Quatre règles pour sécuriser vos périphériques et réseau local

Prêter attention aux quatre règles suivantes ira un long chemin en veillant à ce que votre appareil, les données et réseau local sont aussi sécuritaires que possible des risques de sécurité:

1. Utilisez un pare-feu et la configurer avec les paramètres les plus restrictifs qui permettent à votre appareil pour effectuer les communications qu'il exige.

2. Restreindre l'accès à des ressources protégées individuelles avec des noms d'utilisateur et mots de passe.

3. Valider les données fournies par les utilisateurs pour s'assurer que le contenu ne sera pas causer de dommages.

4. Crypter les données qui doivent rester privés.

Pour chacun de ceux-ci, vous avez besoin d'examiner les risques qui s'appliquent à votre appareil, puis prendre des mesures au besoin pour réduire ou éliminer les risques. Les actions varient avec l'appareil, le firmware, et les besoins de sécurité des ordinateurs dans un réseau local de l'appareil est attaché.

Utilisez un pare-feu

Un pare-feu est la première ligne de défense contre l'accès non autorisé aux ressources de votre appareil et votre réseau local. Chapitre 4 pare-feu présenté et expliqué la nécessité de configurer de façon à permettre à un dispositif de fonctionner comme un serveur sur Internet. Cette mise en réseau tutoriel a plus sur les pare-feux, y compris la façon de choisir et d'utiliser un pare-feu pour assurer la protection maximale pour votre appareil et le réseau local, tout en permettant les communications nécessaires à traverser le pare-feu. Trois façons pour un système embarqué d'obtenir une protection pare-feu sont une dédié périphérique pare-feu, un logiciel pare-feu fonctionnant sur un PC dans le même réseau local que le système embarqué, et le firmware de pare-feu dans l'appareil lui-même. Un dispositif spécifique est la plus facile à utiliser. Logiciel pare-feu dans un PC a l'avantage de ne coûte rien si vous avez un PC disponibles et en cours d'exécution qui peut fonctionner comme un pare-feu pour un réseau local. Firmware qui effectue la fonction d'un pare-feu dans le dispositif peut être une option dans certains cas où vous avez besoin pour protéger un seul appareil.

Firewall Basics

Un dispositif pare-feu est un système embarqué qui se connecte entre un dispositif ou réseau local et de l'Internet ou autres réseaux de l'ordinateur local (s) de communiquer. Le pare-feu a généralement plusieurs ports LAN pour connecter des ordinateurs locaux et les moyeux et un port WAN unique qui relie au monde extérieur. Les ordinateurs locaux sont, dit-on derrière le pare-feu. Tout le port WAN peut communiquer avec l'extérieur est le pare-feu. Dans les réseaux plus petits, le port WAN connecte souvent à un modem câble ou DSL qui se connecte à un FAI. Toute communication à destination ou à partir d'un ordinateur à l'extérieur du pare-feu doit passer par le pare-feu pour parvenir à un ordinateur du réseau local. La configuration du pare-feu détermine laquelle les communications peuvent passer par le pare-feu. Pare-feu sont principalement à restreindre les communications entrantes, si, dans certains cas, un pare-feu de mai également bloquer les communications sortantes, qui semblent être frauduleux, comme un datagramme à l'étranger avec une source non locales Adresse. De nombreux dispositifs pare-feu sont des dispositifs multi-fonction qui exercent également les fonctions d'un hub et un routeur avec la traduction d'adresse réseau (NAT). (Voir le chapitre 4 pour en savoir plus Nat.) Le hub permet à plusieurs ordinateurs de se connecter au pare-feu.

Pour ajouter d'autres ordinateurs, vous pouvez connecter un autre concentrateur à un des ports locaux comme décrit au chapitre 2. De la même façon, un PC Windows XP configuré pour utiliser le Partage de connexion Internet (ICS) ne peut protéger un réseau local, y compris les systèmes embarqués, en permettant à Windows XP Internet Connection Firewall. Le PC doit disposer de deux interfaces réseau. Une interface Ethernet connecte le PC sur les ordinateurs locaux protégés par le pare-feu. Une interface Ethernet deuxième ou une interface avec un modem se connecte le PC au monde en dehors du pare-feu. Internet Connection Firewall a des options de configuration semblables à celles d'un dispositif pare-feu dédié. Une configuration de pare-feu, qui détermine les datagrammes IP du pare-feu permettra de passer à travers le réseau local. La plupart des dispositifs pare-feu soutenir un Web protégé par mot de passe interface pour la définition de la configuration. Pour configurer le pare-feu, vous avez besoin d'un réseau connecté à un PC ou autre ordinateur qui vous permet de visualiser et de saisir des informations sur les pages Web, mais une fois le pare-feu est configuré, le dispositif protège le réseau sans nécessiter un PC connecté. Pour plus de sécurité, beaucoup de firewalls vous permettre de restreindre l'accès aux pages de configuration pour les ordinateurs du réseau local uniquement. Les détails de la façon de configurer un pare-feu varient avec le fabricant et le modèle, mais les concepts généraux sont les mêmes pour tous les pare-feux. La règle de base pour configurer un pare-feu est de bloquer toutes les communications à travers le pare-feu, sauf ceux que vous voulez explicitement à autoriser.

Fonctionnant comme un client

Certains systèmes embarqués ne peut strictement fonctionnent comme des clients qui demande des ressources en provenance ou envoyer des données vers d'autres ordinateurs, mais n'ont pas à accepter les communications à partir d'hôtes le client n'a pas engagé les communications avec. Par exemple, un système qui utilise l'Internet uniquement pour envoyer les lectures de sonde périodiques à des ordinateurs distants n'a pas besoin d'accepter les communications à partir des ordinateurs autres que celles que le système envoie à la lecture. Le pare-feu peut examiner chaque datagramme reçu de l'extérieur du pare-feu. Si les informations contenues dans les en-têtes montre que la source du datagramme et de destination correspondent à ceux d'une facture, actuellement connexion active, le datagramme peut passer à travers le réseau local. Sinon, le pare-feu laisse tomber le datagramme et mai retourner une réponse indiquant que les données ont été refusées. Pour aider à décider si elle autorise un datagramme reçu à passer au réseau local, le pare-feu de mai de maintenir et de consulter un tableau qui contient une entrée pour chaque connexion.

Quand un ordinateur local envoie un segment TCP ou UDP à un hôte distant et le port, un pare-feu peut créer une entrée de table qui permet de trafic en provenance de cet hôte distant et le port de passer à l'hôte local et le port spécifiés. Pour les connexions TCP, le pare-feu supprime l'entrée lors de la connexion TCP est fermée, comme indiqué par le FIN ou RST pavillon. Pour UDP, qui n'utilise pas les connexions en demeure, le pare-feu peuvent utiliser un délai d'attente à décider du moment de supprimer l'entrée. Connexions TCP peut également utiliser un timeout comme moyen de secours pour les cas où la connexion ne se ferme pas correctement. Maintenant le chapitre 9 a expliqué, dans les transferts FTP, par défaut, le serveur demande d'ouvrir une connexion TCP pour un canal de données de transfert. Si le client pare-feu bloque les requêtes pour ouvrir une connexion, le client peut demander à l'utilisation passive ou à prolonger le mode passif, où l'ordinateur client ouvre la connexion en utilisant un numéro de port offerts par le serveur.

L'hébergement d'un serveur

Si un ordinateur local doit être en mesure de servir de ressources pour demander des ordinateurs en dehors du pare-feu, vous devez configurer le pare-feu pour permettre à la demande de passer par le pare-feu tout en empêchant la circulation, d'autres indésirables d'entrer dans le réseau local.

Un pare-feu mai permettent plusieurs options pour restreindre le trafic entrant. À titre d'exemple, un réseau local pourraient inclure un système embarqué qui héberge un serveur Web sur le port 80, le port par défaut pour les communications HTTP. Les options de configuration pour autoriser les requêtes HTTP entrantes sont notamment les suivants, du plus restrictif au moins restrictif:

• Autoriser l'entrée des datagrammes IP qui n'appartiennent pas à une connexion déjà établie que si elles contiennent des segments TCP qui contiennent les requêtes HTTP qui sont dirigées vers le port 80, et transmet les segments TCP à un hôte spécifié. C'est l'option la plus sécurisée. Un datagramme passe à travers le pare-feu que si le datagramme contient un segment TCP, le contenu du segment de destination de champ Numéro de port 80, et le contenu de la zone de données du secteur indiquent que le message est une requête HTTP. Pas tous les dispositifs pare-feu sont capables de filtrage dans le détail de ce bien. En outre, d'autres fragments dans un datagramme fragmenté n'aura pas un port TCP ou en-tête HTTP d'examiner, si le pare-feu doit avoir un mécanisme qui permet à d'autres fragments de passer par le pare-feu.

• Autoriser l'entrée des datagrammes IP qui n'appartiennent pas à une connexion déjà établie que si elles contiennent les segments TCP dirigées vers le port 80. Transférer les segments TCP à un hôte et un port spécifique. Cette option est semblable à la précédente sauf qu'elle n'examine pas le contenu de la zone de données du segment TCP pour vérifier qu'il contient une requête HTTP.

• Permettre à tous les datagrammes IP entrant qui ne relève pas d'une connexion établie et transmettre leur contenu à un hôte spécifié. C'est l'option la moins sûre, mais il peut être suffisant pour certaines applications. Par exemple, l'hôte spécifié mai être un système embarqué qui accepte uniquement les demandes HTTP provenant d'adresses IP spécifiques, en ignorant toutes les autres communications. Autres options de configuration un pare-feu aurait pu inclure ces:

• Télécommande spécifier les adresses IP qu'un hôte local peut recevoir le trafic de. Cette option est utile si votre système embarqué communique uniquement avec une adresse IP spécifique ou une série d'adresses IP.

• Autoriser les ordinateurs prévus que pour communiquer avec des ordinateurs en dehors du pare-feu. Ou bloquer ordinateurs spécifiques de communiquer avec des ordinateurs en dehors du pare-feu. Ces options vous permettent d'autoriser un système embarqué de communiquer sur l'Internet tout en protégeant les autres ordinateurs du réseau local qui ne nécessitent pas d'accès Internet. Le pare-feu mai vous permettre d'identifier les ordinateurs par adresse IP ou par adresse matérielle Ethernet. En utilisant les adresses matérielles peuvent être utiles si les adresses IP sont assignées dynamiquement et sont sujets à changement.

• Bloquer les communications sortantes, où l'adresse source du datagramme n'est pas une adresse locale. (Un pare-feu NAT avec l'appui se traduira par l'adresse locale à l'adresse publique du firewall IP lors de l'envoi du datagramme sur l'internet.) Cette option peut empêcher certains logiciels malveillants d'utiliser vos ordinateurs locaux pour accéder à l'Internet.

• Permettre à un hôte derrière le pare-feu de communiquer sans pare-feu. L'hôte est censé résider dans une «zone démilitarisée (DMZ) et doit avoir sa propre adresse IP publique.

Embedded Firewall

Si vous avez un appareil qui se connecte à Internet par lui-même, sans se connecter à un réseau local, vous mai être en mesure de fournir une protection adéquate dans le micrologiciel de l'appareil, sans avoir besoin d'un dispositif pare-feu séparé. Cela est particulièrement vrai si le dispositif doit être précis et un accès limité à Internet. Par exemple, si le dispositif communique avec une seule adresse IP sur un port spécifiques des utilisateurs, le firmware peut ignorer toutes les communications réseau. Pour d'autres applications, exigeant que tous les utilisateurs Entrez un nom d'utilisateur et mot de passe avant d'accéder à des ressources de l'appareil (comme dans les exemples d'authentification de base au début de cette mise en réseau tutoriel) mai fournir une protection adéquate.

un article présenté par Daniel R.

Disclaimer:Notre site n'est pas responsable du contenu de cet article. Webarticles est une ressource d'information gratuite.
Important: Cet article «quatre règles pour Sécurisation de vos périphériques et du réseau local» a été traduit par un logiciel automatique. Nous nous sentons désolés pour les fautes d'orthographe que mai ont eu lieu. Nous vous remercions de votre compréhension.