Zurück nach oben

Transition Networks ist vollständig im Besitz von Lantronix, Inc.

Transition Networks

Netzwerksicherheit: Warum Authentifizierung wichtig ist

Für die meisten Organisationen ist physische Sicherheit eine Selbstverständlichkeit. Ob es sich um Videoüberwachung, Zugangskontrolle, Bewegungsmelder oder Alarme handelt; Handelsunternehmen haben das Konzept des Schutzes ihres physischen Eigentums und Vermögens angenommen. Da immer mehr Geschäfte über das Internet abgewickelt werden und Benutzer sich remote in die Netzwerke ihres Unternehmens einloggen, hat die Bedeutung der Netzwerksicherheit und des Schutzes geistiger Vermögenswerte dramatisch zugenommen.

Der Zweck der Netzwerksicherheit besteht darin, das Netzwerk und seine Elemente vor unbefugten Zugriffsverletzungen zu schützen, die zu Daten-, Umsatz- und / oder Produktivitätsverlusten führen können. In diesem Whitepaper werden einige der Sicherheitsmaßnahmen erläutert, die derzeit in Netzwerkgeräten eingesetzt werden, um die Infiltration durch böswillige Benutzer und die potenzielle Beschädigung elektronischer Inhalte zu begrenzen.

 

Was sind HTTPS, SSL und SSH?

Wie ein Reisepass oder ein Führerschein wird ein SSL-Zertifikat oder ein SSH-Schlüssel von einer vertrauenswürdigen Quelle ausgestellt, die als Certificate Authority (CA) bezeichnet wird. Viele Zertifizierungsstellen überprüfen den Domainnamen und das Bestehen Ihres Eigentums an dem Domainnamen, indem sie digitale Zertifikate ausstellen, die einen öffentlichen Schlüssel und die Identität des Eigentümers enthalten. Dieses Zertifikat ist auch eine Bestätigung der Zertifizierungsstelle, dass der im Zertifikat enthaltene öffentliche Schlüssel der im Zertifikat angegebenen Person, Organisation, Server oder anderen Entität gehört.

HTTPS steht für Hypertext Transfer Protocol Secure. Es handelt sich um eine Serversoftware, mit der Transaktionen im World Wide Web (www) „gesichert“ werden können. Wenn eine Website von einem HTTPS-Server ausgeführt wird, können Sie im URL-Bereich Ihres Browsers HTTPS anstelle von HTTP eingeben, um in den „gesicherten Modus“ zu wechseln. HTTPS wird häufig von Finanzinstituten angeboten, um ihre Online-Banking-Angebote zu unterstützen und zu überprüfen, ob die zwischen Ihrem PC und ihrem Server übertragenen Informationen „sicher“ sind.

SSL steht für Secure Socket Layer und ist eine standardbasierte Verschlüsselungsmethode, mit der HTTPS sicher funktioniert. SSL ist weit verbreitet, um Internet-Transaktionen abzusichern, und ist für die meisten Finanzinstitute die bevorzugte Methode, um Geschäfte über das Internet abzuwickeln. Es basiert speziell auf einem Authentifizierungszertifikat mit öffentlichem Schlüssel, das einen selbst generierten privaten Schlüssel und ein Kennwort verwendet. Eine Organisation, die SSL implementieren möchte, kann ein öffentliches Zertifikat von einigen Zertifizierungsstellen (Certificate Authorities, CAs) erwerben, z. B. VeriSign, Comodo und Go Daddy.

Um beispielsweise eine SSL-Verbindung von einem Personal Computer zu einem Online-Banking-Server herzustellen, fordert der Personal Computer auf, eine Verbindung herzustellen, und kündigt die Verschlüsselungsmethoden an, die er kann. Der Bankserver wählt die höchste Verschlüsselungsmethode aus, zu der beide Komponenten in der Lage sind, und antwortet dann mit seinem Namen, der Zertifizierungsstelle, die den Schlüssel bereitstellt, und dem öffentlichen Verschlüsselungsschlüssel. Zu diesem Zeitpunkt kann sich der Kunde an die Zertifizierungsstelle wenden, um die Echtheit des Schlüssels zu überprüfen. Der Personal Computer antwortet, indem er zufällig eine Nummer generiert, die Zufallszahl mit dem vom Bankenserver bereitgestellten öffentlichen Schlüssel verschlüsselt und dann erneut an den Bankserver überträgt. Zu diesem Zeitpunkt ist das einzige Gerät, das die Nachricht entschlüsseln sollte, der Bankserver mit seinem privaten Schlüssel. Dadurch wird eine eindeutige „Sitzung“ zwischen den beiden Netzwerkkomponenten initiiert, in der die zwischen ihnen übertragenen Informationen verschlüsselt werden.

SSH funktioniert sehr ähnlich wie SSL, deckt jedoch verschiedene Schichten des OSI-Modells ab, um die ausgetauschten Daten zweimal zu verschlüsseln. Die erste Verschlüsselung erfolgt auf der Transportschicht des OSI-Modells, sobald eine physische Verbindung hergestellt wurde. Zu diesem Zeitpunkt wird die Verbindung mithilfe eines öffentlichen Schlüssels authentifiziert, der von den meisten Geräten generiert werden kann. Durch diese Überprüfung der öffentlichen Schlüssel wird eine 128-Bit-Verschlüsselung erstellt, mit der ein Login und ein Kennwort über eine verschlüsselte Nachricht zwischen einem Client und einem Server vergeben werden können. Sobald das Kennwort überprüft wurde, wird eine eindeutige Sitzung erstellt und ein privater Schlüssel wird verwendet, um die Sitzung digital zu signieren und erneut zu verschlüsseln, diesmal auf der Sitzungsebene des OSI-Modells.

Im Falle eines Angriffs auf ein SSH-System muss ein Angreifer die erste 128-Bit-Verschlüsselung aufheben, um das Kennwort abzufangen, und dann muss der Angreifer in den privaten Schlüssel einbrechen, bei dem es sich um eine immens lange Reihe von Zahlen handelt, um sich als Sitzung auszugeben. Andernfalls würden die Sitzungen, wenn sie angemeldet wären (sogar genau zur gleichen Zeit wie "Sie"), digital mit einer anderen privaten Schlüssel-ID signiert, wodurch die Quelle jeder Sitzung überprüft würde.

Viele der neueren Modelle von Transition Networks wie das ION-Gehäuse, SM24-1000SFP-AH und SM24-100SFP-AH sind mit SSL- (Secure Sockets Layer) und SSH-Terminierung (Secure Shell) für End-to-End-Sicherheit ausgestattet.

 

Was ist RADIUS und warum sollte ein Network Manager es mit dem ION Management Module (IONMM) implementieren?

RADIUS ist ein Akronym für Remote Authentication Dial In User Service, ein Netzwerkprotokoll, mit dem der Verwaltungsauthentifizierungsprozess zentralisiert werden kann. RADIUS wurde von Dienstanbietern weitgehend übernommen, um die Anzahl der Verwaltungsregeln zu begrenzen, die in jedem Netzwerkelement implementiert werden müssen. Das RADIUS-Protokoll funktioniert in einer Client-Server-Beziehung. Dies bedeutet, dass alle Authentifizierungsregeln und die Überwachung auf einem oder mehreren zentralen Servern durchgeführt werden und jeder Client auf diese Regeln zugreift, bevor die Verwaltung des Clients durchgeführt werden kann.

Stellen Sie sich vor, Sie sind ein Netzwerkarchitekt für einen großen Dienstanbieter mit 20.000 Netzwerkelementen (Switches, Router, NIDs usw.) und es gibt 50 Verwaltungsstationen mit autorisiertem Zugriff auf das Verwaltungsnetzwerk. Jede Management Station verfügt möglicherweise über unterschiedliche Berechtigungsstufen (dh Laptop A kann möglicherweise NIDs und Zugriffsschalter lesen / schreiben, hat jedoch möglicherweise nur Lesezugriff auf die Kernausrüstung). Vor RADIUS müsste jedes Netzwerkelement mit den Regeln programmiert werden, ebenso wie jedes neue Netzwerkelement. Bei einem RADIUS-Server befinden sich die Regeln an einem Ort, und jedes Clientgerät „lernt“ im Wesentlichen die Regeln von diesem Server.

Im Fall einer RADIUS-Anwendung verhält sich das ION-Verwaltungsmodul (IONMM) wie ein Netzwerkzugriffsserver, indem ein Benutzer eine Verwaltungsanforderung an das IONMM sendet und die Anforderung zur Authentifizierung und Autorisierung direkt an einen RADIUS-Server weiterleitet . Mit dieser Funktion können Netzwerkmanager sicherstellen, dass der Zugriff auf die IONMM-Verwaltungsinformationen nur autorisiertem Personal gewährt wird, ohne sich Gedanken über die Installation der Regeln auf allen in ihrem Netzwerk bereitgestellten IONMMs machen zu müssen. Außerdem wird sichergestellt, dass ein misstrauischer Benutzer, der Zugriff auf ein ION-Verwaltungsmodul erhält, nicht auf alle Netzwerkregeln und Authentifizierungscodes zugreifen kann, ohne weiter in das Netzwerk eindringen zu müssen.

Viele Modelle von Transition Networks, wie das ION-Chassis, SM24-1000SFP-AH und SM24-100SFP-AH, sind mit integriertem RADIUS ausgestattet.

 

Was ist eine ACL-Regel und worauf gewährt / verhindert sie den Zugriff?

Eine Zugriffssteuerungsliste (Access Control List, ACL) ist buchstäblich eine Liste, die den Zugriff auf Netzwerkgeräte zulässt oder verweigert. In Bezug auf das ION-Verwaltungsmodul (IONMM) ist es am besten, sich eine Zugriffssteuerungsliste als eine Erlaubnis- oder Verweigerungsanweisung ohne Mittelweg vorzustellen. Du darfst entweder rein oder raus.

Im Fall des IONMM wird eine Zugriffssteuerungsliste verwendet, um den Zugriff auf die Verwaltung des ION-Gehäuses und anschließend auf die Verwaltungsschnittstellen der in dieses Gehäuse eingesetzten Karten zu steuern. Das IONMM verfügt über drei Ebenen von Zugriffssteuerungslisten. In Bezug auf das OSI-Modell befindet sich die Liste der Zugriffssteuerung auf höchster Ebene für das IONMM auf Ebene 4. Auf Ebene 4 kann das IONMM den Zugriff basierend auf dem UDP-Port, dem TCP-Port oder dem ICMP-Typ filtern. Dieser Filter gewährt oder verweigert den Zugriff basierend auf der Art der Transportprotokolle, die versuchen könnten, Zugriff auf die Verwaltungsschnittstelle zu erhalten. Die nächsthöhere Ebene der Zugriffskontrolle arbeitet auf Schicht 3 und basiert auf den IP-Adressen der Stationen, die versuchen, auf die Verwaltungskontrollen zuzugreifen. Während die ACL der untersten Schicht auf Schicht 2 mit MAC-Adressen arbeitet. Standardmäßig wird für jede dieser ACL-Regeln ein impliziter Befehl zum Zulassen angegeben. Das bedeutet, dass alles, was angeschlossen wird, mit dem richtigen Benutzernamen und Passwort zugänglich ist.

Diese implizite Erlaubnis ist standardmäßig wichtig, da es beim Einrichten wichtig ist, dass ein Netzbetreiber von jedem Arbeitsplatz aus auf das Gerät zugreifen kann. Einmal bereitgestellt, stellt es jedoch eine potenzielle Sicherheitslücke dar, die sich möglicherweise negativ auf das Netzwerk und den Umsatz eines Unternehmens auswirken kann. Daher ist es wichtig, ACLs zu konfigurieren, um sicherzustellen, dass sich nicht nur jemand mit den richtigen Kennwörtern anmeldet, sondern auch ein Computer, auf den Sie Zugriff gewährt haben.

Die grundlegendste Form einer ACL besteht darin, MAC-Adressen anzugeben, die zugelassen / verweigert werden sollen. Dieser ACL-Typ funktioniert gut, wenn eine Verbindung im selben Broadcast-Netzwerk besteht oder wenn Sie die Verwaltung über eine Router-Schnittstelle zulassen möchten, während der Router gleichzeitig überwachen kann, wer Zugriff auf seine Schnittstelle hat. Der Standardstatus der MAC-ACL besteht darin, implizit allen MAC-Adressen mit dem richtigen Benutzernamen und Kennwort den Zugriff auf die Verwaltungsinformationen zu ermöglichen.

Wenn ein Netzwerkbetreiber nur zulässt, dass die Verwaltung von wenigen Geräten konfiguriert wird und sich beide in derselben Broadcast-Domäne wie das Verwaltungsmodul befinden, ist die Eingabe der MAC-Adresse (n) direkt in das Verwaltungsmodul eine sehr effektive Methode, um dies sicherzustellen Registrierte Benutzer haben Zugriff auf die Verwaltungsoberfläche. Sobald eine MAC-Adresse als zulässig eingegeben wurde, wird automatisch eine implizite Verweigerungsanweisung darunter aktiviert. Dies bedeutet, dass nur die angegebenen MAC-Adressen Zugriff auf die Verwaltungsschnittstelle haben. Im Fall des ION-Verwaltungsmoduls muss das IONMM über mindestens eine allow-Anweisung verfügen, sonst kann über die Webschnittstelle oder Telnet nicht mehr auf die Verwaltung zugegriffen werden.

Befindet sich das Verwaltungsmodul in einer anderen Broadcast-Domäne als die Verwaltungsstationen, muss die MAC-Tabelle die MAC-Adresse ihrer Router-Schnittstelle (n) verwenden, da dort die MAC-Adresse „Quelle“ zugeordnet wird. In diesem Fall hätte jedes Gerät mit Zugriff auf die Router-Schnittstelle standardmäßig Zugriff auf die Verwaltungsschnittstelle des IONMM mit dem richtigen Benutzernamen und Kennwort. Dieses potenzielle Sicherheitsproblem kann umgangen werden, indem eine ACL basierend auf IP-Adresse (n) zugewiesen wird.

Angenommen, ein Netzwerkadministrator verfügt über drei einzelne Laptops und zwei Workstations, die er für alle Verwaltungsanwendungen verwendet. Durch einfaches Eingeben dieser fünf IP-Adressen in die IONMM-ACL mit einer Genehmigungserklärung können sie jeweils auf die Verwaltungsaufforderung zur Eingabe des Kennworts zugreifen. Sobald eine "Erlaubnis" -Anweisung für eine IP-Adresse eingegeben wird, wird automatisch eine implizite Verweigerung eingegeben, die sicherstellt, dass nur autorisierte IPs Zugriff auf die Verwaltungsschnittstelle haben. Wenn ein Netzbetreiber beispielsweise zulassen möchte, dass 192.168.100.100 das IONMM verwaltet, muss der Betreiber nicht für jede andere IP-Adresse eine Ablehnungsanweisung eingeben, sondern diese wird implizit auf diese Schnittstelle angewendet, nachdem die Erlaubnisanweisung eingegeben wurde. Mit einem einzigen Befehl können Sie einen IPv4-Adressbereich oder ein gesamtes IPv4-Netzwerk eingeben. Das IONMM muss über mindestens eine Erlaubnisanweisung verfügen, sonst kann über die Weboberfläche oder Telnet nicht mehr auf die Verwaltung zugegriffen werden.

 

Fazit

Im Verlauf dieses Whitepapers haben wir einige der Sicherheitstechnologien behandelt, die in die heutigen Netzwerkelemente integriert werden, um das Netzwerkmanagement zu vereinfachen und die Netzwerksicherheit zu erhöhen. Die neue ION-Plattform ist ein Beweis dafür, dass Transition Networks diese Maßnahmen von ganzem Herzen umgesetzt hat. Sie bietet eine Familie intelligenter optischer Netzwerkgeräte der nächsten Generation, die auf einer Vielzahl neuer Sicherheitsfunktionen und einem robusten Verwaltungsrahmen basieren.

 

Ich habe die Produkte von Transition Networks jahrelang in meinen Kundeninstallationen verwendet. Ich habe immer festgestellt, dass ihre Produkte, der Kundenservice, der Vertrieb und der technische Support erstklassig sind. Ich würde nicht einmal in Betracht ziehen, eine andere Marke zu verwenden.

Senior Projektmanager bei IT Solutions Provider

Schließen

Fordern Sie ein Angebot von Distribution an

Unsere Produkte werden über unser weltweites Partnernetzwerk verkauft. Fordern Sie unten ein Angebot an, und unsere Netzwerkexperten erleichtern Ihnen den Angebotsprozess, um sicherzustellen, dass Sie die Produkte und Lösungen, die Sie benötigen, mit dem richtigen Partner für Sie erhalten.

Für große Projekte über $2.000 können wir spezielle Sonderpreise anbieten
Name des Händlers oder Wiederverkäufers, den Sie für Ihr Angebot bearbeiten möchten. Um mehr über unsere Partner in Ihrer Nähe zu erfahren, besuchen Sie unsere Wie kaufe ich Seite

Dieses Produkt wurde erfolgreich zu Ihrem Angebot hinzugefügt.

Klicken Sie hier , um Ihr Angebot anzuzeigen.

Ihr Angebot wurde erfolgreich erstellt!

Klicken Sie hier , um Ihr Angebot anzuzeigen.

Produkte bearbeiten - Details bearbeiten

Ihr Angebot enthält noch keine Produkte.

Produkte bearbeiten - Details bearbeiten

Produkt Menge

Ihr Angebot enthält noch keine Produkte.

Ihre Angebotsanfrage wurde erfolgreich eingereicht.

Sie erhalten in Kürze eine Bestätigungs-E-Mail, um den Angebotsprozess zu vereinfachen. Wenn Sie Ihr gewünschtes Angebot speichern möchten, Einloggen oder ein Konto erstellen.

Error

Bei der Bearbeitung Ihres Angebots ist ein Fehler aufgetreten. Bitte aktualisieren Sie die Seite und versuchen Sie es erneut.

Angebot anfordern ...
Fragen Sie die Experten