DMZ segurança para transmissão de dados entre os hosts da rede

Conceitos de DMZ

O uso de uma DMZ e sua concepção global e implementação pode ser relativamente simples ou extremamente complexo, dependendo das necessidades da empresa ou rede DMZ sistema.A conceito entrou em uso como a necessidade de separação das redes tornou-se mais aguda quando começamos para fornecer mais acesso aos serviços para pessoas físicas ou parceiros fora da infra-estrutura de LAN. Uma das principais razões pelas quais a DMZ veio a favor é a percepção de que um único tipo de proteção está sujeito a falha failure.This podem surgir de erros de configuração, planejamento de erros, falha de equipamento, ou dolo por parte de um funcionário interno ou externo ataque force.The DMZ provou mais seguro e oferece múltiplas camadas de protecção para a segurança das redes protegidas e máquinas. Também é muito flexível, escalável e relativamente robusto em sua capacidade de fornecer a proteção que precisamos. DMZ projeto agora inclui a capacidade de utilizar múltiplos produtos (hardware e software de base) em múltiplas plataformas para alcançar o nível de proteção necessário, e muitas vezes são projetados para fornecer capacidades de failover também. Quando estamos trabalhando com uma DMZ, nós deve ter uma base comum a partir da qual work.To facilitar a compreensão, vamos analisar uma série de caminhos conceituais para o fluxo de tráfego no ponto seguinte. Antes disso, porém, vamos nos certificar que entendemos as configurações básicas que podem ser usadas para firewall e DMZ localização e como cada um pode ser visualizado. Nas figuras seguintes, vamos ver e discutir estas configurações. Por favor, note que cada uma dessas formações é útil em redes internas que necessitam de protecção, e proteger seus recursos de redes como a Internet.

Projetando End-to-end de segurança para transmissão de dados entre os hosts da rede

DMZ concepção adequada, em articulação com a política de segurança e um plano desenvolvido anteriormente, permite o fim-de-final protecção da informação a ser transmitida na importância network.The desta capacidade é explorada de forma mais completa no final do artigo, quando analisamos algumas dos problemas de segurança inerentes à implementação atual do TCP/IPv4 ea transmissão de dados.O uso de um ou mais dos produtos de firewall ou de muitos aparelhos disponíveis atualmente na maioria das vezes vai dar a oportunidade de bloquear ou filtrar protocolos específicos e proteger os dados como está sendo protecção transmitted.This pode assumir a forma de criptografia e pode usar os transportes disponíveis para proteger os dados também. Adicionalmente, o uso adequado das tecnologias disponíveis dentro deste projeto pode fornecer para as funções necessárias anteriormente detalhados nos conceitos da AAA ea CIA, usando a abordagem de várias camadas de protecção discutimos no sections.This anteriores necessidade de proporcionar segurança de ponta a ponta requer que estamos familiarizados com os padrões e lembre-se da rede básica de tráfego e protocols.The próximas seções alguns ilustrar ainda mais a necessidade de conceber a DMZ com esta capacidade em mente.

Fundamentos do Fluxo de Tráfego e Protocolo

Outra das vantagens de utilizar um design DMZ, que inclui um ou mais firewalls é a oportunidade de controlar o fluxo de tráfego para dentro e fora da DMZ muito mais coesa e com muito mais flexibilidade e granularidade. Quando o produto de firewall em uso (hardware ou software) é um produto projetado acima do nível homeuse, normalmente existe a capacidade para controlar o tráfego flui dentro e fora da rede ou DMZ através de filtragem de pacotes com base em números de porta, e permitir ou negar o utilização de protocolos inteiro. Por exemplo, o conjunto de regras poderá incluir uma declaração que bloqueia a comunicação via ICMP, que iria bloquear o protocolo 1. Uma declaração que permitiu o tráfego IPSec onde era pretendido para permitir o tráfego usando ESP ou AH seria escrito permitindo protocolo ESP para 50 ou 51 para o Authentication Header (AH). (Para obter uma lista das identificações de protocolo, www.iana.org visita / atribuições / protocolo números.) Lembre-se que como a regra de segurança que segue o princípio do menor privilégio, devemos incluir em nosso projeto a capacidade de permitir que apenas necessário tráfego de e para as várias partes da estrutura DMZ.

Making Your Security Come Together

No campo de segurança de hoje, parece quase impossível win.You deve identificar os melhores produtos e procedimentos para sua organização. Se você tem todas as soluções de segurança sugeridas, mas o pessoal não é suficiente para administrá-las, as soluções podem não ser eficazes o suficiente. Basta ter os produtos adequados, não vai resolver todos os seus problemas, você deve efetivamente compreender como usar e configurar o products.There existe uma solução fácil quanto à melhor maneira de ir sobre como proteger seu organization.This É por isso que empresas de todo o mundo gastam centenas de milhões de dólares em empresas de consultoria para entrar e tomar decisões de segurança para eles. Nós cobrimos um lote de terreno neste artigo, porque sua infra-estrutura de rede é literal e figurativamente a espinha dorsal da rede. Criar uma rede de segurança toca todos os aspectos da sua rede, e uma avaliação minuciosa vai levar tempo e esforço cuidadoso para completar assim a sua rede é tão segura como se pode razoavelmente, dadas as limitações de organização e considerações que você terá que lidar com eles. É frequentemente útil para quebrar a estrutura de rede para baixo em seus sistemas ou áreas para ajudar a garantir que cobrem todas as áreas, incluindo dispositivos e meios de comunicação, topologia, detecção de intrusão e prevenção, o endurecimento do sistema, e todos os componentes de rede como roteadores, switches, e modems. Depois de identificar todas as áreas, você precisa ter um olhar de cima para baixo, com a forma como a segurança é implementado atualmente e que as ameaças existem.

Ao olhar para questões como a criticidade da informação e realizar uma análise de impacto, você pode decidir o que deve ser incluído em seu projeto eo que pode razoavelmente ser deixada de fora ou adiada para uma fase posterior se for necessário. Compreender o ambiente de ameaças e vulnerabilidades de sua rede também é Requisitos importantes durante a sua fase de planejamento. precisam ser cuidadosamente desenvolvidos porque elas formam a base do escopo do projeto. Os requisitos funcionais devem ser desenvolvidas primeiro, seguido de técnico, jurídico e as exigências da política. Certifique-se de construir estes detalhes em sua tarefa quando você cria sua WBS, para que todos os elementos que estarão presentes e contabilizados em seu plano de projeto. Em um projeto de segurança da infra-estrutura, você precisará de uma ampla variedade de habilidades que medem a profundidade e amplitude do conhecimento em rede. Tenha certeza que você definir essas habilidades para que possa avaliar a sua equipe e sua organização para identificar gaps.These competências terão de ser tratadas antes que seu projeto possa prosseguir, e muitas vezes exige contratação de prestadores externos de serviços ou fornecimento de treinamento para o pessoal interno. De qualquer maneira, isso pode afetar seu orçamento e sua programação, assim que certifique-se de fazer uma análise das lacunas entre as competências necessárias e disponíveis antes de prosseguir com seu projeto. A EAP define o âmbito do seu projecto, assim uma vez que você identificou todos os trabalho através de delinear as tarefas, não se esqueça de fazer uma verificação de abrangência. Se o escopo definido é menor do que o escopo descrito na sua WBS, é preciso conciliar as diferenças.

Além disso, certifique-se de discutir eventuais mudanças no escopo de seu patrocinador do projeto assim que você começa com as mesmas expectativas sobre os resultados do projeto. Agendamento de um projeto de segurança da infra-estrutura pode ser um desafio, devido a todas as partes móveis involved.You 'll run em conflitos de agendamento, o uso de recursos conflitos de edições, calendário, more.These e deve ser resolvido para o maior grau possível antes de iniciar o projeto, pois as coisas só ficam mais complicadas e difíceis de resolver de uma vez o trabalho do projeto está em andamento. Uma observação importante é que a programação de todas as áreas de sua rede que está sendo cutucados e exibidos, você precisa ter certeza de equipes dos subprojetos não estão trabalhando com objetivos e desfazer trabalho feito apenas ou inadvertidamente injetar indicadores falso no processo através da sua própria tarefa trabalho. Quando tudo está dito e feito, você deve ser capaz de definir, implementar e gerenciar uma política de segurança de rede muito útil se você seguir uma metodologia consistente e fazer o trabalho em equipe e priorities.This superior de qualidade é a base de todos os outros projetos de segurança; o que toca em tudo na sua organização, para o sucesso aqui vai criar a estrutura de uma rede muito seguro que irá ajudá-lo a dormir à noite, sabendo que você fez todo o possível para manter os bens da sua empresa segura.

Solutions Fast Track

- Você precisa entender o negócio da sua organização e processos de negócio antes que você possa criar uma política de segurança da rede.

- Considere as necessidades de TI e as características das diferentes áreas dentro de sua empresa, por exemplo, os desenvolvedores da sua aplicação pode ter diferentes requisitos de segurança que os membros da sua área de Recursos Humanos.

- Esteja ciente de quaisquer exigências legais ou regulamentares que sua empresa tem de cumprir, tais como medidas de conformidade como SOX ou HIPPAA. Trusted Networks

- Tanto quanto possível, você deve definir a diferença entre as redes confiáveis e não confiáveis em seu ambiente, ou seja, as redes de segurança que pode transmitir dados sensíveis contra aqueles que estão em risco por invasores internos ou externos.

- O aumento da disponibilidade de casa à base de acesso à Internet de alta velocidade e wireless hotspots tornou muito mais difícil criar uma linha de demarcação entre as redes confiáveis e não confiáveis.

- Mesmo em redes confiáveis, a sua política de segurança de rede deve ditar as medidas de protecção que devem ser postas em prática para proteger seus dados enquanto eles atravessam a rede. Redes não confiáveis

- Toda vez que os dados trafegam pela rede onde está em risco de ser interceptado ou manipulado por um usuário mal-intencionado, você precisa definir as medidas que irão minimizar o risco de isso acontecer.

- Sempre que possível, os dados corporativos não devem ser transmitidos por uma rede não confiável em um texto-claro ou formato facilmente legível outros.

- Tecnologias como a Rede de quarentena e os serviços da Federação terá um impacto cada vez maior sobre sua capacidade de proteger a sua rede como a linha entre a confiança e as redes não confiáveis continua a borrar.

Q. Eu já configurei um firewall de perímetro e inúmeros outros recursos para minha empresa, já que não estamos seguros?

A. A única maneira de tornar um computador ou rede completamente segura é nunca se conectar a uma rede ou a ficha em um disquete ou drive USB. (Deixá-la cair no mar no meio do oceano ajuda também.) No ambiente de computação moderno, a frase que paga é a "defesa em profundidade" configurar várias camadas de segurança (dentro dos limites do orçamento e da razão), de modo que, se uma camada falhar, outra camada estará presente para proteger os seus recursos.

Q. Como posso determinar que os recursos na minha rede devem receber prioridade na elaboração da nossa política de segurança?

A. Em um mundo perfeito, você teria um orçamento ilimitado para implantar segurança perfeita para todos os aspectos da sua rede. Na realidade, você só tem muito dinheiro para gastar e geralmente não é a pena gastar mais em garantir um activo do que o ativo vale a pena. De muitas maneiras, essa decisão não é uma questão técnica, mas deve ser feito em conjunto com os proprietários de dados e tomadores de decisão na sua organização para determinar quais recursos devem ser prioridade em um orçamento limitado.

Q. Qual é a diferença entre uma política e um procedimento?

A. Sua política de segurança de rede deve ser um documento de alto nível que possa suportar as mudanças na tecnologia sem a necessidade de constante revisão. Além de sua política de segurança, você pode especificar um número de procedimentos que detalham como proteger determinadas tecnologias ou produtos, esses procedimentos são muito mais de natureza técnica e pode ser atualizado conforme a tecnologia se referem a alterações. Em outras palavras, sua política de segurança de rede deve especificar "o que", "Quando", "Onde" e "Quem", enquanto seus procedimentos podem concentrar-se mais sobre as especificidades de "como".

Q. Como faço para responder ao CEO ou outros VP que insiste que ele ou ela deve ser isenta de todas as restrições de segurança?

A. Esta é uma agulha político delicado para segmento, mas você está fazendo um desserviço para a sua organização se não pelo menos fazer a tentativa. Por exemplo, você pode notar que um vírus de rede irá fazer a mesma quantidade de dano, independentemente de ela se originou de um computador de secretária ou laptop do CEO. É o elo mais fraco "adágio em ação, se um determinado segmento da rede fica inseguro, ele pode reduzir a segurança de toda a rede.

---

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "DMZ segurança para transmissão de dados entre os hosts da rede" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.

---