Korištenje DMZ-a i FTP-a za LAN i mreže s web poslužiteljima

Web poslužitelji, FTP i zone vatrozida

Svaka mreža koja ima internetsku vezu je u opasnosti od kompromitiranja. Evo nekih koraka koji će održati mreže zaštićene.

Iako postoji nekoliko koraka koje možete poduzeti kako biste osigurali svoju LAN, jedino pravo rješenje je zatvoriti svoju LAN za dolazni promet i ograničiti odlazni promet.

Govoreći o tome, TSplus Advanced Security pruža odličnu sveobuhvatnu zaštitu protiv širokog spektra cyber-prijetnji i zatvara neka od najširih otvorenih vrata.

Posebna područja za LAN ili izložene DMZ poslužitelje

Sada neke usluge poput Web ili FTP poslužitelja zahtijevaju dolazne veze. Ako trebate te usluge, morat ćete razmotriti je li bitno da su ti poslužitelji dio LAN-a ili se mogu smjestiti u fizički odvojenu mrežu poznatu kao DMZ (ili demilitarizirana zona ako preferirate njezino pravo ime). Idealno, svi poslužitelji u DMZ-u bit će samostalni poslužitelji, s jedinstvenim prijavama i lozinkama za svaki poslužitelj. Ako trebate sigurnosnu kopiju poslužitelja za strojeve unutar DMZ-a, trebali biste nabaviti posvećeni stroj i držati rješenje za sigurnosnu kopiju odvojeno od rješenja za sigurnosnu kopiju LAN-a.

Odvojene prometne rute za LAN i izložene poslužitelje

DMZ će izravno izlaziti iz vatrozida, što znači da postoje dva puta ulaska i izlaska iz DMZ-a, promet prema i od Interneta, te promet prema i od LAN-a. Promet između DMZ-a i vašeg LAN-a bi se potpuno odvojeno tretirao od prometa između vašeg DMZ-a i Interneta. Dolazni promet s interneta bi se usmjeravao izravno prema vašem DMZ-u.

LAN skriven mre izloženim DMZ poslužiteljima

Stoga, ako bi bilo koji haker uspio kompromitirati stroj unutar DMZ-a, tada bi jedina mreža kojoj bi imali pristup bila DMZ. Haker bi imao malo ili nimalo pristupa LAN-u. Također bi bio slučaj da se bilo kakva virusna infekcija ili drugi sigurnosni kompromis unutar LAN-a ne bi mogli migrirati u DMZ.

Minimalna komunikacija za veću sigurnost LAN uređaja

Da bi DMZ bio učinkovit, morat ćete zadržati promet između LAN-a i DMZ-a na minimumu. U većini slučajeva, jedini potreban promet između LAN-a i DMZ-a je FTP. Ako nemate fizički pristup poslužiteljima, također će vam trebati neka vrsta protokola za daljinsko upravljanje poput terminalnih usluga ili VNC.

TSplus rješenja za povećanu sigurnost LAN-a i DMZ-a

TSplus softver je osmišljen da bude pristupačan, jednostavan i siguran. Cyber-sigurnost već dugo vremena predstavlja glavni cilj tvrtke, toliko da je naš proizvod za cyber zaštitu evoluirao u sveobuhvatni 360° alat za sigurnost. TSplus Napredna sigurnost je jednostavna i pristupačna obrana razvijena kako bi zaštitila vašu postavku od zlonamjernih programa i ransomwarea, napada brute-force, zloupotrebe vjerodajnica... I usputno blokira milijune poznatih zlonamjernih IP adresa. Također uči iz standardnih korisničkih ponašanja i možete dodati adrese na bijelu listu koje su važne prema potrebi.

Gdje smjestiti poslužitelje baza podataka u mreži

Ako vaši web poslužitelji zahtijevaju pristup poslužitelju baze podataka, tada će biti potrebno razmotriti gdje smjestiti vašu bazu podataka. Najsigurnije mjesto za smještaj poslužitelja baze podataka je stvaranje još jedne fizički odvojene mreže nazvane sigurna zona i smještanje poslužitelja baze podataka tamo.

Sigurna zona je također fizički odvojena mreža izravno povezana s vatrozidom. Sigurna zona je prema definiciji najsigurnije mjesto na mreži. Jedini pristup ili iz sigurne zone bio bi veza s bazom podataka iz DMZ-a (i LAN-a ako je potrebno).

Email - Izuzetak od mrežnih pravila

Najveća dilema s kojom se suočavaju mrežni inženjeri zapravo može biti gdje smjestiti poslužitelj e-pošte. Zahtijeva SMTP vezu s internetom, ali također zahtijeva pristup domeni s LAN-a. Ako biste postavili ovaj poslužitelj u DMZ, promet domene bi ugrozio integritet DMZ-a, čineći ga jednostavno proširenjem LAN-a. Stoga, prema našem mišljenju, jedino mjesto gdje možete smjestiti poslužitelj e-pošte je na LAN-u i omogućiti SMTP promet prema ovom poslužitelju.

Međutim, preporučili bismo da se ne dopusti bilo kakav oblik pristupa HTTP-u na ovaj poslužitelj. Ako vaši korisnici trebaju pristup svojoj pošti izvan mreže, bilo bi mnogo sigurnije razmotriti neko rješenje VPN-a. To bi zahtijevalo da firewall obrađuje VPN veze. Doista, VPN poslužitelj baziran na LAN-u omogućio bi promet VPN-a na LAN prije nego što se autenticira, što nikada nije dobra stvar.

Zaključno: LAN, DMZ i postavljanje mreže

Što se tiče FTP-a, važno je da su sve vaše odluke dobro planirane i promišljene. Ipak, jednako je važno da krajnji rezultat ima smisla i funkcionira zajedno što je sigurnije moguće. Bilo da se radi o Naprednoj sigurnosti, udaljenom pristupu ili bilo čemu drugom, TSplus proizvodi imaju sigurnost u svojoj DNK. Možete ih kupiti ili testirati s naših stranica proizvoda.

Pogledajte sami značajke koje TSplus Advanced Security nudi. Za preuzimanje, kliknite Ovdje . Instalacija traje samo trenutke i naš softver je dostupan besplatno tijekom 15 dana kao probna verzija.