Utilisation de DMZ et FTP pour les réseaux LAN et les réseaux avec serveurs Web

Serveurs Web, FTP et Zones de Pare-feu

Tout réseau qui a une connexion Internet est exposé au risque d'être compromis. Voici quelques-unes des mesures qui permettront de protéger les réseaux.

Bien qu'il existe plusieurs étapes que vous pouvez prendre pour sécuriser votre LAN, la seule solution réelle est de fermer votre LAN au trafic entrant et de restreindre le trafic sortant.

En disant cela, TSplus Advanced Security offre une excellente protection globale contre toute une gamme de cyber-menaces et ferme certaines des portes ouvertes les plus larges.

Espaces séparés pour les serveurs LAN ou DMZ exposés

Maintenant, certains services tels que les serveurs Web ou FTP nécessitent des connexions entrantes. Si vous avez besoin de ces services, vous devrez considérer s'il est essentiel que ces serveurs fassent partie du LAN, ou s'ils peuvent être placés dans un réseau physiquement séparé appelé DMZ (ou zone démilitarisée si vous préférez son nom correct). Idéalement, tous les serveurs dans la DMZ seront des serveurs autonomes, avec des identifiants uniques et des mots de passe pour chaque serveur. Si vous avez besoin d'un serveur de sauvegarde pour les machines dans la DMZ, vous devriez acquérir une machine dédiée et garder la solution de sauvegarde séparée de la solution de sauvegarde du LAN.

Itinéraires de trafic séparés pour le LAN et les serveurs exposés

La DMZ sera directement connectée au pare-feu, ce qui signifie qu'il y a deux routes d'entrée et de sortie de la DMZ, le trafic vers et depuis Internet, et le trafic vers et depuis le LAN. Le trafic entre la DMZ et votre LAN serait traité totalement séparément du trafic entre votre DMZ et Internet. Le trafic entrant depuis Internet serait routé directement vers votre DMZ.

Réseau local caché par des serveurs DMZ plus exposés

Par conséquent, si un pirate informatique parvenait à compromettre une machine dans la DMZ, le seul réseau auquel il aurait accès serait la DMZ. Le pirate aurait peu ou pas d'accès au LAN. Il en serait de même pour toute infection virale ou autre compromission de sécurité au sein du LAN qui ne pourrait pas migrer vers la DMZ.

Communication minimale pour une plus grande sécurité des appareils LAN

Pour que la DMZ soit efficace, vous devrez maintenir le trafic entre le LAN et la DMZ à un minimum. Dans la majorité des cas, le seul trafic requis entre le LAN et la DMZ est le FTP. Si vous n'avez pas accès physique aux serveurs, vous aurez également besoin d'un type de protocole de gestion à distance tel que les services de terminal ou VNC.

Solutions TSplus pour une sécurité accrue du LAN et du DMZ

logiciel TSplus est conçu pour être abordable, simple et sécurisé. La cybersécurité a longtemps été un objectif central pour l'entreprise, au point que notre produit de protection cybernétique a évolué pour devenir une trousse à outils de sécurité complète à 360°. TSplus Advanced Security est une défense simple et abordable développée pour protéger votre configuration contre les logiciels malveillants et les rançongiciels, les attaques par force brute, les abus d'identifiants... Et accessoirement, il bloque des millions d'adresses IP malveillantes connues. Il apprend également des comportements des utilisateurs standard et vous pouvez ajouter des adresses à la liste blanche selon vos besoins.

Quelle place pour les serveurs de base de données dans le réseau

Si vos serveurs web nécessitent un accès à un serveur de base de données, vous devrez alors réfléchir à l'endroit où placer votre base de données. L'endroit le plus sécurisé pour localiser un serveur de base de données est de créer un autre réseau physiquement séparé appelé la zone sécurisée, et d'y placer le serveur de base de données.

La zone sécurisée est également un réseau physiquement séparé connecté directement au pare-feu. La zone sécurisée est par définition l'endroit le plus sécurisé du réseau. Le seul accès à la zone sécurisée serait la connexion à la base de données depuis la DMZ (et le LAN si nécessaire).

Email - Une exception aux règles du réseau

Le plus grand dilemme auquel sont confrontés les ingénieurs réseau pourrait en fait être l'endroit où placer le serveur de messagerie électronique. Il nécessite une connexion SMTP à Internet, mais il nécessite également un accès au domaine depuis le LAN. Si vous deviez placer ce serveur dans la DMZ, le trafic de domaine compromettrait l'intégrité de la DMZ, en en faisant simplement une extension du LAN. Par conséquent, à notre avis, le seul endroit où vous pouvez placer un serveur de messagerie électronique est sur le LAN et permettre le trafic SMTP vers ce serveur.

Cependant, nous vous recommandons de ne pas autoriser tout type d'accès HTTP à ce serveur. Si vos utilisateurs ont besoin d'accéder à leurs e-mails depuis l'extérieur du réseau, il serait beaucoup plus sécurisé de envisager une solution de VPN. Cela nécessiterait que le pare-feu gère les connexions VPN. En effet, un serveur VPN basé sur le LAN permettrait au trafic VPN d'entrer sur le LAN avant d'être authentifié, ce qui n'est jamais une bonne chose.

En conclusion : Configuration LAN, DMZ et réseau

Concernant FTP, quelles que soient les choix que vous faites, il est important que chacun soit bien planifié et bien réfléchi. Cependant, il est également essentiel que le résultat final ait du sens et fonctionne ensemble aussi sécuritairement que possible. Que ce soit la sécurité avancée, l'accès à distance ou tout autre, les produits TSplus ont la sécurité dans leur ADN. Vous pouvez acheter ou tester n'importe lequel d'entre eux à partir de nos pages de produits.

Découvrez par vous-même les fonctionnalités que TSplus Advanced Security a à offrir. Pour télécharger, cliquez. ici . L'installation ne prend que quelques instants et notre logiciel est disponible gratuitement pendant 15 jours d'essai.