Bruk av DMZ og FTP for LAN og nettverk med webservere

Webservere, FTP og brannmursområder

Hvert nettverk som har en internettforbindelse er i fare for å bli kompromittert. Her er noen av trinnene som vil holde nettverkene beskyttet.

Mens det er flere trinn du kan ta for å sikre ditt LAN, er den eneste virkelige løsningen å stenge ditt LAN for innkommende trafikk og begrense utgående trafikk.

Med det sagt, TSplus Advanced Security tilbyr god allsidig beskyttelse mot et bredt spekter av cybertrusler og lukker noen av de videste åpne dørene.

Separate områder for LAN eller eksponerte DMZ-servere

Nå krever noen tjenester som Web- eller FTP-servere innkommende tilkoblinger. Hvis du trenger disse tjenestene, må du vurdere om det er nødvendig at disse serverne er en del av LAN, eller om de kan plasseres i et fysisk separat nettverk kjent som en DMZ (eller demilitarisert sone hvis du foretrekker det riktige navnet). Ideelt sett vil alle servere i DMZ være frittstående servere, med unike påloggingsopplysninger for hver server. Hvis du trenger en sikkerhetskopi-server for maskiner innenfor DMZ, bør du skaffe deg en dedikert maskin og holde sikkerhetskopiløsningen separat fra LAN-sikkerhetskopiløsningen.

Separate trafikkveier for LAN og eksponerte servere

DMZ vil komme direkte fra brannmuren, noe som betyr at det er to ruter inn og ut av DMZ, trafikk til og fra Internett, og trafikk til og fra LAN. Trafikk mellom DMZ og ditt LAN vil behandles helt separat fra trafikk mellom din DMZ og Internett. Innkommende trafikk fra internett vil bli rutet direkte til din DMZ.

LAN skjult av mer eksponerte DMZ-servere

Derfor, hvis en hacker skulle kompromittere en maskin innenfor DMZ, ville det eneste nettverket de ville få tilgang til være DMZ. Hackeren ville ha liten eller ingen tilgang til LAN. Det ville også være tilfelle at eventuell virusinfeksjon eller annen sikkerhetskompromiss innen LAN ikke ville kunne migrere til DMZ.

Minimal kommunikasjon for økt sikkerhet av LAN-enheter

For at DMZ skal være effektiv, må du holde trafikken mellom LAN og DMZ til et minimum. I de fleste tilfeller er den eneste trafikken som kreves mellom LAN og DMZ FTP. Hvis du ikke har fysisk tilgang til serverne, vil du også trenge en form for ekstern administrasjonsprotokoll som terminaltjenester eller VNC.

TSplus løsninger for økt LAN og DMZ-sikkerhet

TSplus programvare er designet for å være rimelig, enkel og sikker. Cyber-sikkerhet har lenge vært et sentralt mål for selskapet, så mye at vårt cybersikkerhetsprodukt har utviklet seg til å bli et allsidig 360° sikkerhetsverktøy. TSplus Advanced Security er et enkelt og rimelig forsvar utviklet for å beskytte oppsettet ditt mot skadelig programvare og ransomware, brute-force angrep, misbruk av legitimasjon... Og for øvrig blokkerer den millioner av kjente ondsinnede IP-adresser. Den lærer også av standard brukeratferd, og du kan legge til hvitelistede adresser som er viktige etter behov.

Hvilket sted for databaseservere i nettverket

Hvis webserverne dine krever tilgang til en databaseserver, må du vurdere hvor du skal plassere databasen. Det mest sikre stedet å plassere en databaseserver er å opprette enda et fysisk separat nettverk kalt den sikre sonen, og plassere databasen der.

Den sikre sonen er også et fysisk separat nettverk som er direkte tilkoblet brannmuren. Den sikre sonen er per definisjon det mest sikre stedet på nettverket. Den eneste tilgangen til eller fra den sikre sonen ville være databaseforbindelsen fra DMZ (og LAN hvis nødvendig).

E-post - Et unntak fra nettverksregler

Det største dilemmaet som nettverksingeniører står overfor, kan faktisk være hvor de skal plassere e-postserveren. Den krever SMTP-tilkobling til internett, men den krever også domenetilgang fra LAN. Hvis du skulle plassere denne serveren i DMZ, ville domenetrafikken kompromittere integriteten til DMZ, og gjøre det rett og slett til en forlengelse av LAN. Derfor mener vi at det eneste stedet du kan plassere en e-postserver er på LAN og tillate SMTP-trafikk til denne serveren.

Imidlertid vil vi anbefale å ikke tillate noen form for HTTP-tilgang til denne serveren. Hvis brukerne dine trenger tilgang til e-posten sin utenfor nettverket, vil det være mye sikrere å se på en form for VPN-løsning. Dette vil kreve at brannmuren håndterer VPN-tilkoblingene. Faktisk vil en LAN-basert VPN-server tillate VPN-trafikken inn på LAN-et før den er autentisert, noe som aldri er en god ting.

I konklusjon: LAN, DMZ og nettverksoppsett

Når det gjelder FTP, uansett hvilke valg du tar, er det viktig at hver enkelt er godt planlagt og gjennomtenkt. Likevel er det også essensielt at sluttresultatet gir mening og fungerer så sikkert som mulig. Enten det er Avansert Sikkerhet, Ekstern Tilgang eller noe annet, har TSplus-produkter sikkerhet i sitt DNA. Du kan kjøpe eller teste noen av dem fra våre produktsider.

Se selv hvilke funksjoner TSplus Advanced Security har å tilby. For å laste ned, klikk. her . Installering tar bare øyeblikk, og programvaren vår er tilgjengelig gratis i 15 dager som en prøveperiode.