De volta ao topo

A Transition Networks é de propriedade total da Lantronix, Inc.

Transition Networks

Segurança de rede: Por que a autenticação é importante

Para a maioria das organizações, a segurança física é um dado adquirido. Seja vigilância por vídeo, controle de acesso, detectores de movimento ou alarmes; as empresas comerciais adotaram o conceito de proteger suas propriedades físicas e ativos. À medida que mais e mais negócios são conduzidos pela Internet e os usuários se conectam remotamente às redes de suas empresas, a importância atribuída à segurança da rede e à proteção dos ativos intelectuais aumenta drasticamente.

O objetivo da segurança de rede é proteger a rede e seus elementos de violações de acesso não autorizado que podem levar à perda de dados, receita e / ou produtividade. Este white paper discutirá algumas das medidas de segurança que estão sendo empregadas atualmente em equipamentos de rede para limitar a infiltração de usuários mal-intencionados e conteúdo eletrônico potencialmente prejudicial.

 

O que são HTTPS, SSL e SSH?

Como um passaporte ou carteira de motorista, um Certificado SSL ou Chave SSH é emitido por uma fonte confiável, conhecida como Autoridade de Certificação (CA). Muitos CAs verificarão o nome de domínio e a existência de sua propriedade do nome de domínio, emitindo certificados digitais que contêm uma chave pública e a identidade do proprietário. Este certificado também é um atestado pela CA de que a chave pública contida no certificado pertence à pessoa, organização, servidor ou outra entidade indicada no certificado.

HTTPS significa Hypertext Transfer Protocol Secure. É um software de servidor que oferece a capacidade de “proteger” as transações que ocorrem na World Wide Web (www). Se um site está sendo executado fora de um servidor HTTPS, você pode digitar HTTPS em vez de HTTP na seção URL do seu navegador para entrar no “modo seguro”. HTTPS é frequentemente oferecido por instituições financeiras para apoiar suas ofertas de banco online, a fim de verificar se as informações transmitidas entre o seu PC e o servidor são “seguras”.

SSL significa Secure Socket Layer e é um método de criptografia baseado em padrões que permite que o HTTPS funcione com segurança. O SSL é amplamente implementado para ajudar a proteger as transações na Internet e é a forma preferida da maioria das instituições financeiras para conduzir negócios pela web. Ele é baseado especificamente em um certificado de autenticação de chave pública, que usa uma chave privada gerada automaticamente e uma senha. Uma organização que busca implementar SSL pode adquirir um certificado público de algumas Autoridades de Certificação (CAs), como: VeriSign, Comodo e Go Daddy.

Para fazer uma conexão SSL de um computador pessoal a um servidor de banco on-line, por exemplo, o computador pessoal pede para se conectar e anuncia os métodos de criptografia de que é capaz. O servidor bancário escolherá o método de criptografia mais alto que ambos os componentes são capazes e, em seguida, responderá com seu nome, a autoridade de certificação que fornece a chave e a chave de criptografia pública. Nesse ponto, o cliente pode entrar em contato com a autoridade de certificação para verificar a autenticidade da chave. O computador pessoal responderá gerando um número aleatoriamente, criptografando o número aleatório usando a chave pública fornecida pelo servidor bancário e, em seguida, retransmitindo para o servidor bancário. Neste ponto, o único dispositivo que deve ser capaz de descriptografar a mensagem é o servidor bancário usando sua chave privada. Isso iniciará uma “sessão” única entre os dois componentes da rede, na qual as informações que passam entre eles são criptografadas.

O SSH funciona de maneira muito semelhante ao SSL, mas cobre diferentes camadas do modelo OSI para criptografar os dados trocados duas vezes. A primeira criptografia acontece na camada de transporte do modelo OSI, uma vez que uma conexão física é feita. Neste ponto, a conexão é autenticada usando uma chave pública que pode ser gerada pela maioria dos equipamentos. Essa verificação de chaves públicas cria uma criptografia de 128 bits que permite que um login e uma senha sejam fornecidos por meio de uma mensagem criptografada entre um cliente e um servidor. Depois que a senha é verificada, uma sessão única é criada e uma chave privada é usada para assinar digitalmente a sessão e criptografá-la novamente, desta vez na camada de sessão do modelo OSI.

No caso de um ataque a um sistema SSH, um invasor deve quebrar a primeira criptografia de 128 bits para interceptar a senha e, em seguida, o invasor deve invadir a chave privada, que é uma série imensamente longa de números para “personificar” uma sessão. Caso contrário, se eles estivessem conectados (mesmo ao mesmo tempo que 'você'), as sessões seriam assinadas digitalmente com uma ID de chave privada diferente, verificando assim a origem de cada sessão.

Muitos dos modelos mais recentes da Transition Networks, como o ION Chassis, SM24-1000SFP-AH e SM24-100SFP-AH, todos vêm com terminação Secure Sockets Layer (SSL) e Secure Shell (SSH) para segurança ponta a ponta.

 

O que é RADIUS e por que um Network Manager o implementaria com o ION Management Module (IONMM)?

RADIUS é uma sigla que significa Remote Authentication Dial In User Service, que é um protocolo de rede projetado para ajudar a centralizar o processo de autenticação de gerenciamento. O RADIUS foi amplamente adotado por provedores de serviços para limitar o número de regras de gerenciamento que precisam ser implementadas em cada elemento da rede. O protocolo RADIUS foi projetado para funcionar em uma relação cliente-servidor. O que significa que todas as regras de autenticação e monitoramento são feitas em um servidor (ou servidores) centralizado e cada cliente acessará essas regras antes de permitir que qualquer gerenciamento seja feito para o cliente.

Imagine que você seja o arquiteto de rede de um grande provedor de serviços que possui 20.000 elementos de rede (switches, roteadores, NIDs, etc.) e que existem 50 estações de gerenciamento com acesso autorizado à rede de gerenciamento. Cada estação de gerenciamento pode ter diferentes níveis de autorização (ou seja, o laptop A pode ser capaz de ler / gravar NIDs e opções de acesso, mas pode ter apenas acesso de leitura ao equipamento principal). Antes do RADIUS, cada elemento da rede precisaria ser programado com as regras, assim como cada novo elemento da rede. Com um servidor RADIUS, as regras estão em um local e cada dispositivo cliente essencialmente “aprende” as regras daquele servidor.

No caso de um aplicativo RADIUS, o módulo de gerenciamento ION (IONMM) atuaria como um servidor de acesso à rede em que um usuário enviaria uma solicitação de gerenciamento ao IONMM e encaminharia a solicitação diretamente para um servidor RADIUS para autenticação e autorização . Este recurso ajudará os gerentes de rede a garantir que o acesso às informações de gerenciamento do IONMM seja concedido apenas a pessoal autorizado - sem se preocupar com a instalação das regras em todos os IONMMs implantados em sua rede. Ele também garante que, se um usuário desconfiado obtiver acesso a um módulo de gerenciamento ION, esse usuário não terá acesso a todas as regras de rede e códigos de autenticação sem ter que se aprofundar na rede.

Muitos dos modelos da Transition Networks, como o ION Chassis, SM24-1000SFP-AH e SM24-100SFP-AH, todos vêm com RADIUS integrado.

 

O que é uma regra ACL e a que ela dá / impede o acesso?

Uma Lista de Controle de Acesso (ACL) é literalmente uma lista que permite ou nega acesso ao equipamento de rede. Em termos de módulo de gerenciamento ION (IONMM), é melhor pensar em uma lista de controle de acesso em termos de uma instrução 'permitir' ou 'negar' sem meio-termo. Você pode entrar ou está fora.

No caso do IONMM, uma lista de controle de acesso é usada para controlar o acesso ao gerenciamento do chassi ION e, posteriormente, às interfaces de gerenciamento dos cartões inseridos nesse chassi. O IONMM possui três camadas de listas de controle de acesso; em termos do modelo OSI, a lista de controle de acesso da camada mais alta para o IONMM está na camada 4. Na camada 4, o IONMM pode filtrar o acesso com base na porta UDP, porta TCP ou tipo ICMP. Este filtro está concedendo ou negando acesso com base no tipo de protocolos de transporte que podem estar tentando obter acesso à interface de gerenciamento. A próxima camada mais alta de controle de acesso opera na camada 3 e é baseada nos endereços IP das estações que tentam acessar os controles de gerenciamento. Enquanto a ACL da camada mais baixa funciona na camada 2 com endereços MAC. Por padrão, cada uma dessas regras ACL tem um comando de permissão implícito fornecido. Isso significa que tudo o que é conectado tem acesso permitido com o nome de usuário e senha adequados.

É importante ter essa permissão implícita como padrão porque, na configuração, é importante que uma operadora de rede seja capaz de obter acesso ao dispositivo de qualquer estação de trabalho. Uma vez implantado, no entanto, ele representa um ponto potencial de violação de segurança que pode ter um efeito negativo na rede e na receita de uma organização. Isso torna as ACLs importantes para configurar a fim de garantir não apenas que alguém com as senhas corretas esteja efetuando login, mas também que uma máquina à qual você concedeu acesso esteja efetuando login.

A forma mais básica de uma ACL é especificar endereços MAC para permitir / negar. Este tipo de ACL funciona bem se conectado na mesma rede de transmissão ou se você deseja permitir o gerenciamento de uma interface de roteador, ao mesmo tempo que permite que o roteador policie quem tem acesso à sua interface. O estado padrão do MAC ACL é permitir implicitamente que todos os endereços MAC com o nome de usuário e a senha corretos acessem as informações de gerenciamento.

Se um operador de rede permite que o gerenciamento seja configurado apenas por alguns dispositivos e ambos estão no mesmo domínio de broadcast que o módulo de gerenciamento, inserir o (s) endereço (s) MAC diretamente no módulo de gerenciamento é uma maneira muito eficaz de garantir que apenas usuários registrados têm permissão para acessar a interface de gerenciamento. Depois que um endereço MAC é inserido como allow, uma declaração de negação implícita é automaticamente ativada abaixo dele. Isso significa que apenas o (s) endereço (s) MAC especificado (s) têm permissão para acessar a interface de gerenciamento. No caso do módulo de gerenciamento ION, o IONMM deve ter pelo menos uma declaração de permissão ou o gerenciamento ficará inacessível através da interface da web ou Telnet.

Se o módulo de gerenciamento estiver em um domínio de broadcast diferente das estações de gerenciamento, a tabela MAC precisará usar o endereço MAC de sua (s) interface (s) de roteador, pois é onde o endereço MAC de “origem” será associado. Se isso acontecesse, qualquer equipamento com acesso à interface dos roteadores teria por padrão acesso à interface de gerenciamento do IONMM com o nome de usuário e senha corretos. Este potencial problema de segurança pode ser contornado atribuindo uma ACL com base no (s) endereço (s) IP.

Suponha que um administrador de rede tenha três laptops individuais e duas estações de trabalho que eles usam para todos os aplicativos de gerenciamento. Simplesmente inserir esses cinco endereços IP na ACL IONMM com uma declaração de licença permitirá que cada um acesse o prompt de gerenciamento de senha. Assim que uma declaração de “permissão” é inserida para um endereço IP, uma negação implícita também é inserida automaticamente, o que garante que apenas IPs autorizados tenham acesso à interface de gerenciamento. Por exemplo, se uma operadora de rede quisesse permitir 192.168.100.100 para gerenciar o IONMM, a operadora não precisaria digitar uma declaração de negação para todos os outros endereços IP, ela seria implicitamente aplicada a essa interface após a declaração de permissão ser inserida. É possível inserir um intervalo de endereços IPv4 ou uma rede IPv4 inteira usando um único comando. O IONMM deve ter pelo menos uma declaração de permissão ou o gerenciamento ficará inacessível por meio da interface da web ou Telnet.

 

Conclusão

Ao longo deste white paper, abordamos algumas das tecnologias de segurança que estão sendo integradas aos elementos de rede atuais para ajudar a facilitar o gerenciamento e aumentar a segurança da rede. A nova plataforma ION é a evidência de que a Transition Networks adotou essas medidas de todo o coração - oferecendo uma família de próxima geração de dispositivos de rede ótica inteligente construída em torno de uma infinidade de novos recursos de segurança e uma estrutura de gerenciamento robusta.

 

Uso os produtos da Transition Networks nas instalações de meus clientes há anos. Sempre achei seus produtos, atendimento ao cliente, vendas e suporte técnico de primeira linha. Eu nem mesmo consideraria usar outra marca.

Gerente de Projetos Sênior no Provedor de Soluções de TI

Perto

Solicite um orçamento da distribuição

Nossos produtos são vendidos por meio de nossa rede mundial de parceiros. Solicite uma cotação abaixo e nossos especialistas em rede facilitarão o processo de cotação, garantindo que você obtenha os produtos e soluções de que precisa com o parceiro certo para você.

Para grandes projetos acima de $2.000, podemos oferecer preços com descontos especiais
Nome do distribuidor ou revendedor que você gostaria de processar sua cotação. Para saber mais sobre nossos parceiros em sua área, consulte nosso Como comprar a página

Este produto foi adicionado com sucesso à sua cotação.

Clique aqui para ver sua cotação.

Sua cotação foi criada com sucesso!

Clique aqui para ver sua cotação.

Editar produtos - Editar Detalhes

Sua cotação ainda não contém nenhum produto.

Editar produtos - Editar Detalhes

produtos Quantidade

Sua cotação ainda não contém nenhum produto.

Sua solicitação de orçamento foi enviada com sucesso.

Você receberá um e-mail de confirmação em breve para facilitar o processo de cotação. Se você gostaria de salvar sua cotação solicitada, Conecte-se ou Crie a sua conta aqui.

Erro

Ocorreu um erro ao processar sua cotação. Atualize a página e tente novamente.

Solicitando orçamento ...
Pergunte aos especialistas