Communications Network Security
.gif "A hyphen indicates that the information in this topic is not relevant for this platform, or that the platform does not support the API that is listed.")
.gif "A checkmark indicates that the information in this topic is relevant for this platform, and that any API listed is also supported on this platform.")
9/8/2008
A segurança de comunicações requer atenção especial, porque a interface rede fornece uma apontar para um dispositivo que pode ser usado remotamente por um invasor acessar. É mais fácil para um invasor para permanecer anônimos ou não detectado por meio de um ataque Network-Based. Isso torna determinar a origem do ataque mais difícil.
Em geral, aplicativos cliente em uma rede são relativamente mais Seguro de servidores ou aplicativos serviço. Iniciar clientes contatos com servidores específicos e especificar a natureza de suas solicitações. Isso permite que o cliente aplicativos determinar a natureza do de entrada dados e a identidade do servidor ou serviço; Eles podem rejeitar comunicação não solicitadas. Embora os clientes não sejam imune a problemas de segurança, eles têm mais controle sobre a natureza da comunicação, pois eles iniciar comunicações e isso reduz a superfície de vulnerabilidade. Exemplos de aplicativos cliente são navegador, email cliente e cliente FTP.
Servidores estão mais expostos porque eles esperar para receber solicitações de clientes de rede. As solicitações podem vir de qualquer lugar na rede. Quando o servidor está exposta para a interface pública, a vulnerabilidade de superfície aumenta consideravelmente. Exemplos de aplicativos servidor incluem o servidor Web, servidor FTP e servidores Telnet.
A seguinte lista descreve as técnicas de mitigação que você pode usar:
- Utilizar autenticação.
Quando configuração até autenticação, você deve considerar se é importante autenticar o cliente para o servidor, o servidor para o cliente, ou ambos. De exemplo, quando você conectar para um banco, você precisa verificar a identidade da entidade a que você está dando credenciais para. Este maiúsculas e minúsculas, você precisa autenticação mútua. Por outro lado, quando você procurar um site para informações get, você pode não se preocupar com sobre a identidade da entidade a que está fornecendo as informações.
Quando considerar autenticação métodos, você deve estar ciente que alguns métodos são mais vulneráveis que outras pessoas. Para exemplo, alguns métodos transmitir nome de usuário e senhas em texto não criptografado, que permite que qualquer pessoa que esteja monitoração a comunicação para interceptar usuário credenciais.
Para obter mais informações sobre autenticação, consulte Os serviços de autenticação. - Use as tecnologias resistente a violação e privacidade-aprimorado.
Para proteger dados e outros ativos sendo acessados, alterados e excluídos, você pode usar protocolo Secure Sockets Layer (SSL). Ele criptografa dados como ele trafegam entre o cliente e o servidor e ele usa códigos autenticação mensagem para fornecer integridade dados. Para obter mais informações, consulte SSL para aperfeiçoamento de segurança da comunicação de rede. - Limitar acessar serviços e dados.
Para proteger dados e outros ativos, você pode usar listas controle de acesso com servidores da Web ou COM para identificar os usuários e determinar as permissões acessar recursos ou serviços. Muitos aplicativos servidor oferecem sua própria forma de controle mecanismo. - Use criptografia.
Para dados privacidade e integridade, você pode usar CryptoAPI. Isso fornece serviços que criptografia de dados habilitar/esquemas descriptografia, autenticação usando digital assinaturas e codificação/decodificação de e para ASN.1 para aplicativos Win32-Based Microsoft.
Para obter mais informações, consulte Microsoft do sistema de criptografia. - Isolar o processo e usar manipulação de exceção para fornecer maior estabilidade e disponibilidade dos serviços.
Certifique-se de que seu servidores ou serviço aplicativos identificador processo ou memória falhas normalmente usando mensagens de erro útil. Atacantes mal-intencionados podem causar o aplicativo falha ou eles podem ocupar Serviços rede por saturação o dispositivo com muitas solicitações enviar arquivos grandes ou. De exemplo, Enfileiramento de Mensagens (MSMQ) rejeita SOAP-com base em mensagens enviadas por meio HTTP quando os tamanhos mensagem excederem os limites definidos de Registro. MSMQ envia uma mensagem de erro quando uma mensagem será rejeitada. O tamanho do buffer pode ser otimizada para aplicativos específicos através de Registro.
Você pode fornecer a estabilidade de seu aplicativo encerrando um serviço antes de recursos dispositivo são consumidos. De exemplo, Universal Plug and Play (UPnP) limita o número de assinantes para o serviço e rejeita novas inscrições quando o número máximo é atingido. O limite assinante pode ser otimizada para aplicativos específicos através de Registro. - Adicione um firewall ao seu conjunto de redes.
Para isolar dados internos pacotes de exposição para o Internet, você pode adicionar um firewall rede. Isso também impede que aleatório tráfego Internet inserindo seu conjunto de redes. Para obter informações sobre como ativar um IP Firewall, consulte Desenvolvimento de design do firewall OS IP.
See Also
Concepts
SSL to Enhance Security of Network Communication
Other Resources
Enhancing the Security of a Device
Authentication Services
Cryptography
Certificates