Servidores web, FTP y zonas de firewall
Cada red que tiene una conexión a internet está en riesgo de ser comprometida. Aquí hay algunos de los pasos que mantendrán las redes protegidas.
Si bien hay varios pasos que puedes tomar para asegurar tu LAN, la única solución real es cerrar tu LAN al tráfico entrante y restringir el tráfico saliente.
Dicho eso,
TSplus Advanced Security
Ofrece una gran protección integral contra una amplia gama de ciberamenazas y cierra algunas de las puertas abiertas más anchas.
Áreas separadas para servidores LAN o DMZ expuestos.
Ahora, algunos servicios como servidores Web o FTP requieren conexiones entrantes. Si necesita estos servicios, deberá considerar si es esencial que estos servidores formen parte de la LAN, o si pueden colocarse en una red físicamente separada conocida como una DMZ (o zona desmilitarizada si prefiere su nombre correcto). Idealmente, todos los servidores en la DMZ serán servidores independientes, con accesos y contraseñas únicas para cada servidor. Si necesita un servidor de respaldo para las máquinas dentro de la DMZ, entonces debería adquirir una máquina dedicada y mantener la solución de respaldo separada de la solución de respaldo de la LAN.
Rutas de tráfico separadas para LAN y servidores expuestos
La DMZ saldrá directamente del firewall, lo que significa que hay dos rutas de entrada y salida de la DMZ, tráfico hacia y desde Internet, y tráfico hacia y desde la LAN. El tráfico entre la DMZ y su LAN se trataría totalmente por separado al tráfico entre su DMZ e Internet. El tráfico entrante desde Internet se dirigiría directamente a su DMZ.
LAN ocultada por servidores DMZ más expuestos
Por lo tanto, si algún hacker lograra comprometer una máquina dentro de la DMZ, entonces la única red a la que tendrían acceso sería la DMZ. El hacker tendría poco o ningún acceso a la LAN. También sería el caso de que cualquier infección por virus u otro compromiso de seguridad dentro de la LAN no podría migrar a la DMZ.
Comunicación mínima para una mayor seguridad de los dispositivos de LAN
Para que la DMZ sea efectiva, deberá mantener el tráfico entre la LAN y la DMZ al mínimo. En la mayoría de los casos, el único tráfico necesario entre la LAN y la DMZ es FTP. Si no tiene acceso físico a los servidores, también necesitará algún tipo de protocolo de gestión remota como servicios de terminal o VNC.
Soluciones TSplus para aumentar la seguridad de LAN y DMZ
software TSplus
Está diseñado para ser asequible, simple y seguro. La ciberseguridad ha sido durante mucho tiempo un objetivo central para la empresa, tanto es así que nuestro producto de protección cibernética ha evolucionado para convertirse en un completo kit de herramientas de seguridad 360°. TSplus Advanced Security es una defensa simple y asequible desarrollada para proteger su configuración de malware y ransomware, ataques de fuerza bruta, uso indebido de credenciales... E incidentalmente bloquea millones de IPs maliciosas conocidas. También aprende de los comportamientos de usuario estándar y puede agregar a la lista blanca direcciones que sean importantes según sea necesario.
¿Cuál es el lugar de los servidores de bases de datos en la red?
Si sus servidores web requieren acceso a un servidor de bases de datos, entonces deberá considerar dónde colocar su base de datos. El lugar más seguro para ubicar un servidor de bases de datos es crear otra red físicamente separada llamada zona segura, y colocar allí el servidor de bases de datos.
La zona segura también es una red físicamente separada conectada directamente al firewall. La zona segura es, por definición, el lugar más seguro en la red. El único acceso a o desde la zona segura sería la conexión a la base de datos desde la DMZ (y LAN si es necesario).
Correo electrónico - Una excepción a las reglas de red
El mayor dilema al que se enfrentan los ingenieros de redes puede ser en realidad dónde colocar el servidor de correo electrónico. Requiere conexión SMTP a Internet, pero también requiere acceso de dominio desde la LAN. Si colocaras este servidor en la DMZ, el tráfico de dominio comprometería la integridad de la DMZ, convirtiéndola simplemente en una extensión de la LAN. Por lo tanto, en nuestra opinión, el único lugar donde puedes colocar un servidor de correo electrónico es en la LAN y permitir el tráfico SMTP hacia este servidor.
Sin embargo, recomendaríamos no permitir ningún tipo de acceso HTTP a este servidor. Si sus usuarios necesitan acceder a su correo desde fuera de la red, sería mucho más seguro considerar alguna forma de solución VPN. Esto requeriría que el firewall maneje las conexiones VPN. De hecho, un servidor VPN basado en LAN permitiría que el tráfico VPN llegue a la LAN antes de autenticarse, lo cual nunca es algo bueno.
En conclusión: Configuración de LAN, DMZ y Red.
En lo que respecta a FTP, sea cual sea la elección que haga, es importante que cada una esté bien planificada y bien pensada. Sin embargo, también es esencial que el resultado final tenga sentido y funcione de la manera más segura posible.
Ya sea Advanced Security, Acceso Remoto u otro, los productos de TSplus tienen la seguridad en su ADN. Puedes comprar o probar cualquiera de ellos desde nuestras páginas de productos.
Descubra por sí mismo las características que TSplus Advanced Security tiene para ofrecer. Para descargar, haga clic.
aquí
.
La instalación toma solo unos momentos y nuestro software está disponible de forma gratuita durante 15 días como prueba.