Serie Lo que los arquitectos deben saber: Arquitectura de protección y seguridad de redes

Language 2023-10-01 23:23:52 views: null

Autor: Zen y el arte de la programación informática

1. Introducción

La "seguridad de la red", como una de las direcciones de investigación importantes en el campo de la informática, se ha convertido en un tema candente en diversas industrias, como gobiernos, empresas e instituciones financieras. Bajo este tema importante, la construcción de sistemas de protección de seguridad de red se ha convertido gradualmente en el foco de la industria.

Este tema presentará algunos conocimientos básicos y tecnologías clave relacionadas con la seguridad de la red, y utilizará casos prácticos para describir el proceso de construcción y la implementación técnica del sistema de protección de seguridad de la red, incluido el control de acceso a la red, la detección de intrusiones, el filtrado de tráfico, el conocimiento de la situación de seguridad y los ataques. respuesta, monitoreo de fuga de información, sistema de defensa contra ataques, etc.

2.Conceptos y terminología básicos

2.1 Modelo OSI de siete capas

El modelo de protocolo de siete capas OSI (Interconexión de sistemas abiertos), abreviado como modelo OSI, define la estructura de red de siete capas de la comunicación informática, a saber, capa física, capa de enlace de datos, capa de red, capa de transporte y capa de sesión. capa, capa de presentación y capa de aplicación. Cada capa tiene una pila de protocolos correspondiente para procesar los paquetes de datos intercambiados anteriormente. Cada pila de protocolos realizará un procesamiento especial en los paquetes transmitidos desde la capa superior y luego los reenviará a la capa inferior para su procesamiento. Como se muestra abajo:

2.2 Modelo de cuatro capas TCP/IP

TCP/IP (Protocolo de control de transmisión/Protocolo de Internet) es un protocolo del conjunto de protocolos de Internet y es un conjunto de protocolos utilizados para la interconexión a Internet. Consta principalmente de cuatro capas: capa de enlace, capa de red, capa de transporte y capa de aplicación. Entre ellos, la capa de enlace es responsable de encapsular datos en tramas y transmitirlos a la computadora de destino, mientras que la capa de transporte proporciona servicios confiables de transmisión de datos de un extremo a otro, y la capa de aplicación proporciona a los usuarios varias interfaces de programas de aplicación, como HTTP, FTP, SMTP, etc.

La estructura del modelo TCP/IP se muestra en la siguiente figura:

2.3 tecnología VPN

VPN (Virtual Private Network) traducida al chino es una red privada virtual. La tecnología VPN utiliza una red pública o una red privada para abrir una conexión de red entre dos redes diferentes mediante cifrado, que puede romper el bloqueo de firewalls o enrutadores. También se pueden conectar las LAN establecidas dentro de los operadores. Permite la interconexión entre cualquier lugar del mundo. Los servicios VPN pueden proporcionar varios mecanismos de protección de seguridad, como autenticación de identidad, control de acceso, control de tráfico, transmisión cifrada, etc. Según cómo se implemente la VPN, la VPN se divide en tres tipos: VPN de sitio a sitio, VPN de usuario remoto y VPN empresarial.

2.4 Protocolo SSL/TLS

Tanto SSL como TLS son protocolos de transmisión cifrados. El predecesor de SSL, Secure Socket Layer (en adelante, SSL), es un protocolo estándar de capa de conexión segura diseñado por Netscape. Más tarde, Microsoft y Google adquirieron SSL y lo rebautizaron como Microsoft SSL (en adelante conocido como MS-SSL) y lanzar su propia versión de TLS. Tanto SSL como TLS son protocolos de transmisión cifrados, cuyo objetivo es proporcionar un entorno de comunicación seguro y evitar que terceros escuchen, alteren o falsifiquen el contenido de la comunicación.

3.Control de acceso a la red

El control de acceso a la red se refiere al proceso y método de administrar los derechos de acceso a los recursos de la red en una organización. Implica dispositivos de red, servidores, computadoras personales, dispositivos móviles y otros componentes de la red, y formula políticas de control de acceso basadas en la topología de la red, políticas de red, roles del sistema, atributos de recursos, etc.

Hay tres tipos principales de políticas de control de acceso a la red:

  • Control de acceso a datos: controle el flujo de datos y restrinja el acceso directo a los recursos de la red. Solo las personas autorizadas pueden acceder a los datos de la red;
  • Control de sesión: controle el momento y el método en que los usuarios inician sesión en los recursos de la red y evite inicios de sesión ilegales;
  • Seguimiento de auditoría: registre registros de actividad de la red, audite registros de operación de la red e identifique comportamientos anormales.

El control de acceso a la red es un sistema de control automatizado basado en la topología de la red, diseñado para garantizar la seguridad, integridad y disponibilidad de los sistemas y datos dentro de la red empresarial. Cuando un atacante invade una red, primero debe detectar su presencia y luego tomar las contramedidas necesarias para evitar daños. Por lo tanto, el control de acceso a la red es una parte importante para garantizar la seguridad de la red.

4. Detección de intrusiones

La detección de intrusiones (Sistema de detección de intrusiones) detecta actividades maliciosas o comportamientos anormales en la red mediante el análisis del tráfico de la red, registros, etc., y luego realiza el descubrimiento, la detección y la alerta temprana de amenazas en los sistemas informáticos. Los sistemas de detección de intrusiones pueden ayudar a las empresas a descubrir sistemas, personal o equipos infectados y tomar las contramedidas necesarias.

Los sistemas de detección de intrusiones generalmente incluyen tres partes:

  1. Módulo de detección: recopila datos de tráfico de red y realiza análisis en tiempo real.
  2. Módulo de análisis: realice cálculos complejos sobre los datos del tráfico de la red para determinar si hay anomalías en el tráfico.
  3. Módulo de falso negativo: realiza análisis estadístico de los resultados de detección para mejorar la precisión del sistema.

Los sistemas de detección de intrusiones generalmente utilizan el tipo de host, el tipo de puerta de enlace, el tipo de servidor o una combinación de múltiples formas. Debido a la complejidad de la integración del sistema, es difícil garantizar la exhaustividad y precisión, por lo que en el campo de batalla de la seguridad de la red cada vez más desarrollado, cada vez más empresas optan por adoptar soluciones de valor agregado, como sistemas de detección de intrusiones en la red, centros de seguridad en la nube, y seguridad de terminales Center et al.

5. Filtrado de tráfico

El filtrado de tráfico es una tecnología utilizada por los dispositivos de red para filtrar y bloquear comunicaciones maliciosas. Esta tecnología puede bloquear las comunicaciones desde direcciones IP y puertos específicos, resistiendo así el comportamiento malicioso de los atacantes.

El filtrado de tráfico generalmente utiliza tecnología de configuración de tráfico a nivel de tarjeta de red, que solo permite el paso de paquetes de datos que cumplen con ciertas reglas, que generalmente se formulan en función de los requisitos de la aplicación. Actualmente, la tecnología de filtrado de tráfico se ha generalizado porque puede resistir eficazmente ataques dirigidos, como ataques DDoS, ataques web, virus y troyanos, etc.

El sistema de filtrado de tráfico también necesita cooperar con otras tecnologías de seguridad de red para desempeñar su mejor papel, como programación de tráfico, control de acceso, detección de intrusos, etc., para poder ejercer todas sus capacidades de defensa.

6. Conciencia situacional de seguridad

El conocimiento de la situación de seguridad (gestión de eventos e información de seguridad) se refiere a la recopilación, integración, análisis, almacenamiento y publicación de información relacionada con la seguridad, así como el proceso de respuesta y eliminación de eventos de seguridad, para ayudar a las empresas a comprender la dinámica de la seguridad de la red en de manera oportuna y establecer un sistema para la organización. El soporte creíble de información de seguridad de la red reduce la posibilidad de incidentes de seguridad de la red.

Los sistemas de conciencia situacional de seguridad generalmente incluyen tres funciones:

  1. Recopilación de información: recopile datos relacionados con la seguridad de la red, incluidos registros de red, datos de ataques, informes de escaneo, inteligencia sobre amenazas, etc.
  2. Integración de datos: unifique la información de seguridad recopilada para eliminar duplicaciones, errores y datos incompletos.
  3. Análisis de datos: analice, clasifique, recupere, asocie y sintetice información integrada para generar inteligencia de seguridad valiosa y mejorar la comprensión general de la seguridad de la red.

El sistema de conocimiento de la situación de seguridad desempeña un papel vital en la respuesta a incidentes de seguridad de la red y puede ayudar a las empresas a descubrir rápidamente amenazas a la seguridad de la red, localizar con precisión la fuente de los ataques a la red e investigar y bloquear ataques para evitar accidentes graves.

7. Respuesta al ataque

La respuesta a un ataque cibernético es un mecanismo de retroalimentación después de que ocurre un incidente de seguridad de la red, que incluye cómo una empresa responde en consecuencia después de recibir un incidente de seguridad, garantizando así el funcionamiento estable y a largo plazo de la seguridad de la red.

La respuesta al ataque generalmente consta de varias etapas:

  1. Etapa antiataque: las empresas deben implementar diferentes mecanismos de protección de seguridad según los diferentes métodos de ataque para reducir el riesgo de ser atacadas.
  2. Fase de evaluación: evaluar la eficacia de las contramedidas y estrategias, examinar el tipo, escala y alcance del ataque y desarrollar un plan de acción de seguimiento.
  3. Etapa de gobernanza: aclarar responsabilidades, implementar responsabilidades y obligaciones de compensación, y rastrear y mantener continuamente el estado de seguridad de la red.
  4. Fase de recuperación: restaurar las operaciones comerciales normales y mejorar la conciencia de seguridad de la empresa.

Los sistemas de respuesta a ataques generalmente utilizan diversas formas de herramientas y procesos, incluida la gestión de vulnerabilidades, modelado de amenazas, coordinación externa, respuesta de emergencia, respuesta antiterrorista, evaluación y reparación periódicas, etc. Estas herramientas y procesos pueden ayudar a las empresas a analizar y responder de manera rápida y efectiva. Incidente de ciberseguridad.

8.Monitoreo de fuga de información

El monitoreo de fugas de información se refiere al establecimiento de un mecanismo de advertencia de fugas de información por parte de una empresa para monitorear el estado de seguridad de los datos y la red de la empresa en tiempo real, detectar el comportamiento de fuga de información y activar el mecanismo de defensa de manera oportuna para evitar pérdidas causadas por la fuga de información. .

El monitoreo de la fuga de información generalmente incluye los siguientes cinco elementos:

  1. Descubrimiento de peligros ocultos: el sistema integra las tres dimensiones de monitoreo de riesgos, monitoreo de vulnerabilidades y gestión de la configuración de seguridad, que pueden proporcionar alertas tempranas sobre amenazas de seguridad y riesgos potenciales, y ayudar a los desarrolladores a reducir las vulnerabilidades de seguridad y las operaciones ilegales.
  2. Descubrimiento de incidentes de seguridad: el sistema analiza el tráfico y los registros de la red para identificar campos clave, información importante y operaciones maliciosas, lo que ayuda a los administradores a descubrir, analizar y abordar las amenazas de seguridad de manera oportuna.
  3. Análisis de riesgos: el sistema analiza y extrae información detallada sobre las amenazas a la seguridad para descubrir puntos de riesgo internos y externos para ayudar a los administradores a formular estrategias de prevención de seguridad.
  4. Notificación de alerta temprana: el sistema envía notificaciones en tiempo real de amenazas a la seguridad a los administradores en función de condiciones de activación preestablecidas, instándoles a prestar atención y resolver los riesgos de seguridad.
  5. Mitigar daños: además de enviar notificaciones en tiempo real sobre amenazas a la seguridad a los administradores, el sistema también recopila, analiza, filtra y divulga activamente datos de la red para proporcionar a las empresas soluciones de prevención de riesgos de seguridad de los datos.

El sistema de monitoreo de fugas de información puede mejorar el nivel de seguridad de la red corporativa y prevenir pérdidas causadas por fugas de información. Puede garantizar eficazmente la seguridad de los sistemas y datos de la red y reducir los riesgos de seguridad de usuarios y empleados.

9. Sistema de defensa contra ataques

El sistema de defensa contra ataques (ecosistema de ciberdefensa) se refiere a un marco de sistema para garantizar la seguridad de la red, que consta de infraestructura, protección de límites, protección empresarial, detección y respuesta a ataques de red, gestión de sistemas, gestión y soporte de cumplimiento, etc.

El sistema de defensa contra ataques incluye cuatro niveles, que son la capa organizacional, la capa de infraestructura, la capa de protección empresarial y la capa de defensa contra ataques de red.

  • Nivel organizacional: incluyendo gestión de seguridad de redes, gestión de seguridad de la información, respuesta y gestión de incidentes, capacitación en seguridad, formulación de políticas y regulaciones legales, supervisión de seguridad, etc.
  • Capa de infraestructura: incluido el refuerzo de la seguridad de los equipos y sistemas de red, la optimización de la seguridad de las redes básicas, el despliegue de instalaciones de protección de límites, el despliegue de sistemas de detección y prevención de intrusiones, la gestión y supervisión de la infraestructura de la red, etc.
  • Capa de protección empresarial: incluido el diseño y desarrollo de sistemas empresariales, detección y aislamiento del tráfico empresarial, clasificación y aislamiento de datos empresariales, gestión y autenticación de cuentas empresariales, cifrado y protección de aplicaciones empresariales, etc.
  • Capa de defensa contra ataques de red: incluida la recopilación de información, la verificación de la información, el análisis y la prevención de amenazas, el seguimiento del origen de las amenazas, la detección y protección de ataques, la respuesta y recuperación de ataques, la reversión y restauración del negocio, etc.

El sistema de defensa contra ataques es un marco eficaz para prevenir la seguridad de la red y puede mejorar eficazmente las capacidades de seguridad de la red de la organización. Al mismo tiempo, también proporciona diferentes estrategias de defensa para diferentes métodos y objetivos de ataque para garantizar la seguridad de la red de la organización.

Supongo que te gusta

Origin blog.csdn.net/universsky2015/article/details/133446740
Recomendado
Clasificación
Diario
Más
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)

Code World

© 2018 codetd.com