Quattro regole per la Protezione i dispositivi e la rete locale

Prestando attenzione ai seguenti quattro regole andrà un lungo cammino in modo che il dispositivo, i dati e rete locale sono il più sicuro possibile da rischi di sicurezza:

1. Utilizzare un firewall e configurarlo con le impostazioni più restrittive che consentono il dispositivo per eseguire la comunicazione richiede.

2. Limitare l'accesso alle singole risorse protette con nomi utente e password.

3. Convalida dati forniti dagli utenti al fine di garantire il contenuto non causare danni.

4. Crittografare i dati che devono rimanere privati.

Per ognuno di questi, è necessario riesaminare i rischi in cui si applicano per il dispositivo, quindi prendere azioni come necessarie per ridurre o eliminare i rischi. Le azioni varierà con il dispositivo, il firmware, e le esigenze di sicurezza dei computer in una rete locale il dispositivo attribuisce.

Utilizzare un firewall

Un firewall è la prima linea di difesa contro l'accesso non autorizzato alle risorse del dispositivo e della rete locale. Capitolo 4 firewall introdotto e spiegato la necessità di configurarli per consentire a un dispositivo di funzionare come un server su Internet. Questo tutorial in rete ha più sui firewall, compreso il modo di selezionare e utilizzare un firewall per fornire la massima protezione per il vostro dispositivo e di rete locale, pur consentendo di comunicazione necessarie per passare attraverso il firewall. Tre modi per un sistema embedded di ottenere la protezione firewall sono un dedicato dispositivo firewall, software firewall in esecuzione su un PC della stessa rete locale, come il sistema embedded, e firewall firmware del dispositivo stesso. Un dispositivo dedicato è il più facile da usare. Software firewall in un PC ha il vantaggio di costi nulla, se avete un PC a disposizione e l'esecuzione che può funzionare come un firewall per una rete locale. Firmware che svolge la funzione di un firewall nel dispositivo con una soluzione può essere, in alcuni casi in cui è necessario proteggere un unico dispositivo.

Nozioni di base del firewall

Un dispositivo firewall è un sistema integrato che collega tra un dispositivo locale o di rete e Internet o altre reti del computer locale (s) comunicare. Il firewall è in genere più porte LAN per il collegamento di computer locali e gli hub e una sola porta WAN che si connette al mondo esterno. I computer locale si dice che sono dietro il firewall. Porto Tutto WAN in grado di comunicare con è al di fuori del firewall. In reti più piccole, la porta WAN connette spesso a un modem via cavo o DSL che si connette a un ISP. Ogni comunicazione o da un computer al di fuori del firewall deve passare attraverso il firewall per raggiungere un computer nella rete locale. La configurazione del firewall determina quali comunicazioni possono passare attraverso il firewall. Firewall sono principalmente concerne le restrizioni delle comunicazioni in entrata, anche se in alcuni casi, un firewall può bloccare anche le comunicazioni in uscita, che sembrano essere fraudolenta, come un datagramma in uscita con un sorgente non-locale indirizzo. Molti dispositivi firewall sono dispositivi del multi-funzione che svolgono anche le funzioni di un hub e un router con Network Address Translation (NAT). (Vedi capitolo 4 per ulteriori informazioni su NAT.) L'hub permette a più computer di connettersi al firewall.

Per aggiungere più computer, è possibile collegare un altro hub a uno dei porti locali, come descritto nel capitolo 2. Allo stesso modo, un PC con Windows XP configurato per utilizzare Internet Connection Sharing (ICS) in grado di proteggere una rete locale, compresi i sistemi embedded, consentendo di Windows XP Firewall connessione Internet. Il PC deve avere due interfacce di rete. Un'interfaccia Ethernet connette il PC al computer locali protetti dal firewall. Una seconda interfaccia Ethernet o un'interfaccia a un modem collega il PC al mondo al di fuori del firewall. Firewall connessione Internet dispone di opzioni di configurazione simile a quella di un firewall dedicato. Configurazione di un firewall, che determina un datagramma IP il firewall permetterà di passare attraverso la rete locale. La maggior parte dei dispositivi firewall supporto protetto da password un'interfaccia Web per l'impostazione della configurazione. Per configurare il dispositivo firewall, è necessario un PC collegato alla rete o un altro computer che ti permette di visualizzare e inserire le informazioni sulle pagine Web, ma una volta che il firewall è configurato, il dispositivo protegge la rete senza la necessità di un PC collegato. Per una maggiore sicurezza, molti firewall consentono di limitare l'accesso alle pagine di configurazione per i computer della rete locale. Le specifiche di come configurare un firewall variano a seconda del produttore e il modello, ma i concetti generali sono gli stessi per tutti i firewall. La regola di base per la configurazione di un firewall è quello di bloccare tutte le comunicazioni attraverso il firewall, tranne quelli che esplicitamente si desidera consentire.

Funziona come un client

Alcuni sistemi embedded in grado di funzionare come client rigorosamente che le risorse richieste da o inviare dati ad altri computer, ma non devono accettare le comunicazioni dagli host del client non ha avviato le comunicazioni con. Ad esempio, un sistema che utilizza Internet solo per inviare le letture del sensore periodici ai computer remoti non ha bisogno di accettare le comunicazioni da computer diversi da quelli che il sistema invia la lettura di. Il firewall può esaminare ogni datagramma ricevuto dall'esterno del firewall. Se le informazioni nelle intestazioni mostra che il datagramma sorgente e destinazione corrispondono a quelli di una valida, attualmente connessione attiva, il datagramma può passare attraverso la rete locale. In caso contrario, il firewall gocce del datagramma e può restituire una risposta che indica che i dati è stata respinta. Per aiutare a decidere se autorizzare un datagramma ricevuto per passare alla rete locale, il firewall può mantenere e consultare una tabella che contiene una voce per ogni connessione.

Quando un computer locale invia un segmento TCP o UDP datagramma a un host remoto e la porta, un firewall in grado di creare una voce della tabella che permette il traffico in entrata da tale host remoto e la porta per passare al host specificato locali e portuali. Per le connessioni TCP, il firewall si cancella la voce quando la connessione TCP è chiuso come indicato dalla FIN o flag RST. Per UDP, che non usa connessioni formali, il firewall può utilizzare un timeout per decidere quando per eliminare la voce. Connessioni TCP può anche utilizzare un timeout come backup per i casi in cui la connessione non si chiude correttamente. Capitolo 9 Come ha spiegato, nei trasferimenti FTP, per impostazione predefinita il server richiede di aprire una connessione TCP per il canale di un trasferimento di dati. Se il client firewall blocca le richieste di aprire una connessione, il cliente può richiedere di utilizzare passiva o prolungare la modalità passiva, in cui il computer client apre la connessione utilizzando un numero di porta fornito dal server.

Hosting di un server

Se un computer locale deve essere in grado di servire le risorse a chiedere computer al di fuori del firewall, è necessario configurare il firewall per consentire le richieste di passare attraverso il firewall, evitando gli altri, il traffico indesiderato di entrare nella rete locale.

Un firewall può consentire diverse opzioni per limitare il traffico in entrata. Ad esempio, una rete locale potrebbe includere un sistema integrato che ospita un server Web sulla porta 80, la porta di default per le comunicazioni HTTP. Le opzioni di configurazione per consentire le richieste HTTP in entrata comprendono i seguenti elementi, da più restrittive a meno restrittiva:

• Consenti in ingresso datagrammi IP che non appartengono ad una connessione stabilita solo se contengono segmenti TCP che contengono le richieste HTTP che sono dirette alla porta 80, e trasmette i segmenti TCP a un host specificato. Questa è l'opzione più sicura. Un datagramma passa attraverso il firewall solo se il datagramma contiene un segmento TCP, il contenuto della destinazione del segmento Port campo Numero è 80, e il contenuto dei dati del segmento area indicano che il messaggio è una richiesta HTTP. Non tutti i dispositivi firewall sono in grado di filtrare in questo dettaglio. Inoltre, frammenti aggiuntivi in un datagramma frammentato non avrà una connessione TCP o HTTP per esaminare, in modo che il firewall deve avere un meccanismo che consente ulteriori frammenti di passare attraverso il firewall.

• Consenti in ingresso datagrammi IP che non appartengono ad una connessione stabilita solo se contengono segmenti TCP diretti alla porta 80. Trasmettere i segmenti TCP a un host e la porta specificata. Questa opzione è simile a quella precedente, a meno che non esaminare il contenuto dei dati del segmento TCP zona per verificare che esso contenga una richiesta HTTP.

• Consentire a tutti arrivo datagrammi IP che non appartengono ad una connessione stabilita, e trasmette il contenuto di un host specificato. Questa è l'opzione meno sicura, ma può essere sufficiente per alcune applicazioni. Ad esempio, l'host specificato può essere un sistema integrato che accetta solo le richieste HTTP da specifici indirizzi IP, ignorando tutte le altre comunicazioni. Altre opzioni di configurazione di un firewall avrebbe potuto includere queste:

• Specifica indirizzi IP remoti che un host locale può ricevere il traffico. Questa opzione è utile se il vostro sistema embedded comunica solo con uno specifico indirizzo IP o una serie di indirizzi IP.

• consentire ai computer specificate solo per comunicare con i computer all'esterno del firewall. O il blocco dei computer specificati di comunicare con computer all'esterno del firewall. Queste opzioni permettono di consentire un sistema embedded per comunicare su Internet, proteggendo nel contempo altri computer della rete locale che non richiedono l'accesso a Internet. Il firewall può consentire di identificare i computer in base all'indirizzo IP o indirizzo Ethernet. Usando indirizzi hardware può essere utile se gli indirizzi IP vengono assegnati dinamicamente e sono soggette a modifiche.

• Blocca tutte le comunicazioni in uscita, dove l'indirizzo di partenza del datagramma non è un indirizzo locale. (Un firewall con supporto NAT tradurre l'indirizzo locale per affrontare il firewall IP pubblico quando si invia il datagramma su Internet.) Questa opzione può impedire ad alcuni software dannoso usare il tuo computer locale per accedere a Internet.

• Consentire un host dietro il firewall di comunicare senza la protezione firewall. The host è detto di risiedere in una "zona demilitarizzata" (DMZ) e deve avere un proprio indirizzo IP pubblico.

Embedded Firewall

Se si dispone di un dispositivo che si connette a Internet da sola, senza la connessione a una rete locale, può essere in grado di fornire una protezione adeguata nel firmware del dispositivo, senza bisogno di un dispositivo separato firewall. Ciò è particolarmente vero se il dispositivo richiede solo specifici e limitati l'accesso a Internet. Ad esempio, se il dispositivo comunica con un solo indirizzo IP su una porta di utente specifico, il firmware può ignorare tutte le altre comunicazioni di rete. Per altre applicazioni, che richiedono a tutti gli utenti inserire un nome utente e password prima di accedere alle risorse del dispositivo (come negli esempi di autenticazione di base in precedenza in questo tutorial in rete) possono fornire una protezione adeguata.

---

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "Quattro regole per la Protezione i dispositivi e la rete locale" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.

---