المءسسه الامنية نماذج لipv6

Share

|

البداية الى النهاية الشفافيه والامن قد ضاع في العديد من عناوين الشبكات نظرا للحاجة الى ادخال طبيعي بسبب النقص في العناوين الشبكيه. Ipv6 يمكن استعادة الشفافيه. بيد ان بعض الناس قد اعتاد على رؤية وطني والتصدي للمخططات الخاصة لتوفير الامن في المءسسه شبكات بالاختباء طوبولوجيا الشبكه من الخارج. هؤلاء الناس قد ينظرون الى ipv6 الشفافيه باعتبارها تهديدا لشبكتهم وايار / مايو وحتى خطة لنشر شبكات ipv6 مع القطاع الخاص المحلي والتصدي للمخططات المترجمين فقط لهذا السبب.

مع ipv6 الهدف هو استعادة البداية الى النهاية الربط باستخدام الوفيره التي تتناول الفضاء. لتأمين وجود شبكة ipv6 ، وهو المفهوم الامني لابد من خلق آليات والأمن يتعين تنفيذها. طبيعي ان لم يعد من الممكن استخدامها مع ipv6. اذا كان يختبئ طوبولوجيا شبكة من الخارج هو الشرط ، وغيرها من الاليات التي ينبغي استخدامها ، مثل معالجة الخاصة (المتجدد 3041) ، فريدة المحلية عناوين (ulas) ، أو غير المسجله ipv6 العناوين. نجد وصفا تفصيليا ومناقشة هذه الخيارات في مشروع - الانترنت - v6ops - برنامج العمل الوطني - 02.txt ، "ipv6 شبكة الحمايه الهندسه المعماريه" (برنامج العمل الوطني).

النموذج الجديد

في عناوين الشبكات ، وفضلت نموذجا للالامن هو ان يكون محيط الجدران الناريه ودمج nats. تطبيق هذا النهج نفسه في ipv6 الشبكه قد يكون نقطة انطلاق جيدة ، وانما هو الحد في الاجل الطويل. في ipv6 الشبكات ، وينبغي ان تهدف الى أنك تحسين تصميم النموذج الامني ان يزيد من الأمن الشامل للشبكة ولكن ايضا يسهل البداية الى النهاية الاتصالات. Ipv6 ipsec توفر القدرة في كل عقدة. بالاعتماد على محيط جدار ناري واحد يمكن ان تكون خطيرة. وهو المهاجم الذي يدير للحصول على وراء الجدار الناري عادة ما تجد المجال مفتوح غير المضمونه. الامثل لمفهوم الأمن ipv6 الشبكات سوف يكون على الارجح "الدفاع في العمق ،" مزيج من مستودعات مركزية للسياسة الامنية وآليات التوزيع التي ، جنبا الى جنب مع مضيفه ثقته ، وسيسمح مديري الشبكات لوضع مزيد من الاعتماد على آليات الامن فى نهاية نقاط وتسمح نقطة نهاية للتأثير على سلوك محيط الجدران الناريه. محيط جدران الحمايه ستكون مسؤولة عن تأمين شبكة من هجمات العام ، ونهاية عقده ستكون مسؤولة عن تأمين نفسها من العقده المتصله الهجمات. السياسة الامنية الجديدة النموذجيه للipv6/ipsec الشبكات يجب ان يكون النموذج القائم على الهوية لفصل الامن عن السياسة معرفات الشبكه. وهذا امر بالغ الاهميه للشبكات التي تريد ان تسمح لاتمته ، autoconfiguration ، والتنقل دون تعريض الأمن. هذا نموذج امني جديد يوزع في الظهور ، وبعض التقنيات اللازمة ما زالت قيد التطوير ، بما في ذلك وضع بروتوكولات تسمح نهاية العقد لمراقبة وابلاغ الجدران الناريه. الاولى ipv6 الانتشار وربما الاستفادة من الاختراق واقتحام مماثلة تقنيات الكشف ، كما هو مستخدم في اليوم عناوين الشبكات (باستثناء nats ، التي ينبغي الا تستخدم على الاطلاق في ipv6 الشبكات). ولكن الهدف النهائي لإدخال نوع جديد من الأمن وزعت مفهوم ينبغي ان يوضع في الاعتبار ما لكم مجاراه ، وتطوير هذه التكنولوجيات ينبغي تابعت عن كثب.

قد تكون هناك نوعين من الأمن تمكنت من النماذج اعتمادا على حجم الشبكه لتكون مضمونة :

نهاية العقده وزعت جدار ناري النموذجي

موقع خادم مدير الامن يوثق نهاية العقد على الشبكه وبعد ذلك يوزع جدار ناري سياسات لانهاء العقده الجدران الناريه. ويشمل هذا الجدار الناري التشكيل ، والوصول الى سياسات ، ipsec المفاتيح ، حمايه الفيروس ، الخ لا على مستوى الموقع لمراقبة الدخول المطلوب. وبمجرد انهاء العقده من صحتها وتحديثها مع سياسة امنية ، وهي وحدها المسءوله عن امنها الخاص.

الهجينه وزعت جدار ناري النموذجي

موقع على مستوى مديرى الامن قد تولي خادم نهاية العقده التوثيق والتوزيع للجدار ناري لسياسات كل من موقع الجدران الناريه ونهاية العقده الجدران الناريه. وبمجرد انتهاء العقد يتم توثيقها ، وانها لا يمكن منح امتياز مستويات متفاوتة من جانب مديري الأمن. مدير الأمن مجموعة من السياسات الذي يقرر الوصول الى خارجها ، والذين يحصلون على بعضها البعض داخليا ، والتي انواع الخدمات والبروتوكولات قد تكون مختلفة تديرها العقد ، والذي يحصل على مفاتيح ipsec. محيط الجدران الناريه تفعل بعض الضوء مراقبة الدخول في حين ان توزيع الأعمال الشاقه الى نهاية العقده الجدران الناريه. مختلف مستويات التنسيق والسيطرة ممكنة في هذا النموذج. في صيغة بسيطة ، في نهاية ايار / مايو البعيد العقده الجدران الناريه بشكل مستقل بعد ان يولي المحلية جدار ناري القاعده التي حددتها ادارة الامن الخدمة. في أكثر احكام إدارة الاصدار لدرجة عالية من الأمان الشبكات ، ويجوز للمراقب المالي تنسيق بين أنظمة كشف التسلل (الهوية) ، وموقع الجدار الناري ، ونهاية العقده وقائية للكشف عن الهجمات واغلق من خطورة الوصول الى المستخدمين داخل او خارج شبكة الشركات.

Ipv6 جدار ناري مرشح القواعد

عندما أنت تعيش في كومة شبكة المزدوجه ، وسوف تحصل على اثنين من المفاهيم الأمنية : واحد للعالم وعناوين اخرى لipv6 العالم. وبين المفهومين لا يملكون لمباراة ؛ انها يجب ان تصمم وفقا لمتطلبات كل بروتوكول. جدران الحمايه الخاصة بك قد يدعم كل البروتوكولات ، وبعد ان منفصلتين فلتر مجموعات (واحد لكل بروتوكول) ، او قد تنشأ لديك صندوقين ، واحد يمثل الجدار الناري لعناوين الشبكه وغيرها من كونه جدار ناري للشبكة الخاصة بك ipv6.

دون السعي الى توفير كامل الامن والاختراق الدليل ، وإليك بعض الافكار لاحكام ipv6 الامن والاختراق الفلاتر التي ينبغي النظر فيها :

• دخول مرشح في محيط حاجز للالعناوين المستخدمة داخليا.

• مرشح لزوم لها الخدمات في محيط جدار ناري.

• نشر المضيفه القائمة على الجدران الناريه للدفاع في العمق.

• النظم ذات الاهميه ينبغي ان يكون جامدا ، nonobvious (بشكل عشوائي ولدت) ipv6 العناوين. النظر في استخدام الجار مداخل ساكنة بالنسبة للأنظمة الحساسة (مقابل السماح لهم بالمشاركه في الثانية).

• ويستضيف لالمتنقله ipv6 العمليات ينبغي ان تكون منفصلة نظم (لحمايتهم من جانب قواعد منفصلة).

• ضمان ان لا نهاية العقد الى الامام رزم مع توجيه الارشاد الراسيات.

• 3 طبقة وقائية لا ينبغي ابدا الى الامام وصلة - طبقة المتعدد عبوة.

• الجدران الناريه وينبغي ان يدعم ترشيح استنادا الى المصدر والمقصد معالجة ، ipv6 التمديد الراسيات ، والعلوي - طبقة بروتوكول المعلومات.

• التحقق من اتصالك الشبكه الخارجية للعبوة التي لم تدخل من خلال قيادتكم الرئيسية محيط حاجز كمؤشر "مستتر" للصلات خفية لحفر الانفاق.

في ipv6 الشبكات ، icmpv6 تلعب دورا اساسيا وكبيرا وتوفر الوظيفة. غير المنضبط الشحن من رسائل اللجنة الدولية المعنية بالاشخاص المفقودين أيضا يخلق مخاطر امنية. - مشروع الانترنت - v6ops - icmpv6 - ترشيح - المصرف - 01.txt ، أفضل الممارسات الحالية لترشيح icmpv6 رسائل في جدران الحمايه ، ويقدم توصيات لتشكيل جدار ناري من icmpv6 قواعد الترشيح (على وجه التحديد ، والسماح للشحن من الرسائل التى تعتبر هامة بالنسبة لعمل للشبكة واسقاط الرسائل التي هي المخاطر الامنية المحتملة).