Quatro regras para proteger seus equipamentos e rede local

Prestar atenção aos seguintes quatro regras irá percorrer um longo caminho no sentido de garantir que o seu dispositivo, dados e rede local são tão seguros quanto possível de riscos de segurança:

1. Use um firewall e configurá-lo com as configurações mais restritivas que permitem que o seu dispositivo para realizar a comunicação exige.

2. Restringir o acesso a recursos protegidos individualmente com nomes de usuário e senhas.

3. Validar dados fornecidos por usuários para assegurar o conteúdo não irá causar danos.

4. Criptografar dados que devem permanecer privados.

Para cada um destes, é preciso rever os riscos que se aplicam ao dispositivo, em seguida, tomar as acções necessárias para reduzir ou eliminar os riscos. As ações variam de acordo com o dispositivo, o firmware e as necessidades de segurança dos computadores em qualquer rede local do dispositivo atribui.

Utilize uma Firewall

Um firewall é a primeira linha de defesa contra o acesso não autorizado aos recursos do seu dispositivo e rede local. Capítulo 4 apresenta firewalls e explicou a necessidade de configurá-los para permitir um dispositivo para funcionar como um servidor na Internet. Este tutorial tem rede mais sobre firewalls, incluindo a forma de selecionar e utilizar uma firewall para fornecer o máximo de proteção para o seu dispositivo e rede local e ainda permite que as comunicações necessárias para passar pelo firewall. Três maneiras de um sistema integrado para obter a proteção de firewall são um dedicado dispositivo de firewall, software de firewall em execução em um PC na mesma rede local como o sistema integrado, e um firewall de firmware no próprio dispositivo. Um dispositivo dedicado é mais fácil de usar. Firewall de software em um PC tem a vantagem de custar nada se você tiver um PC disponível e em execução que pode funcionar como um firewall para uma rede local. Firmware que desempenha a função de um firewall no dispositivo pode ser uma opção em alguns casos onde você precisa proteger um único dispositivo.

Firewall Basics

Um dispositivo de firewall é um sistema embarcado que liga entre um dispositivo ou rede local e à Internet ou outras redes no computador local (s) de comunicar. O firewall geralmente tem várias portas LAN para conexão de computadores locais, centros e uma única porta WAN que conecta com o mundo exterior. Os computadores locais estão a ser dito por trás do firewall. Tudo o que a porta WAN pode se comunicar com está fora do firewall. Em redes menores, a porta WAN, muitas vezes se conecta a um modem DSL ou cabo que se conecta a um provedor. Toda comunicação ou de um computador fora do firewall deve passar pelo firewall para chegar a um computador na rede local. A configuração de firewall determina que as comunicações podem passar pelo firewall. Firewalls referem-se principalmente à necessidade de restringir as comunicações recebidas, embora em alguns casos, um firewall também podem bloquear as comunicações de saída que parece ser fraudulenta, como um datagrama de saída com uma fonte não-local Endereço. Muitos dispositivos de firewall são dispositivos multi-função que desempenha também as funções de um hub e um roteador com tradução de endereços de rede (NAT). (Veja o Capítulo 4 para mais informações sobre NAT.) O hub permite que vários computadores para se conectar ao firewall.

Para adicionar mais computadores, você pode conectar outro hub a um dos portos locais, conforme descrito no capítulo 2. Da mesma forma, um PC com Windows XP configurado para usar a conexão com a Internet (ICS) pode proteger uma rede local, incluindo os sistemas embarcados, Internet, permitindo que o Windows XP Firewall de conexão. O PC deve ter duas interfaces de rede. Uma interface Ethernet conecta o computador à computadores locais protegidos pelo firewall. A segunda interface Ethernet ou uma interface para um modem se conecta ao PC com o mundo fora do firewall. O Internet Connection Firewall tem opções de configuração similar às de um dispositivo de firewall dedicado. Configuração de um firewall determina quais datagramas IP do firewall vai permitir a passagem para a rede local. A maioria dos dispositivos de firewall apoio protegido por senha interface da Web para definir a configuração. Para configurar o dispositivo de firewall, você precisa de um PC conectado à rede ou outro computador que lhe permite visualizar e inserir informações sobre as páginas da Web, mas uma vez que o firewall está configurado, o dispositivo protege a rede sem a necessidade de um PC conectado. Para maior segurança, muitos firewalls permitem-lhe restringir o acesso às páginas de configuração para os computadores da rede local. Os detalhes de como configurar um firewall variam de acordo com o fabricante eo modelo, mas os conceitos gerais são as mesmas para todos os firewalls. A regra básica para a configuração de um firewall é bloquear todas as comunicações através do firewall, exceto aqueles que você deseja permitir explicitamente.

Funcionando como um cliente

Alguns sistemas embarcados pode funcionar estritamente como clientes que solicitam recursos provenientes ou enviar dados para outros computadores, mas não tem que aceitar as comunicações de hosts o cliente não tenha iniciado as comunicações com. Por exemplo, um sistema que utiliza a Internet apenas para enviar leituras de sensores periódicas para computadores remotos não precisa aceitar comunicação de outros computadores do que as que o sistema envia a leitura. O firewall pode examinar cada datagrama recebido de fora do firewall. Se a informação nos cabeçalhos mostra que a origem e destino de uma datagrama coincidem com os de um válido, actualmente a ligação activa, o datagrama pode passar para a rede local. Se não, o firewall descarta o datagrama e pode retornar uma resposta indicando que os dados foram recusados. Para ajudar a decidir se permite um datagrama recebido para passar para a rede local, o firewall pode manter e consultar uma tabela que contém uma entrada para cada conexão.

Quando um computador local envia um segmento TCP ou datagrama UDP para um servidor remoto e porta, um firewall pode criar uma entrada da tabela que permite o tráfego de entrada a partir desse host remoto ea porta para passar para o host especificado locais e portuárias. Para conexões TCP, o firewall exclui a entrada quando a conexão TCP é fechada, como indicado pela flag FIN ou RST. Para UDP, que não usa conexões formais, o firewall pode usar um tempo limite para decidir quando apagar a entrada. Conexões TCP também pode usar um tempo limite como um backup para casos em que a conexão não fecha corretamente. No capítulo 9 explicado, em transferências de FTP, por padrão, o servidor solicita para abrir uma conexão TCP para um canal de transferência de dados. Se os pedidos de firewall do cliente blocos para abrir uma ligação, o cliente pode solicitar o uso passivo ou estendido modo passivo, onde o computador cliente abre a conexão usando um número de porta fornecido pelo servidor.

Hospedando um servidor

Se um computador local tem de ser capaz de servir solicitando recursos para computadores fora do firewall, você precisa configurar o firewall para permitir que os pedidos para passar pelo firewall, impedindo o tráfego, outros indesejados de entrar na rede local.

Um firewall pode permitir várias opções para restringir o tráfego de entrada. Por exemplo, uma rede local podem incluir um sistema embarcado que hospeda um servidor Web na porta 80, a porta padrão para comunicações HTTP. As opções de configuração para permitir a entrada solicitações HTTP incluem os seguintes, de mais restritivas ao menos restritivo:

• Permitir entrada datagramas IP que não pertence a uma conexão estabelecida somente se eles contêm segmentos TCP que contêm pedidos de HTTP que são dirigidos para a porta 80, e encaminhar os segmentos TCP para um host especificado. Esta é a opção mais segura. Um datagrama atravessa o firewall apenas se o datagrama contém um segmento TCP, o conteúdo do segmento de destino do campo número da porta é 80, e os conteúdos da área do segmento dados indicam que a mensagem é uma solicitação HTTP. Nem todos os dispositivos de firewall são capazes de filtrar com tanto detalhe. Além disso, fragmentos adicionais em um datagrama fragmentado não tem um cabeçalho TCP ou HTTP para examinar, de modo que o firewall precisa ter um mecanismo que permite que fragmentos adicionais de passar pelo firewall.

• Permitir entrada datagramas IP que não pertence a uma conexão estabelecida somente se eles contêm segmentos TCP dirigiu para a porta 80. Encaminhar os segmentos TCP para um host e porta especificados. Esta opção é como o anterior, exceto que não examina o conteúdo da área do segmento TCP de dados para verificar se ele contém uma solicitação HTTP.

• Permitir que todos os datagramas IP recebidos que não pertencem a uma conexão estabelecida e transmitir o seu conteúdo para um host especificado. Esta é a opção menos segura, mas pode ser suficiente para algumas aplicações. Por exemplo, o host especificado pode ser um sistema embarcado que aceita apenas o protocolo HTTP de endereços IP específicos, ignorando todas as outras comunicações. Outras opções de configuração de um firewall pode ter incluem os seguintes:

• Especifique os endereços IP remotos que um host local pode receber o tráfego. Esta opção é útil se o seu sistema incorporado comunica apenas com um endereço IP específico ou uma série de endereços IP.

• Permitir apenas computadores especificados para comunicar com computadores fora do firewall. Ou bloquear computadores específicos de se comunicar com computadores fora do firewall. Essas opções permitem que você permitir que um sistema integrado para comunicar na Internet, protegendo outros computadores da rede local que não precisam de acesso à Internet. O firewall pode permitir-lhe identificar os computadores através do endereço IP ou pelo endereço Ethernet de hardware. Usando endereços de hardware pode ser útil se os endereços IP são atribuídos de forma dinâmica e estão sujeitos a alterações.

• Bloquear as comunicações de saída onde o endereço o endereço de origem do datagrama não é local. (A firewall NAT com o apoio vai traduzir o endereço do local para o endereço IP público do firewall ao enviar o datagrama na Internet.) Esta opção pode impedir algum software malicioso em seus computadores usando o local para acessar a Internet.

• Permitir que um host por trás do firewall para comunicar-se sem proteção de firewall. O anfitrião é dito que residem em uma "zona desmilitarizada" (DMZ) e deve ter seu próprio endereço IP público.

Embedded Firewall

Se você tem um dispositivo que se conecta à Internet por si só, sem se conectar a uma rede local, você pode ser capaz de proporcionar uma protecção adequada no firmware do dispositivo, sem a necessidade de um dispositivo de firewall separado. Isto é especialmente verdade se o dispositivo apenas exige específico e limitado acesso à Internet. Por exemplo, se o dispositivo comunica com um único endereço IP através de uma porta de usuário específico, o firmware pode ignorar todas as comunicações de rede. Para outras aplicações, exigindo que todos os usuários digite um nome de usuário e senha antes de acessar os recursos do dispositivo (como nos exemplos a autenticação básica no início deste tutorial em rede) pode fornecer proteção adequada.

um artigo submetido por Daniel R.

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "Quatro regras para proteger seus equipamentos e rede local" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.