Vier Regeln für die Sicherung Ihrer Geräte und lokales NetzwerkAugenmerk auf die folgenden vier Regeln wird ein langer Weg zu gehen, sicherzustellen, dass Ihr Gerät, Daten und lokalen Netzwerk so sicher wie möglich von Sicherheitsrisiken:
1. Verwenden Sie eine Firewall und konfigurieren Sie es mit der am stärksten einschränkenden Einstellungen, mit denen Sie das Gerät bei der Kommunikation führen dies erfordert. 2. Beschränken Sie den Zugriff auf einzelne geschützte Ressourcen mit Benutzernamen und Kennwörter. 3. Validate Daten, die von den Benutzern, den Inhalt sicher nicht schaden. 4. Verschlüsseln von Daten, die verborgen bleiben muss. Für jede dieser, müssen Sie die Risiken, wie sie für Ihr Gerät, überprüfen Sie dann die entsprechenden Massnahmen wie notwendig, um die Risiken zu verringern oder zu beseitigen. Die Maßnahmen werden mit dem Gerät unterschiedlich sein, die Firmware und die Sicherheit muss der Rechner in einem lokalen Netz das Gerät beimisst. Verwenden Sie eine FirewallEine Firewall ist die erste Verteidigungslinie gegen unbefugten Zugriff auf die Ressourcen des Geräts und das lokale Netzwerk. Kapitel 4 eingeführt Firewalls und erläutert die Notwendigkeit, diese zu konfigurieren, damit ein Gerät als Server im Internet funktionieren. Diese Vernetzung Tutorial hat mehr über Firewalls, einschließlich der Hinweise zur Wahl und eine Firewall verwenden, um den größtmöglichen Schutz für Ihr Gerät und das lokale Netzwerk bieten, dabei aber immer noch erlaubt erforderlichen Mitteilungen an die Firewall passieren. Drei Wege für ein Embedded-System-Firewall-Schutz zu erhalten, sind eine dediziertes Firewall-Gerät, eine Firewall-Software läuft auf einem PC im gleichen lokalen Netzwerk wie die Embedded-System-und Firewall-Firmware in das Gerät selber. Eine eigene Gerät ist am einfachsten zu verwenden. Firewall-Software in einem PC hat den Vorteil, kostet nichts, wenn Sie einen PC zur Verfügung und läuft, die als Firewall für das lokale Netzwerk-Funktion haben kann. Firmware, die die Funktion einer Firewall in das Gerät führt eine Option kann in einigen Fällen, in denen Sie ein einzelnes Gerät zu schützen. Firewall GrundlagenEin Firewall-Gerät ist ein Embedded-System, das zwischen einem lokalen Netzwerk oder Gerät und dem Internet oder anderen Netzwerken dem lokalen Computer (n) kommunizieren miteinander verbindet. Die Firewall ist in der Regel mehrere LAN-Ports für den Anschluss von lokalen Computern und-Hubs und einem WAN-Port, der mit der Außenwelt verbindet. Die lokalen Rechner sollen hinter der Firewall werden. Alles, was die WAN-Port kann mit zu kommunizieren, ist außerhalb der Firewall. In kleineren Netzwerken, den WAN-Port verbindet oft zu einem Kabel-oder DSL-Modem, das mit einem ISP verbindet. Jede Kommunikation oder von einem Computer außerhalb der Firewall muss über die Firewall auf einem Computer im lokalen Netzwerk zu erreichen. Die Firewall-Konfiguration legt fest, welche Verbindungen durch die Firewall passieren können. Firewalls sind in erster Linie mit Einschränkung des eingehenden Kommunikation betreffen, auch wenn in einigen Fällen kann eine Firewall auch Block ausgehenden Mitteilungen, die als betrügerisch, wie ein ausscheidender Datagramm mit einem nicht-lokalen Quelle erscheinen Adresse. Viele Firewall-Geräte sind Multi-Funktions-Geräte, die auch die Funktion einer Drehscheibe und einem Router mit Network Address Translation (NAT). (Siehe Kapitel 4, um weitere Informationen zu NAT.) Der Hub ermöglicht mehreren Computern an die Firewall in Verbindung zu treten. Um mehrere Computer hinzuzufügen, können Sie einem anderen Hub zu einem der lokalen Ports wie in Kapitel 2 in Verbindung zu treten. In ähnlicher Weise, ein Windows XP-PC konfiguriert werden, dass Internet Connection Sharing (ICS) kann ein lokales Netzwerk zu schützen, einschließlich eingebetteter Systeme zu verwenden, durch die Windows-XP-Internetverbindungsfirewall. Der PC muss mit zwei Netzwerkschnittstellen. Eine Ethernet-Schnittstelle verbindet den PC mit dem lokalen Computer durch die Firewall geschützt. Ein zweiter Ethernet-Schnittstelle oder eine Schnittstelle zum Modem verbindet den PC, die Welt außerhalb der Firewall. Die Internetverbindungsfirewall ist Konfigurationsoptionen ähnlich denen für ein dediziertes Firewall-Gerät. Eine Firewall legt fest, welche IP-Konfiguration der Firewall-Datagramme werden es ermöglichen, bis hin zum lokalen Netz laufen. Die meisten Firewall-Geräte unterstützen eine passwortgeschützte Web-Oberfläche für die Festlegung der Konfiguration. So konfigurieren Sie die Firewall-Gerät Sie ein Netzwerk angeschlossenen PC oder anderen Computer, die Sie anzeigen und Daten einzugeben auf den Webseiten können müssen, aber wenn die Firewall so konfiguriert ist, schützt das Gerät im Netzwerk, ohne dass ein PC angeschlossen. Für noch mehr Sicherheit, ermöglichen viele Firewalls Sie den Zugriff auf die Konfigurations-Seiten auf Computer im lokalen Netzwerk nur. Die Besonderheiten, wie man eine Firewall konfigurieren, je nach Hersteller und Modell zu beschränken, sondern die allgemeinen Konzepte sind die gleichen für alle Firewalls. Die Grundregel für die Konfiguration einer Firewall ist es, die gesamte Kommunikation über die Firewall mit Ausnahme derjenigen, die Sie explizit zulassen möchten blockieren. Arbeitsweise als ClientEinige eingebettete Systeme strikt als Kunden für die Anfrage Ressourcen aus oder senden Sie Daten an andere Computer, aber nicht auf die Kommunikation von Rechnern, hat der Auftraggeber nicht eingeleitet Kommunikation mit Funktion zu akzeptieren. Zum Beispiel, ein System, das das Internet nutzt nur regelmäßig Lesungen Sensor auf entfernte Computer zu senden muss nicht auf die Kommunikation von Computern, die andere als die, die das System sendet das Lesen zu akzeptieren. Die Firewall kann jedes Datagramm die eingegangenen von außerhalb der Firewall. Wenn die Informationen in den Header zeigt, dass das Datagramm ist die Quelle und das Ziel eines gültigen, die derzeit aktive Verbindung, kann das Datagramm durch das lokale Netzwerk Pass übereinstimmen. Wenn nicht, fällt die Firewall das Datagramm und können eine Antwort, die bedeutet, dass die Daten verweigert wurde, zurückgeben. Um zu entscheiden, ob auf eine empfangene Datagramm ermöglichen, zu den lokalen Netz laufen zu helfen, kann die Firewall zu erhalten und zu konsultieren eine Tabelle, die einen Eintrag enthält jede Verbindung. Bei einem lokalen Computer ein TCP-Segment-oder UDP-Datagramm sendet zu einem Remote-Host und Port, kann eine Firewall einen Tabelleneintrag, der eingehende Datenverkehr aus, dass Remote-Host und Port ermöglicht zu schaffen, um den angegebenen lokalen Host und Port übergeben. Bei TCP-Verbindungen, die Firewall löscht den Eintrag, wenn die TCP-Verbindung wird geschlossen, als durch die FIN oder RST Flagge gekennzeichnet. Bei UDP, die nicht verwendet formale Verbindungen, kann die Firewall ein Timeout verwenden, um zu entscheiden, wann, um den Eintrag zu löschen. TCP-Verbindungen können auch ein Zeitlimit als Backup für Fälle, in denen die Verbindung nicht richtig schließen. Wie in Kapitel 9 erläutert, in FTP-Übertragungen, die von Standard-Anfragen an den Server eine TCP-Verbindung für die Übertragung von Daten-Kanal öffnen. Wenn der Client-Firewall blockiert Anforderungen, um eine Verbindung zu öffnen, kann der Client Antrag auf passive oder verlängert passiven Modus zu verwenden, wenn der Client-Computer wird die Verbindung über eine Port-Nummer, die vom Server zur Verfügung gestellt. Hosting-Server einSoll ein lokaler Rechner muss in der Lage, Mittel für anfragenden Rechner außerhalb der Firewall dienen, müssen Sie die Firewall konfigurieren, damit die Anforderungen an die Firewall passieren zu verhindern, während andere, unerwünschte Datenverkehr von Erschließung des lokalen Netzwerks. Eine Firewall kann damit mehrere Optionen für die Einschränkung des eingehenden Verkehrs. Zum Beispiel könnte ein lokales Netzwerk gehören ein eingebettetes System, das einen Web-Server auf Port 80 Gastgeber, die Standard-Port für HTTP-Kommunikation. Konfigurationsoptionen dafür, dass eingehende HTTP-Anforderungen sind die folgenden, von den meisten restriktiver zu wenig restriktiv: • Eingehende IP-Datagramme, die nicht angehören, eine Remote-Verbindung nur, wenn sie in TCP-Segmente, die HTTP-Anfragen, die an Port 80 gerichtet sind, und leitet den TCP-Segmente auf einem vorgegebenen Rechner enthalten. Dies ist die sicherste Option. Ein Datagramm geht durch die Firewall nur dann, wenn das Datagramm ein TCP-Segment, die Inhalte des Segments Destination Port Number Feld 80 enthält, und den Inhalt der Daten des Segments Bereich zeigen, dass die Nachricht eine HTTP-Anfrage ist. Nicht alle Firewall-Geräte werden von Filtersystemen in diesem sehr ins Detail können. Außerdem werden weitere Fragmente in einem Datagramm fragmentiert nicht über eine TCP-oder HTTP-Header zu prüfen, so dass die Firewall muss ein Mechanismus, der zusätzlichen Fragmente durch die Firewall ermöglicht haben. • Eingehende IP-Datagramme, die nicht angehören, eine Remote-Verbindung nur, wenn sie in TCP-Segmente auf Port 80 gerichtet. Leiten Sie die TCP-Segmente zu einem angegebenen Host und Port. Diese Option ist wie die vorherigen mit der Ausnahme, dass es nicht prüfen den Inhalt der Daten des TCP-Segments Gebiet zu überprüfen, dass es eine HTTP-Anfrage enthält. • Lassen Sie alle eingehenden IP-Datagramme, die nicht angehören, eine bestehende Verbindung und übermittelt ihren Inhalt zu einem bestimmten Host. Dies ist die am wenigsten sichere Option, aber es kann für einige Anwendungen ausreichen. Zum Beispiel kann die angegebene Host ist ein Embedded-System, das nimmt nur HTTP-Zugriffe von bestimmten IP-Adressen, ignoriert alle anderen Mitteilungen. Weitere Konfigurationsmöglichkeiten eine Firewall hätte gehören dazu: • Geben Sie Remote-IP-Adressen, die einen lokalen Host empfangen kann Datenverkehr von. Diese Option ist nützlich, wenn Ihr Embedded-System kommuniziert nur mit einer bestimmten IP-Adresse oder eine Reihe von IP-Adressen. • Erlauben Sie nur bestimmten Computern mit Computern außerhalb der Firewall zu kommunizieren. Oder Block angegeben Computer von der Kommunikation mit dem Computer außerhalb der Firewall. Diese Optionen ermöglichen es Ihnen, damit ein Embedded-System auf dem Internet zu kommunizieren und schützt andere Rechner im lokalen Netzwerk, die nicht einen Internetzugang zu tun. Die Firewall kann können Sie den Computer über IP-Adresse oder Ethernet-Hardware-Adresse zu identifizieren. Mit Hardware-Adressen kann nützlich sein, wenn die IP-Adressen dynamisch zugewiesen werden und sind freibleibend. • Block jede ausgehende Kommunikation, wenn die Quell-Adresse des Datagramm ist kein lokale Adresse. (Eine Firewall mit NAT-Unterstützung werden die lokalen Adressen in öffentliche IP-Adresse der Firewall zu übersetzen, wenn das Senden das Datagramm über das Internet.) Diese Option kann einige bösartiger Software von Computern mit Ihrem lokalen Zugriff auf das Internet zu verhindern. • Lassen Sie einen Host hinter der Firewall, ohne Firewall-Schutz zu kommunizieren. Der Wirt soll in eine "entmilitarisierte Zone aufzuhalten" (DMZ) und muss seine eigene öffentliche IP-Adresse. Embedded FirewallsWenn Sie ein Gerät, das mit dem Internet verbindet sich selbst haben, ohne eine Verbindung zu einem lokalen Netzwerk, können Sie in der Lage sein, einen angemessenen Schutz in der Geräte-Firmware bietet, ohne dass eine eigene Firewall-Gerät. Dies gilt insbesondere, wenn das Gerät benötigt nur eine spezifische und beschränkte Internetzugang. Zum Beispiel, wenn das Gerät kommuniziert mit einer einzigen IP-Adresse über einen bestimmten User-Port können Sie die Firmware alle anderen Netzwerk-Kommunikation zu ignorieren. Für andere Anwendungen, wonach alle Benutzer Geben Sie einen Benutzernamen und ein Passwort vor dem Zugriff auf Ressourcen des Geräts (wie in der Basic-Authentifizierung Beispiele weiter oben in diesem Tutorial Vernetzung kann) einen angemessenen Schutz. Ein Artikel eingereicht von Daniel R. Disclaimer:Unsere Website ist nicht verantwortlich für den Inhalt dieses Artikels. Webarticles ist eine kostenlose Informationsquelle. Wichtig: Dieser Artikel "Vier Regeln für die Sicherung Ihrer Geräte und Local Network" wurde durch ein automatisches Software übersetzt. Wir fühlen uns leid für alle Rechtschreibfehler, die möglicherweise aufgetreten sind. Vielen Dank für Ihr Verständnis.
|
|||||
| Online: 303 users browsing the articles directory |
|
|