DMZ di sicurezza per la trasmissione dati tra gli host della rete

DMZ Concetti

L'uso di una DMZ e il suo progetto e la realizzazione può essere relativamente semplice o estremamente complessi, a seconda delle esigenze del business o rete concetto di DMZ Sistem è entrato in uso come la necessità di una separazione delle reti è diventato più acuto quando abbiamo iniziato per fornire un maggiore accesso ai servizi per gli individui o le parti al di fuori della infrastruttura LAN. Una delle ragioni principali per cui la DMZ è venuto in auge è la realizzazione di un unico tipo di protezione è soggetto a fallimento failure.This possono derivare da errori di configurazione, la pianificazione degli errori, guasti, o azione deliberata da parte di un dipendente interno o esterni force.The attacco DMZ si è dimostrata più sicura e offre livelli multipli di protezione per la sicurezza delle reti protette e le macchine. È anche molto flessibile, scalabile, robusta e relativamente alla sua capacità di fornire la protezione cui abbiamo bisogno. Design DMZ ora include la possibilità di utilizzare più prodotti (sia hardware e software-based) su piattaforme multiple per raggiungere il livello di protezione necessarie, e sono spesso progettati per fornire capacità di failover pure. Quando stiamo lavorando con una DMZ, abbiamo deve avere un terreno comune da cui partire per work.To facilitare la comprensione, prendiamo in esame una serie di percorsi concettuali per il flusso di traffico nella sezione seguente. Prima di farlo, però, facciamo in modo capiamo le configurazioni di base che possono essere utilizzati per firewall e la posizione DMZ e come ognuno può essere visualizzato. Nelle figure seguenti, staremo a vedere e discutere di queste configurazioni. Si prega di notare che ciascuna di queste configurazioni è utile in reti interne che richiedono protezione, e proteggere le risorse da reti come Internet.

Progettazione End-to-End di sicurezza per la trasmissione dati tra gli host della rete

Design DMZ corretto, in combinato disposto con la politica di sicurezza e piano elaborato in precedenza, consente di end-to-end di protezione delle informazioni trasmesse sul network importanza di questa capacità è più approfondita più avanti in questo articolo, quando passiamo in rassegna alcuni i problemi di sicurezza inerenti l'implementazione corrente di TCP/IPv4 e la trasmissione d'uso data.The di uno o più dei tanti prodotti firewall o apparecchi attualmente disponibili saranno il più delle volte offrono la possibilità di bloccare o filtrare protocolli specifici e proteggere i dati come viene transmitted.This protezione può assumere la forma di crittografia e può utilizzare i mezzi a disposizione per proteggere i dati, come pure. Inoltre, l'uso corretto delle tecnologie disponibili all'interno di questo progetto in grado di fornire per le funzioni necessarie in precedenza dettagliate sui concetti di AAA e la CIA, utilizzando l'approccio multistrato di protezione che abbiamo discusso in precedenza sections.This necessità di fornire soluzioni end-to-end richiede che siamo familiarità con i modelli di traffico e ricordate di rete di base e protocols.The prossimi alcune sezioni illustrare ulteriormente la necessità di progettare la DMZ con questa funzionalità in mente.

Flusso del traffico e del protocollo Fundamentals

Un altro dei vantaggi di un design DMZ che include uno o più firewall è la possibilità di controllo del flusso del traffico in entrata e in uscita dalla DMZ molto più coeso e con molto maggiore granularità e flessibilità. Quando il prodotto firewall in uso (hardware o software) è un prodotto disegnato sopra il livello del homeuse, la possibilità esiste di solito per controllare il traffico che scorre dentro e fuori la rete DMZ o attraverso il filtraggio dei pacchetti basato su numeri di porta, e di concedere o negare l' utilizzo di protocolli intero. Per esempio, il set di regole potrebbe includere una dichiarazione che blocca la comunicazione tramite ICMP, che potrebbe bloccare il protocollo 1. Una dichiarazione che ha permesso il traffico IPSec in cui è stata voluta per consentire il traffico con ESP o AH avrebbe dovuto essere scritto che consenta di protocollo per ESP 50 o 51 per Authentication Header (AH). (Per un elenco degli ID di protocollo, www.iana.org visitare / incarichi / protocollo-numeri.) Ricordate che, come la regola di sicurezza che segue il principio del privilegio minimo, dobbiamo includere nel nostro progetto la capacità di consentire solo necessario traffico dentro e fuori le varie porzioni della struttura DMZ.

Making Your Security Come Together

Nel campo di battaglia di sicurezza odierni, sembra quasi impossibile win.You deve individuare i migliori prodotti e le procedure per l'organizzazione. Se si dispone di tutte le soluzioni suggerite di sicurezza, ma il personale non è sufficiente per la loro gestione, le soluzioni non possono essere sufficientemente efficaci. Basta avere i prodotti giusti, non sta andando a risolvere tutti i vostri problemi, si deve effettivamente capire come utilizzare e configurare il products.There non è una soluzione facile per quanto riguarda il modo migliore per andare sulla protezione tuo organization.This è il motivo per le aziende di tutto il mondo spendono centinaia di milioni di dollari in società di consulenza di entrare e prendere decisioni per loro. Abbiamo scoperto un sacco di cose in questo articolo, perché l'infrastruttura di rete è letteralmente e figurativamente la spina dorsale della rete. La creazione di una politica di sicurezza della rete tocca ogni aspetto della vostra rete, e una valutazione approfondita richiederà tempo e sforzi per completare in modo accurato la rete sia sicura come si può ragionevolmente, tenuto conto dei vincoli organizzativi e le considerazioni dovrete affrontare. è spesso utile per rompere l'infrastruttura di rete nelle sue sistemi o settori per garantire che coprono tutti i settori, compresi i dispositivi e mezzi di comunicazione, la topologia, intrusion detection e prevention, hardening del sistema, e tutti i componenti di rete quali router, switch, e modem. Dopo aver identificato tutte le zone, è necessario prendere un top-to-look fondo in che modo la sicurezza è attualmente implementato e quali minacce esistenti.

Guardando a questioni come la criticità di informazioni ed effettuare un'analisi di impatto, è possibile decidere quali devono essere inclusi nel progetto e cosa si può ragionevolmente essere lasciato fuori o differiti per una fase successiva, se necessario. Capire l'ambiente delle minacce e delle vulnerabilità della rete è anche Requisiti importanti durante la fase di pianificazione. bisogno di essere completamente sviluppate, in quanto costituiscono il fondamento del campo di applicazione del progetto. I requisiti funzionali dovrebbero essere sviluppati per primi, seguiti da tecnici, giuridici, e le esigenze della politica. Essere sicuri di costruire questi dati nel vostro compito quando si crea la WBS in modo che tutti gli elementi necessari saranno presenti e contabilizzati nel piano del progetto. In un progetto di sicurezza delle infrastrutture, avrete bisogno di un ampio ventaglio di competenze che la profondità e la durata vastità di conoscenze in rete. Essere sicuri di definire le competenze in modo da poter valutare la tua squadra e la vostra organizzazione per identificare le competenze gaps.These dovranno essere affrontate prima che il progetto possa procedere, e spesso richiede l'assunzione appaltatori esterni o di fornire formazione per il personale interno. In entrambi i casi, ciò può influenzare sia il budget e la pianificazione, in modo da essere sicuri di fare un analisi del divario tra le competenze necessarie e disponibili prima di procedere con il progetto. La WBS definisce la portata del progetto, così una volta identificati tutti i lavoro attraverso delineare i compiti, essere sicuri di fare un controllo di portata. Se il campo di applicazione definito è più piccolo del campo di applicazione indicato nel vostro WBS, è necessario conciliare le differenze.

Inoltre, assicurarsi di discutere eventuali modifiche di portata con il tuo sponsor del progetto in modo da iniziare con le stesse aspettative sui risultati del progetto. Pianificazione di un progetto di sicurezza delle infrastrutture può essere difficile a causa di tutte le parti in movimento involved.You 'll run in conflitti di programmazione, l'utilizzo delle risorse conflitti, problemi di temporizzazione, e more.These dovrebbe essere risolto al più alto grado possibile, prima di iniziare il progetto, perché le cose diventerà sempre più complicato e difficile da risolvere, una volta di lavoro del progetto è in corso. Una nota di programmazione importante è che con tutte le aree della rete si attizzava e spronato, sarà necessario per assicurarsi che le squadre sottoprogetto non stanno lavorando a cross-fini e disfare il lavoro appena fatto o involontariamente iniettare indicatori falso nel processo attraverso il loro compito proprio lavoro. Quando è tutto detto e fatto, si dovrebbe essere in grado di definire, implementare e gestire una politica molto utile la sicurezza della rete, se si segue una metodologia coerente e fare lavoro di squadra e priorities.This più alta qualità è il fondamento di tutti gli altri progetti di sicurezza; tocca tutto nella vostra organizzazione, in modo da conseguire risultati in questo creerà il quadro di una rete molto sicuro che ti aiuterà a dormire la notte, sapendo che hai fatto tutto il possibile per mantenere le attività della vostra organizzazione sicuro.

Soluzioni Fast Track

Definire la vostra organizzazione

- È necessario comprendere attività della vostra organizzazione e processi aziendali prima di poter imbarcazioni una politica di sicurezza di rete.

- Considerare l'IT esigenze e caratteristiche delle diverse aree all'interno della vostra azienda, ad esempio, il tuo sviluppatori di applicazioni possono avere diversi requisiti di sicurezza rispetto ai membri della vostra Area Risorse Umane.

- Essere consapevoli delle eventuali disposizioni di legge o regolamentari che la vostra azienda deve rispettare, come ad esempio le misure di conformità come SOX o HIPPAA. Trusted Networks

- Per quanto possibile, si dovrebbe definire la differenza tra le reti affidabili e non affidabili nel proprio ambiente, cioè, quelle reti che possono trasmettere in modo sicuro i dati sensibili rispetto a quelli che sono a rischio di attacchi interni o esterni.

- La maggiore disponibilità di casa a base di accesso a Internet ad alta velocità e wireless hotspots ha reso molto più difficile creare una linea di demarcazione tra le reti affidabili e non affidabili.

- Anche sulle reti di fiducia, la vostra politica di sicurezza della rete dovrebbe dettare le misure di protezione che devono essere poste in atto per proteggere i vostri dati, come si attraversa la rete. Reti non fidate

- Ogni volta che i tuoi dati attraversa la rete dove è a rischio di essere intercettata o manipolata da un utente malintenzionato, è necessario delineare i passi che minimizzi il rischio di questo si verifichi.

- Quando possibile, i dati aziendali non devono essere trasmessi attraverso una rete non sicura in modo chiaro-testo o altro formato facilmente leggibile.

- Tecnologie come Network Quarantine e Servizi Federazione farà un impatto sempre maggiore sulla sua capacità di proteggere la rete come la linea tra di fiducia e le reti non attendibili continua a sfumare.

Q. Ho già configurato un firewall perimetrale e numerose altre risorse per la mia azienda, non siamo già sicuri?

A. L'unico modo per rendere un computer o una rete completamente sicuro è quello di non collegarsi mai ad una rete o la spina in un floppy o un drive USB. (Cadere in mare nel bel mezzo del mare aiuta pure.) Nel moderno ambiente informatico, la frase che paga è "difesa in profondità" la configurazione di più livelli di sicurezza (entro i limiti dei bilanci e della ragione), in modo che se uno strato di fallisce, un altro strato sarà presente per garantire le risorse.

Q. Come è possibile determinare quali risorse sulla mia rete dovrebbe ricevere priorità al momento crafting nostra politica di sicurezza?

A. In un mondo perfetto, si avrebbe un budget illimitato per implementare la sicurezza perfetto per tutti gli aspetti della vostra rete. In realtà, hai solo così tanti soldi da spendere, e di solito non vale la pena spendere di più per garantire un'attività più che bene vale la pena. In molti modi, questa decisione non è di natura tecnica, ma deve essere fatta in collaborazione con i proprietari dei dati e decisori nella vostra organizzazione per determinare quali risorse devono essere la priorità in un budget limitato.

Q. Qual è la differenza tra una politica e una procedura?

A. La vostra politica di sicurezza della rete dovrebbe essere un documento di alto livello in grado di sopportare i cambiamenti nella tecnologia senza la necessità di una revisione costante. In aggiunta alla vostra politica di sicurezza, è possibile specificare una serie di procedure che dettaglio come garantire specifiche tecnologie o prodotti, queste procedure sono molto più di natura tecnica e può essere aggiornato in quanto la tecnologia si riferiscono a modifiche. In altre parole, la vostra politica di sicurezza della rete deve essere specificato il "Che", "Quando", "Dove" e "Chi", mentre il tuo procedure possono concentrarsi maggiormente sugli aspetti specifici del "come".

Q. Come faccio a rispondere per l'amministratore delegato o di altri VP, che insiste sul fatto che lui o lei devono essere esenti da tutte le restrizioni di sicurezza?

A. Questo è un ago delicata politica di thread, ma si sta facendo un disservizio alla vostra organizzazione, se non almeno fare un tentativo. Ad esempio, si potrebbe osservare che un virus di rete farà la stessa quantità di danni, indipendentemente dal fatto che ha avuto origine dal computer di un segretario o un laptop del CEO. E 'l'anello più debole "adagio in azione quando un certo segmento della rete è di sinistra non protetta, si può ridurre potenzialmente la sicurezza dell'intera rete.

un articolo presentato da Gustaf Grube

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "DMZ di sicurezza per la trasmissione dati tra gli host della rete" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.