande utilité politique de sécurité réseau, si vous suivez une méthodologie cohérente et de faire le travail d'équipe et priorities.This la plus haute qualité est le fondement de tous les projets de sûreté; Il touche à tout dans votre organisation, tant de succès ici sera de créer le cadre pour un réseau très sécurisé qui vous aidera à dormir la nuit, sachant que vous avez fait tout son possible pour garder actif de l'organisation sécurisée. Solutions Fast Track Définition de votre organisation - Vous devez bien comprendre les activités de votre organisation et les processus d'affaires avant de pouvoir élaborer une politique de sécurité réseau. - Envisager les besoins en TI et les caractéristiques des différentes zones au sein de votre entreprise, par exemple, vos développeurs d'applications mai n'ont pas les mêmes exigences de sécurité que les membres de votre zone de ressources humaines. - Etre conscient de toutes les exigences légales ou réglementaires que votre entreprise a besoin pour se conformer, comme les mesures de conformité, comme sox ou HIPPAA. Trusted Networks - Autant que possible, vous devez définir la différence entre la confiance et non fiable des réseaux dans votre environnement, à savoir, celles des réseaux qui peuvent transmettre des données sensibles en toute sécurité par rapport à ceux qui sont en péril par des attaquants internes ou externes. - La disponibilité accrue du domicile d'accès Internet haute vitesse et les hotspots sans fil a rendu beaucoup plus difficile de créer une ligne de démarcation entre les réseaux de confiance et non fiable. - Même sur les réseaux de confiance, votre politique de sécurité réseau devrait dicter les mesures de protection qui doivent être mises en place pour protéger vos données lorsqu'elles transitent sur le réseau. Réseaux non sécurisés - À tout moment vos données traverse un réseau où il est à risque d'être interceptées ou manipulées par un utilisateur malveillant, vous devez exposer les mesures qui réduiront au minimum le risque de ce produire. - Autant que possible, les données commerciales ne devraient pas être transmis sur un réseau non sécurisé dans un texte en clair ou tout autre format facilement lisible. - Des technologies telles que le Réseau de quarantaine et des services de fédération aura un impact de plus en plus important sur votre capacité à sécuriser votre réseau comme la limite entre confiance et des réseaux non sécurisés continue à s'estomper. Q. J'ai déjà configuré un pare-feu de périmètre et de nombreuses autres ressources pour ma société, ne sommes nous pas déjà sécurisé? A. La seule façon de rendre un ordinateur ou un réseau complètement sûr est de ne jamais se connecter jamais à un réseau ou de brancher un lecteur de disquette ou disque USB. (C'est goutte par-dessus bord au milieu de l'océan est aussi utile.) Dans l'environnement informatique moderne, la phrase qui paie est «défense en profondeur" la configuration de plusieurs couches de sécurité (dans les limites des budgets et de la raison) de sorte que, si une couche échoue, une autre couche sera présent pour sécuriser vos ressources. Q. Comment puis-je déterminer où les ressources de mon réseau devraient être prioritaires au moment d'énoncer notre politique de sécurité? A. Dans un monde parfait, il devrait avoir un budget illimité pour déployer la sécurité parfait pour tous les aspects de votre réseau. En réalité, vous n'avez tant d'argent à dépenser et ce n'est normalement pas la peine de dépenser plus sur l'obtention d'un actif de cet actif ne vaut. À bien des égards, cette décision n'est pas une technique, mais doit être faite en conjonction avec les propriétaires de données et les décideurs de votre organisation pour déterminer quelles ressources doivent être prioritaires dans un budget limité. Q. Quelle est la différence entre une politique et une procédure? A. Votre politique de sécurité réseau devrait être un document de haut niveau qui peuvent résister à des changements dans la technologie sans avoir besoin d'une révision constante. En plus de votre politique de sécurité, vous pouvez spécifier un certain nombre de procédures qui décrivent en détail la façon de sécuriser des technologies spécifiques ou de produits; ces procédures sont beaucoup plus technique par nature et peuvent être mis à jour la technologie dont ils se réfèrent à des modifications. En d'autres termes, votre politique de sécurité réseau devrait préciser le «Que», «quand», «Où», et «Qui», tandis que vos procédures peuvent se concentrer davantage sur les particularités du «comment». Q. Comment puis-je répondre au chef de la direction ou l'autre vice-président qui insiste sur le fait qu'il ou elle devrait être exemptée de toutes les restrictions de sécurité? A. Il s'agit d'une aiguille politique délicat à fil, mais vous faites un mauvais service à votre organisation si vous n'avez pas au moins le tenter. Par exemple, vous pouvez signaler qu'un virus réseau fera la même quantité de dégâts peu importe si elle émanait de l'ordinateur d'un secrétaire ou l'ordinateur portable du PDG. C'est le "maillon faible" adage à l'action si un certain segment de votre réseau est laissé sans garantie, elle peut potentiellement réduire la sécurité de l'ensemble du réseau. un article présenté par Gustaf Grube Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite. Important: Cet article «zone démilitarisée de sécurité pour transmission de données entre les hôtes sur le réseau" a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.
|
|||||
| Online: 121 users browsing the articles directory |
|
|