Cómo construir una red corporativa estable
La red inmune es una forma de seguridad de red de información empresarial.
"Inmunidad" es un término biomédico, que se refiere a las funciones específicas de "defensa fisiológica, autoestabilidad y vigilancia inmunológica" del cuerpo humano.
Al igual que el virus informático que conocemos, en la industria informática, "virus" es una imagen prestada de un término médico. De manera similar, "inmunidad" también se utiliza para describir la capacidad y función de las redes informáticas. La inmunidad consiste en hacer que la red interna de una empresa tenga funciones de "defensa, estabilidad y vigilancia" como el cuerpo humano. Esta red se llama red inmune.
El concepto principal de la red inmune es la defensa y gestión autónomas. Permite que cada nodo de la red tenga funciones de seguridad a través de la supresión de fuentes, la defensa y el control de grupos, y la vinculación en toda la red, y moviliza varios. funciones de seguridad ante ataques y recursos para responder.
Tiene características principales como integración de funciones de red y seguridad, vinculación de dispositivos en toda la red, acceso confiable, defensa y control en profundidad, administración precisa del ancho de banda, conocimiento empresarial y monitoreo y evaluación en toda la red.
En comparación con la red de seguridad compuesta por los "tres antiguos", como firewalls, sistemas de detección de intrusiones y antivirus, supera las limitaciones de la defensa pasiva y la protección de límites y se centra en resolver problemas de ataque. Desde la perspectiva de la intranet, responder a la tendencia actual de complejidad y diversidad de ataques a la red, que se inician más desde la intranet, y resolver las amenazas de la red de manera más efectiva.
Al mismo tiempo, seguridad y gestión son inseparables. La gestión del ancho de banda de la red inmune, la percepción y el control empresarial basados en identidades confiables, así como el monitoreo, análisis, estadísticas y evaluación de problemas de seguridad en toda la red y la eficiencia del trabajo garantizan que la red empresarial sea manejable y controlable, lo que mejora en gran medida la eficiencia y confiabilidad de las comunicaciones. .
Soluciones de red de muro de inmunidad XunLu——
Las soluciones de red de muro de inmunidad XunLu de Xinquanxiang Company tienen como objetivo lograr inmunidad de seguridad en redes empresariales y crear enfoques y métodos de redes de inmunidad. Partiendo de la premisa de que la arquitectura de red actual no realiza cambios importantes, la implementación de una solución de red inmune de patrulla puede actualizar sin problemas una red ordinaria a una red inmune.
La solución de red inmune de patrulla no es un producto independiente, sino un conjunto completo de componentes que consta de software y hardware, protocolos de seguridad de intranet y políticas de seguridad.
En la solución de red inmune de patrulla, se utilizan varios medios técnicos para cumplir con los requisitos básicos de la red inmune. Por ejemplo:
1. Al agregar funciones de seguridad para acceder al equipo de puerta de enlace, como inmunidad innata ARP, firewall de intranet, tecnología de filtrado de ventanas, etc., se cumplen los requisitos para integrar funciones de seguridad en el equipo de red;
2. Implemente el controlador de inmunidad del terminal en el nodo final de la red instalándolo a la fuerza. Más importante aún, los protocolos subyacentes también se controlan a nivel de la tarjeta de red, logrando una defensa y un control en profundidad.
3. A través de la configuración, reserva y aprendizaje integral de toda la combinación de políticas de seguridad de la red, se realiza una defensa activa, que suprime, interviene y previene comportamientos de ataque conocidos y desconocidos.
4. A través del centro de operaciones que se ejecuta en el servidor, procesa información de alarmas, tráfico anormal, verificación de identidad, etc. de puertas de enlace y controladores de terminales, audita y evalúa el estado operativo de la red, y también es Responsable de políticas de seguridad, trabajos de actualización y distribución.
5. El protocolo de administración y seguridad de la intranet integra varios equipos de red y funciones de seguridad, como puertas de enlace de acceso, servidores, controladores de terminales, etc., para formar un sistema completo y realiza la vinculación de todo el equipo de la red.
Características de la solución de red inmune de patrulla:
1. Gestión estricta de las identidades de los terminales. La MAC del terminal se toma de la tarjeta de red física en lugar del sistema, lo que previene efectivamente la clonación y falsificación de MAC; la MAC real y la IP real se asignan uno a uno y luego los datos locales se encapsulan inmunemente a través del sistema inmune; controlador; se combinan la MAC real, la IP real y los marcadores inmunes. En primer lugar, otras soluciones rara vez logran este medio técnico. Por lo tanto, la solución de inmunidad de patrulla puede resolver otros problemas que no se pueden resolver o no se resuelven por completo, como la detección y gestión de terminales bajo enrutamiento secundario, la clonación IP-MAC completa y el control de identidad del terminal desde el sistema hasta el paquete.
2. El controlador del terminal implementa control bidireccional. No sólo resiste amenazas externas a la máquina local, sino que, lo que es más importante, suprime los ataques lanzados desde la máquina local. Esto es significativamente diferente del concepto de sistemas de escritorio con firewall personales. Puede intervenir de forma proactiva cuando es atacado por virus de protocolo como suplantación de ARP, cráneo, ataques CAM, suplantación de IP, IP falsa, MAC falsa, fragmentación de IP, ataques DDoS, paquetes Ping de gran tamaño, datos formateados incorrectamente y frecuencia excesiva de envío de paquetes. impedir que esto ocurra.
3. La defensa del grupo y el control del grupo son funciones que obviamente están dirigidas a la intranet. Cada controlador inmunológico tiene la capacidad de detectar accesos ilegales y comportamientos de ataque de otros hosts en el mismo segmento de red, y notificar al centro de operaciones inmune y a las puertas de enlace que pueden no estar en el mismo dominio de transmisión, para que la red inmune pueda manejar el comportamiento en consecuencia. .
4. Proporciona protección integral para las capas 2 a 7 y también puede monitorear y controlar políticas los procesos de protocolo en cada capa. El control en profundidad de los protocolos de capa 2 es una función única de la solución de red inmune de patrulla. La capacidad de monitorear y controlar políticas los procesos de protocolo en cada capa es aún más única. La solución común actual es básicamente que el enrutador es responsable del reenvío de Capa 3, y el firewall, UTM, etc. son responsables de la administración de la Capa 3 y superiores. Sin embargo, carece de la "administración de Capa 2 que es crucial para la LAN". El conductor inmunológico juega un papel en esta posición. El software y el hardware, como la gestión del comportamiento en Internet, funcionan en la capa de aplicación y son impotentes contra los ataques de los protocolos de capa 2 y 3.
5. Puede desempeñar un papel eficaz en ataques de protocolos desconocidos y es una verdadera defensa activa.
6. La puerta de enlace de acceso inmune adopta un algoritmo dedicado en el proceso NAT, abandonando el algoritmo de reenvío NAT que requiere mapeo IP-MAC en otros enrutadores de acceso y productos de puerta de enlace, e integrando tecnología de seguridad en el proceso de procesamiento de la red. , lo que hace que ARP sea ineficaz contra la falsificación de puertas de enlace de acceso inmunológico. Esto se llama inmunidad innata ARP y existen muchas integraciones tecnológicas de este tipo.
7. Tiene medios completos de monitoreo de toda la red, que pueden proporcionar alarmas oportunas para ataques de virus y comportamientos anormales de todos los terminales en la red interna, y visualización, estadísticas y evaluación del estado del tráfico en tiempo real. del ancho de banda de la red interna y externa. El centro de monitoreo se puede operar de forma remota.
Muro de inmunidad——
La tecnología de muro de inmunidad pertenece al campo de la seguridad y gestión de intranet en la industria de la seguridad de redes.
Ethernet tiene lagunas de protocolo y no es buena en administración. Esta es la causa técnica principal de los frecuentes problemas de red. La tecnología de la pared inmune ataca y resuelve este problema.
Por lo tanto, la tecnología de muro inmunológico estudia cómo llenar las lagunas inherentes al protocolo Ethernet y cómo estandarizar y gestionar estratégicamente el negocio. La "solución de problemas de red" es la ideología rectora de la tecnología de la pared inmune. El alcance técnico del muro inmunológico debe expandirse hasta el final de la red, profundizando en la capa inferior del protocolo, verificando las entradas y salidas de la red externa y brindando una visión general de la red interna. Se espera que la red en sí pueda resistir completamente los virus de la red y, al mismo tiempo, mejorar la gestión empresarial. La gestión hace que la red sea controlable, manejable, prevenible e impresionante.
Información general——
Tendencia de desarrollo de los ataques de red:
Las amenazas de red actuales son complejas y dinámicas, y los piratas informáticos se centran cada vez más en ataques híbridos. Los ataques combinan varios códigos dañinos para detectar y atacar vulnerabilidades del sistema y convertirlos en zombis o trampolines para lanzar más ataques combinados a gran escala. La velocidad de los ataques supera la imaginación, ya medida en horas y minutos, se han producido ataques llamados nuevos y desconocidos, con un gran número de ataques de día cero o de hora cero.
Muchos ataques lanzados desde la intranet no se llevarán a cabo individualmente con identidades reales, sino que se llevarán a cabo mediante engaños en la intranet e identidades falsificadas en múltiples puntos.
Limitaciones de los firewalls:
Entre varias tecnologías de seguridad de red existentes, la tecnología de firewall puede resolver algunos problemas de seguridad de la red hasta cierto punto. Los productos de firewall incluyen principalmente firewalls de filtrado de paquetes, firewalls de filtrado de paquetes de inspección de estado y firewalls proxy de capa de aplicación. Sin embargo, los productos de firewall tienen limitaciones. Su mayor limitación es que el firewall por sí solo no puede garantizar la seguridad de los datos que permite.
Al mismo tiempo, el firewall todavía tiene algunas debilidades: 1. No puede defenderse contra ataques desde dentro: los atacantes internos lanzan ataques desde dentro de la red, y sus ataques no pasan a través del firewall, y el firewall solo aísla los hosts en la intranet. e Internet, monitorea la comunicación entre la intranet e Internet, pero no verifica la situación en la intranet, por lo que es impotente contra ataques internos 2. No puede defenderse contra ataques que eluden el firewall: básicamente, el firewall; es una defensa pasiva. El método solo puede esperar e inspeccionar los datagramas que pasan a través de él. Si los datos no pasan a través del firewall por alguna razón, el firewall no tomará ninguna medida. 3. No puede defenderse contra amenazas completamente nuevas: el firewall. solo puede defenderse contra amenazas conocidas, pero las personas encuentran nuevos métodos de invasión en servicios confiables, y los servicios confiables se vuelven no confiables. 4. Los firewalls no pueden defenderse contra ataques basados en datos: aunque los firewalls escanean y analizan toda la información que pasa, sin embargo, este tipo de análisis de escaneo; se centra principalmente en direcciones IP y números de puerto o contenido de protocolo, en lugar de detalles de datos. Como resultado, los ataques basados en datos, como los virus, pueden adjuntarse a cosas como correos electrónicos e ingresar a su sistema para lanzar ataques.
Acerca de las "tres cosas viejas":
El académico Shen Changxiang, experto del Comité Asesor Nacional de Expertos en Informatización, cree que, en primer lugar, está compuesto principalmente por las tres viejas cosas (firewall, monitoreo de intrusiones y prevención de virus) El sistema tradicional de seguridad de la información se centra en la protección externa, lo cual es inconsistente con la situación actual donde las principales "amenazas" a la seguridad de la información se originan desde adentro. En segundo lugar, desde los tres niveles de servidores, redes y terminales que componen el sistema de información, los métodos de protección existentes van disminuyendo capa a capa. La gente tiende a prestar demasiada atención a la protección de servidores y equipos de red, pero ignora la protección de terminales. En tercer lugar, los métodos de ataque malicioso varían y el tercer método consiste en utilizar métodos de bloqueo, por ejemplo, establecer defensas en la capa de red (IP) y bloquear a los usuarios ilegales y el acceso no autorizado en la periferia. El método de bloqueo consiste en capturar la información característica de los ataques de piratas informáticos y las intrusiones de virus, que se caracterizan por información retrasada que ya ha ocurrido y no pueden predecir científicamente futuros ataques e intrusiones.
“Es como lo tercero mejor: tapar lagunas, construir muros altos y defenderse de ataques externos. Es imposible defenderse de ello”. El académico Shen resumió la situación básica actual de la seguridad de la información de esta manera. El tercer método está obviamente obsoleto en las aplicaciones de seguridad de redes actuales.