1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Lan-Local Area Networks >>

Den Lippis Rapporter Volume 44: Sikre domener og VLANs


The Lippis Rapporter Volume 44: For å sikre domener


å forstå sikre domener, er det nyttig å tenke på virtuelle LAN eller VLAN. Første gang jeg husker å ha hørt om VLAN var i begynnelsen av 90-tallet, da jeg tok et møte i mine Massachusetts kontorer med Charlie Giancarlo, mens han var på et firma som heter nettverksutstyr Technologies (NET). Charlie prøvde å beskrive hvordan ATM-svitsjer kan emulere Ethernet kringkasting domener og som slutter brukte begrepet VLAN. Jeg husker lyspære går av i hodet mitt når Charlie, sliter med å definere en emulert LAN, sa dette er ikke en emulert LAN, men mer som en " Virtual " LAN. Alle Ethernet-svitsj leverandører, for eksempel UB, Synoptics, Cabletron, Kalpna, Synernetics, Crescendo /Cisco, Alantech brukte begrepet VLAN å beskrive en teknikk for å opprette, endre og i hovedsak klarer kringkasting domener.

VLAN spilt en stor rolle i markedet ekspansjon og adopsjon av slått Ethernet LAN, siden bedriftens IT-ledere var nå i stand til å designe nettverk for å øke ytelsen ved å redusere antall slutt systemer per kringkasting domene, gi logiske barrierer mellom grupper og sted enkelte programmer i høyere prioritet VLAN. Før VLAN, en LAN var en stor kringkastings domene med hver PC og server blir avbrutt for å behandle pakker som resulterer i nedbremsing av hele nettverket som den vokste. Den eneste måten å segmentere disse nettverkene var å sette en svært kostbar router i mellom kringkasting domener, som også økte kompleksiteten og driftskostnadene på et LAN. Dette begrenset omfanget av LAN og avkortet på størrelse med Ethernet-svitsjer markedet.

Enter VLAN. VLAN og VLAN tagging i hovedsak endret måten bedriftsnettverk ble utformet. VLAN tillatt prioritet eller kvaliteten på tjenesten for å angi LAN, og med evne til å aggregere VLAN takk til VLAN-tagging, gjorde rutere ikke å bli distribuert vidt gjennom et LAN. Husk uttrykket " Router On A Stick " eller " One Arm Router " å beskrive en ruter med en enkel LAN-grensesnitt som gir inter-VLAN ruting? Hele nettverket design paradigmet endret seg med VLAN. Kort sagt, VLAN forenklet nettverksdesign, økt ytelse og redusert behovet for og kostnadene ved LAN-basert ruting.

Så hva betyr alt dette har å gjøre med sikre domener? Mye. Det er et stort behov for å segmentere nettverk inn sikkerhetsdomener, som er påfallende lik behovet for kringkastingsdomene segmentering på 90-tallet. Kravene til sikre domener er så stort som antall selskaper i den globale økonomien. Noen bedrifter krever separate avdelinger, noen trenger å gruppere visse stasjonære, servere og applikasjoner, noen ønsker å skape ekstranett med leverandører, partnere og kunder. Noen bedrifter og universiteter tilbyr tjenester for den føderale regjeringen, som plasserer strenge restriksjoner (med bratte konsekvenser) om tilgang til data, systemer og informasjon som krever en sikker domene å bli pakket rundt dette arbeidet. Så er det relativt nye lovgivende og president tiltak som Homeland Security tiltak, Sarbanes-Oxley Act, president Decision Directive 63 (PDD 63), og helseforsikring bærbarhet og Accountability Act (HIPAA), som mandat at styrene i Essensen sted sikre domener rundt viss informasjon om personvern pluss økonomisk arbeid produkt og prosess. Hvis de ikke gjør det, disse initiativene bære alvorlige avviks konsekvenser for ansatte, ledere, styremedlemmer og bedrifter for øvrig.

Kanskje den enkleste definisjonen av en sikker domenet er gruppering av IT-ressurser inn i et beskyttet nettverk plass. Denne beskyttet plass vil være så porøs eller ugjennomtrengelig som selskapet krever. Kan du bygge en sikker domene i dag? Svaret er ja, men det er veldig dyrt i både oppkjøp og driftskostnadene. Akkurat som Ethernet LAN, før VLAN nettverksdesignere kunne installere rutere mellom kringkasting domener, men dette designet var kostnadene uoverkommelige. Så også er sikre domener gjennomført med dagens teknologi. I dag nettverksdesignere måtte installere brannmurer rundt IT-ressurser for å tilnærme tjenesten som en sikker domene. Og hvis du ønsker å vite om det er en forstyrrelse inn i det rommet designeren kan installere en intrusion detection system eller IDS. Og hvis du ikke ønsker å bli oppbrukt med store mengder alarmer og varsler nettverket designer kan installere et innbruddssikring eller IPS. Og hvis du ønsker å gi zero-day angrep forebygging eller klimatiltak i det rommet, kan nettverket designer installere en nettverksbasert Anomaly Detection eller NBAD enhet. Bare tenk på alle kostnader, og mer skremmende arbeidet med å skape et sikkert domene med dagens sikkerhetsutstyret. Stativer av sikkerhetsutstyret ville bli plassert rundt IT-ressursene beskyttet og siden apparater er fysiske enheter mange ressurser kan ikke engang være tilgjengelig for en enhet-baserte sikker domene. Deretter er konfigurasjonen av alle disse enhetene og deres dag-til-dag operasjoner; det er slitsomt bare å tenke på det. Selv om kostnadene ved apparater falle til null dollar, er det frykten for å være ansvarlig for alle disse apparatene som vil hindre deres adopsjon på slutten av dagen.

Hva de ovennevnte midler er at sikkerhetsutstyret vil ha en plass i utformingen av sikre domener, men vil bli henvist til tradisjonell apparatet plassering som i datasentre og Brannmur internettilgang. For å levere på løftet av sikre domener, brannmur, IDS, IPS, NBAD, virus og ormer sikkerhetsfunksjoner må være dypt forankret i nettverket stoff og deres konfigurasjon og administrasjon sentraliseres. Inkludering sikkerhetsfunksjoner i nettverket stoffet vil redusere anskaffelseskost mens operasjonelle kostnadseffektiviteten vil følge av sentralisering av konfigurasjon og administrasjon. Men akkurat som VLAN, vil sikre domener endre nettverksdesign. For eksempel nettverksdesignere har rå båndbredde, kringkasting domener, ruting og VLAN å forme og forme sine nettverk for å møte virksomhetens behov. For alle disse nettverksressurser er det retningslinjer for design og rektorer. I VLAN, forutsatt at industrien veiledning om hvor mange enheter per kringkasting domene, antall VLAN per LAN-grensesnitt, maksimalt antall VLAN støttet på en Ethernet-svitsj, kvalitet på tjenestenivåer per VLAN, hvordan du plasserer VoIP-trafikk over et VLAN osv

Dessverre er det ingen slike guideposts for å bygge sikre domener. Sikre domener er, men et konsept i bedriftens nettverk i dag. Et konsept er imidlertid at markedsstyrt og som har fått oppmerksomheten til nettverkssikkerhet tunge vekter som Cisco, IBM, Network Associates, Symantec, Trend Micro, Microsoft, Computer Associates og en rekke andre selskaper som HP, Sun, Juniper , Extreme Networks, Foundry Networks, Enterasys, Aruba Networks og mange andre. Sikre domener er et arbeid som pågår og som arbeidet skrider jeg skal skrive om det her i Lippis Rapporter og bringe dagens tenkning om emnet til deg i våre Enterprise IP kommunikasjons konferanser i Atlanta, New York og Los Angeles. Gå til www.lippismedia.com å registrere deg.

I mellomtiden bør nettverksdesignere spørre alle dine leverandører og tjenesteytere å forklare deres sikre domenestrategi og Trusted Network veikart. Også kan det være lurt å revurdere hvordan du bruker og distribusjon av sikkerhetsutstyret i nettverket ditt ved å holde dem i sine tradisjonelle roller, og motstå flytte dem videre inn i LAN-arkitektur.

Nå, som for Charlie Giancarlo, selv om han brukte VLAN for å beskrive en minibank LAN-funksjonen, til slutt han endelig få det riktig, og han er nå Ciscos Senior Vice-President og Chief Technology Officer, og president Cisco-Linksys, LLC. Oh, og forresten, Ethernet-svitsj markedet har vokst med over $ 9B siden Charlie betalte meg at besøket. Sikre domener vil ha samme effekt.

Dine kommentarer og spørsmål er alltid velkomne; kan du sende dem til [email protected]~~V, og jeg vil se deg på 26 og 27 januar i Atlanta på Enterprise IP-kommunikasjons Symposium.

The Lippis Rapporten er skrevet av Nick Lippis, en verdenskjent autoritet på bedriftens IP-kommunikasjons og konsulent til CXOs av Global 2000-selskaper.


Annonse:
første Enterprise IP Communications (EIPC) Symposium vil bli holdt i Atlanta den 26. januar og 27. 2005. Arrangementet har allerede tiltrukket nettverk fagfolk fra selskaper som Georgia Pacific, Suntrust, SouthTrust, Coca Cola og Schlumberger blant andre.

IP-kommunikasjon søknader er målet for de fleste, om ikke alle, til bedrifter og organisasjoner realisere i løpet av de neste årene, takket være sine sanntid samarbeidsegenskaper som driver bedriftens omsetning og fortjeneste opp. Men for å fullt levere på løftet om IP Communications, et nettverk stoff inkludert IP-telefoni, integrert nettverk sikkerhet og trådløse infrastruktur og sluttpunktene blir utplassert over hele bedriftens nettverk.

Under EIPC symposium serien vil vi presentere deg et bredt utvalg av eksperter og kolleger for å hjelpe deg i din IP-kommunikasjonsplanlegging. Du vil finne ut hvilke designstrategier arbeid og hvilke du vil unngå. Vi har bygget gang inn i EIPC program for å tillate kvalitet samspillet mellom deg og bransjeanalytikere, kolleger, utstyrsleverandører og tjenesteleverandører slik at du får de svarene du trenger for å arkitekt og budsjettet bedriftens IP-kommunikasjonsstrategi.

Registrer deg nå for Enterprise IP-kommunikasjons Symposium på www.lippismedia.com.



Previous: