Inhoudsopgave

Web Servers, FTP en Firewall Zones

Elk netwerk dat een internetverbinding heeft, loopt het risico om gecompromitteerd te worden. Hier zijn enkele stappen die netwerken beschermd zullen houden.

Hoewel er verschillende stappen zijn die u kunt nemen om uw LAN te beveiligen, is de enige echte oplossing om uw LAN te sluiten voor inkomend verkeer en uitgaand verkeer te beperken.

Met dat gezegd, TSplus Geavanceerde Beveiliging Biedt uitstekende algehele bescherming tegen een breed scala aan cyberdreigingen en sluit enkele van de wijdste open deuren.

Aparte gebieden voor LAN of blootgestelde DMZ-servers

Nu vereisen sommige diensten zoals Web- of FTP-servers inkomende verbindingen. Als u deze diensten nodig heeft, moet u overwegen of het essentieel is dat deze servers deel uitmaken van het LAN, of dat ze kunnen worden geplaatst in een fysiek apart netwerk dat bekend staat als een DMZ (of gedemilitariseerde zone als u de juiste naam verkiest). Idealiter zullen alle servers in de DMZ stand-alone servers zijn, met unieke inloggegevens en wachtwoorden voor elke server. Als u een back-upserver nodig heeft voor machines binnen de DMZ, moet u een aparte machine aanschaffen en de back-upoplossing gescheiden houden van de LAN-back-upoplossing.

Aparte verkeersroutes voor LAN en blootgestelde servers

De DMZ zal rechtstreeks van de firewall komen, wat betekent dat er twee routes zijn naar en van de DMZ, verkeer van en naar het internet, en verkeer van en naar het LAN. Verkeer tussen de DMZ en uw LAN zou volledig apart worden behandeld ten opzichte van verkeer tussen uw DMZ en het internet. Inkomend verkeer van het internet zou rechtstreeks naar uw DMZ worden gerouteerd.

LAN verborgen door meer blootgestelde DMZ-servers

Daarom, als een hacker erin zou slagen om een machine binnen de DMZ te compromitteren, dan zou het enige netwerk waar ze toegang toe zouden krijgen de DMZ zijn. De hacker zou weinig tot geen toegang hebben tot het LAN. Het zou ook het geval zijn dat een virusinfectie of andere beveiligingscompromis binnen het LAN niet zou kunnen migreren naar de DMZ.

Minimale communicatie voor grotere beveiliging van LAN-apparaten

Om de DMZ effectief te laten zijn, moet u het verkeer tussen het LAN en de DMZ tot een minimum beperken. In de meeste gevallen is het enige verkeer dat nodig is tussen het LAN en de DMZ FTP. Als u geen fysieke toegang heeft tot de servers, heeft u ook een soort extern beheerprotocol nodig, zoals terminalservices of VNC.

TSplus oplossingen voor verhoogde LAN en DMZ beveiliging

TSplus software is ontworpen om betaalbaar, eenvoudig en veilig te zijn. Cyberbeveiliging is al lange tijd een centraal doel voor het bedrijf, zozeer zelfs dat ons cyberbeveiligingsproduct is geëvolueerd tot een allesomvattende 360° beveiligingstoolkit. TSplus Advanced Security is een eenvoudige en betaalbare verdediging ontwikkeld om uw opstelling te beschermen tegen malware en ransomware, brute-force aanvallen, misbruik van referenties... En incidenteel blokkeert het miljoenen bekende kwaadaardige IP-adressen. Het leert ook van standaard gebruikersgedrag en u kunt adressen die belangrijk zijn naar behoefte op de whitelist zetten.

Waar plaatsen voor databaseservers in het netwerk

Als uw webservers toegang tot een databaseserver vereisen, moet u overwegen waar u uw database plaatst. De meest veilige plek om een databaseserver te plaatsen is het creëren van nog een fysiek apart netwerk genaamd de beveiligde zone, en de databaseserver daar te plaatsen.

De beveiligde zone is ook een fysiek apart netwerk dat rechtstreeks verbonden is met de firewall. De beveiligde zone is per definitie de meest veilige plek op het netwerk. De enige toegang tot of vanuit de beveiligde zone zou de databaseverbinding vanuit de DMZ (en LAN indien nodig) zijn.

E-mail - Een uitzondering op netwerkregels

Het grootste dilemma waar netwerkbeheerders mee te maken kunnen krijgen, is eigenlijk waar ze de e-mailserver moeten plaatsen. Het vereist een SMTP-verbinding met het internet, maar het vereist ook domeintoegang vanaf het LAN. Als je deze server in de DMZ zou plaatsen, zou het domeinverkeer de integriteit van de DMZ in gevaar brengen, waardoor het simpelweg een verlengstuk van het LAN wordt. Daarom is naar onze mening de enige plek waar je een e-mailserver kunt plaatsen op het LAN en SMTP-verkeer naar deze server toestaan.

Echter, we zouden afraden om welke vorm van HTTP-toegang tot deze server toe te staan. Als uw gebruikers toegang tot hun e-mail van buiten het netwerk nodig hebben, zou het veel veiliger zijn om naar een vorm van VPN-oplossing te kijken. Dit zou vereisen dat de firewall de VPN-verbindingen afhandelt. Inderdaad, een op LAN gebaseerde VPN-server zou het VPN-verkeer op het LAN toelaten voordat het geauthenticeerd is, wat nooit een goede zaak is.

In conclusie: LAN, DMZ en netwerkconfiguratie

Met betrekking tot FTP, wat voor keuzes je ook maakt, het is belangrijk dat elk ervan goed gepland en goed doordacht is. Toch is het ook essentieel dat het eindresultaat zinvol is en zo veilig mogelijk samenwerkt. Of het nu gaat om Geavanceerde Beveiliging, Externe Toegang of iets anders, TSplus-producten hebben beveiliging in hun DNA. U kunt elk van hen kopen of testen vanaf onze productpagina's.

Ontdek zelf de functies die TSplus Advanced Security te bieden heeft. Klik hier om te downloaden. hier . Installatie duurt slechts enkele momenten en onze software is beschikbaar voor gratis gedurende 15 dagen als een proefperiode.

Gerelateerde berichten

back to top of the page icon