Taula de continguts

Servidors web, FTP i zones de tallafocs

Cada xarxa que té una connexió a internet està en risc de ser compromesa. Aquí teniu algunes de les mesures que mantindran les xarxes protegides.

Tot i que hi ha diversos passos que pots seguir per assegurar la teva LAN, l'única solució real és tancar la teva LAN al trànsit entrant i restringir el trànsit sortint.

Dit això, TSplus Advanced Security ofereix una gran protecció completa contra tota una gamma d'amenaces cibernètiques i tanca algunes de les portes obertes més àmplies.

Àrees separades per a servidors LAN o DMZ exposats

Ara, alguns serveis com ara els servidors Web o FTP requereixen connexions entrants. Si necessiteu aquests serveis, haureu de considerar si és essencial que aquests servidors formin part de la LAN, o si es poden situar en una xarxa físicament separada coneguda com a DMZ (o zona desmilitaritzada si preferiu el seu nom correcte). Idealment, tots els servidors a la DMZ seran servidors independents, amb noms d'usuari i contrasenyes únics per a cada servidor. Si necessiteu un servidor de còpia de seguretat per a les màquines dins de la DMZ, llavors haureu d'adquirir una màquina dedicada i mantenir la solució de còpia de seguretat separada de la solució de còpia de seguretat de la LAN.

Rutes de trànsit separades per a LAN i servidors exposats

La DMZ sortirà directament del firewall, el que significa que hi ha dues rutes d'entrada i sortida de la DMZ, trànsit cap i des de Internet, i trànsit cap i des de la LAN. El trànsit entre la DMZ i la vostra LAN seria tractat totalment separat del trànsit entre la vostra DMZ i Internet. El trànsit entrant des d'Internet seria encaminat directament a la vostra DMZ.

Servidors DMZ més exposats amaguen la xarxa local.

Per tant, si un hacker aconseguís comprometre una màquina dins de la DMZ, llavors l'única xarxa a la qual tindria accés seria la DMZ. El hacker tindria poc o cap accés a la LAN. També seria el cas que cap infecció de virus o altra compromissió de seguretat dins de la LAN no podria migrar a la DMZ.

Comunicació mínima per a una major seguretat dels dispositius de LAN

Per tal que la DMZ sigui efectiva, hauràs de mantenir el trànsit entre la LAN i la DMZ al mínim. En la majoria dels casos, l'únic trànsit necessari entre la LAN i la DMZ és FTP. Si no tens accés físic als servidors, també necessitaràs algun tipus de protocol de gestió remota com ara serveis de terminal o VNC.

Solucions TSplus per a una major seguretat a la xarxa local i a la DMZ

TSplus software està dissenyat per ser assequible, senzill i segur. La ciberseguretat ha estat sempre un objectiu central per a l'empresa, fins al punt que el nostre producte de protecció cibernètica ha evolucionat per convertir-se en un conjunt d'eines de seguretat de 360°. TSplus Advanced Security és una defensa senzilla i assequible desenvolupada per protegir la seva configuració de malware i ransomware, atacs de força bruta, ús indegut de credencials... I incidentalment bloqueja milions d'adreces IP malicioses conegudes. També aprèn dels comportaments d'usuari estàndard i pot afegir a la llista blanca adreces que siguin importants segons sigui necessari.

Quin lloc per als servidors de bases de dades a la xarxa

Si els servidors web requereixen accés a un servidor de bases de dades, llavors hauràs de considerar on ubicar la teva base de dades. El lloc més segur per situar un servidor de bases de dades és crear una altra xarxa físicament separada anomenada zona segura, i col·locar-hi el servidor de bases de dades.

La zona segura també és una xarxa físicament separada connectada directament al tallafocs. La zona segura és, per definició, el lloc més segur de la xarxa. L'únic accés a o des de la zona segura seria la connexió a la base de dades des de la DMZ (i LAN si és necessari).

Correu electrònic - Una excepció a les normes de xarxa

El dilema més gran al qual s'enfronten els enginyers de xarxes potser sigui on posar el servidor de correu electrònic. Requereix una connexió SMTP a internet, però també requereix accés de domini des de la LAN. Si col·loquessis aquest servidor a la DMZ, el trànsit de domini comprometria la integritat de la DMZ, convertint-la simplement en una extensió de la LAN. Per tant, en la nostra opinió, l'únic lloc on pots posar un servidor de correu electrònic és a la LAN i permetre el trànsit SMTP cap a aquest servidor.

No obstant això, recomanaríem no permetre cap forma d'accés HTTP a aquest servidor. Si els vostres usuaris necessiten accedir al seu correu des de fora de la xarxa, seria molt més segur buscar alguna solució de VPN. Això requeriria que el tallafoc gestionés les connexions VPN. De fet, un servidor VPN basat en LAN permetria que el trànsit VPN arribés a la LAN abans de ser autenticat, cosa que mai és bo.

En conclusió: Configuració de LAN, DMZ i xarxa

Pel que fa a FTP, sigui quina sigui la vostra elecció, és important que cada una estigui ben planificada i ben pensada. No obstant això, també és essencial que el resultat final tingui sentit i funcioni junts de la manera més segura possible. Ja sigui Seguretat Avançada, Accés Remot o qualsevol altre, els productes de TSplus tenen la seguretat en el seu ADN. Podeu comprar o provar qualsevol d'ells des de les nostres pàgines de productes.

Vegeu per vosaltres mateixos les funcionalitats que TSplus Advanced Security té per oferir. Per descarregar, feu clic. aquí . La instal·lació només triga uns instants i el nostre programari està disponible de forma gratuïta durant 15 dies com a prova.

Entrades relacionades

back to top of the page icon