Spis treści

Serwery internetowe, FTP i strefy zapory ogniowej

Każda sieć, która ma połączenie z internetem, jest narażona na ryzyko kompromitacji. Oto kilka kroków, które będą chronić sieci.

Podczas gdy istnieje kilka kroków, które można podjąć, aby zabezpieczyć swoją sieć LAN, jedynym prawdziwym rozwiązaniem jest zamknięcie swojej sieci LAN dla ruchu przychodzącego i ograniczenie ruchu wychodzącego.

Mówiąc to, TSplus Advanced Security zapewnia doskonałą ochronę przed szerokim spektrum zagrożeń cybernetycznych i zamyka niektóre z najszerszych otwartych drzwi.

Oddzielne obszary dla serwerów LAN lub wystawionych na zewnątrz serwerów DMZ

Teraz niektóre usługi, takie jak serwery WWW lub FTP, wymagają przychodzących połączeń. Jeśli potrzebujesz tych usług, będziesz musiał rozważyć, czy konieczne jest, aby te serwery były częścią LAN, czy mogą być umieszczone w fizycznie oddzielnej sieci znanej jako strefa zdemilitaryzowana (lub strefa zdemilitaryzowana, jeśli wolisz jej właściwą nazwę). Idealnie wszystkie serwery w strefie DMZ będą samodzielne, z unikalnymi logowaniami i hasłami dla każdego serwera. Jeśli potrzebujesz serwera zapasowego dla maszyn w strefie DMZ, powinieneś zdobyć dedykowaną maszynę i trzymać rozwiązanie zapasowe oddzielnie od rozwiązania zapasowego LAN.

Oddzielne trasy ruchu dla LAN i serwerów wystawionych.

DMZ będzie bezpośrednio podłączony do firewalla, co oznacza, że istnieją dwie trasy wchodzące i wychodzące z DMZ, ruch do i z Internetu oraz ruch do i z LAN. Ruch między DMZ a twoim LAN będzie traktowany zupełnie oddzielnie od ruchu między twoją DMZ a Internetem. Przychodzący ruch z Internetu będzie kierowany bezpośrednio do twojej DMZ.

Sieć LAN ukryta przez bardziej wystawione serwery DMZ.

W związku z tym, jeśli jakikolwiek haker byłby w stanie skompromitować maszynę w strefie zdemilitaryzowanej (DMZ), to jedyną siecią, do której mieliby dostęp, byłaby DMZ. Haker miałby niewielki lub żaden dostęp do LAN. Byłoby również tak, że żadna infekcja wirusowa lub inny kompromitacja związana z bezpieczeństwem w LAN nie mogłaby przenieść się do DMZ.

Minimalna komunikacja dla większego bezpieczeństwa urządzeń LAN

Aby strefa zdemilitaryzowana była skuteczna, będziesz musiał zachować ruch między LAN a strefą DMZ na minimum. W większości przypadków jedyny wymagany ruch między LAN a strefą DMZ to FTP. Jeśli nie masz fizycznego dostępu do serwerów, będziesz także potrzebować jakiegoś rodzaju protokołu zarządzania zdalnego, takiego jak usługi terminalowe lub VNC.

Rozwiązania TSplus dla zwiększonego bezpieczeństwa sieci LAN i DMZ

oprogramowanie TSplus Został zaprojektowany tak, aby być przystępny cenowo, prosty i bezpieczny. Cyberbezpieczeństwo od dawna było głównym celem firmy, tak bardzo, że nasz produkt ochrony cybernetycznej ewoluował, stając się kompletnym zestawem narzędzi bezpieczeństwa 360°. Zaawansowane zabezpieczenia TSplus to prosty i przystępny cenowo system obronny opracowany w celu ochrony Twojej konfiguracji przed złośliwym oprogramowaniem i ransomware, atakami siłowymi, nadużyciem poświadczeń... I mimochodem blokuje miliony znanych złośliwych adresów IP. Uczy się również z zachowań standardowych użytkowników i możesz dodawać do białej listy adresy, które są ważne, w miarę potrzeby.

Które miejsce dla serwerów baz danych w sieci

Jeśli serwery internetowe wymagają dostępu do serwera bazy danych, będziesz musiał rozważyć, gdzie umieścić swoją bazę danych. Najbezpieczniejszym miejscem do umieszczenia serwera bazy danych jest stworzenie kolejnej fizycznie oddzielonej sieci o nazwie strefa bezpieczeństwa i umieszczenie tam serwera bazy danych.

Strefa bezpieczeństwa jest również fizycznie oddzielną siecią bezpośrednio połączoną z zapora ogniową. Strefa bezpieczeństwa jest z definicji najbezpieczniejszym miejscem w sieci. Jedynym dostępem do lub z strefy bezpieczeństwa byłby dostęp do bazy danych z DMZ (i LAN, jeśli jest to wymagane).

Email - Wyjątek od zasad sieciowych

Największym dylematem, z którym borykają się inżynierowie sieci, może być właściwe umieszczenie serwera poczty elektronicznej. Wymaga on połączenia SMTP z internetem, ale także dostępu do domeny z LAN. Jeśli umieścisz ten serwer w strefie zdemilitaryzowanej (DMZ), ruch domenowy naruszy integralność DMZ, sprawiając, że stanie się ona po prostu rozszerzeniem LAN. Dlatego naszym zdaniem jedynym miejscem, gdzie można umieścić serwer poczty elektronicznej, jest LAN i umożliwić ruch SMTP do tego serwera.

Jednakże zalecamy nie zezwalać na żaden rodzaj dostępu HTTP do tego serwera. Jeśli użytkownicy potrzebują dostępu do swojej poczty spoza sieci, o wiele bezpieczniej byłoby rozważyć jakieś rozwiązanie VPN. Wymagałoby to, aby zapora sieciowa obsługiwała połączenia VPN. Faktycznie, serwer VPN oparty na LAN pozwoliłby na przepływ ruchu VPN na LAN przed uwierzytelnieniem, co nigdy nie jest dobrym rozwiązaniem.

Wnioski: Konfiguracja LAN, DMZ i sieci.

W przypadku FTP, niezależnie od podjętych decyzji, ważne jest, aby każda z nich była dobrze zaplanowana i przemyślana. Jednak równie istotne jest, aby końcowy rezultat miał sens i działał jak najbardziej bezpiecznie. Niech to będzie Zaawansowane Bezpieczeństwo, zdalny dostęp lub cokolwiek innego, produkty TSplus mają bezpieczeństwo we krwi. Możesz je kupić lub przetestować z naszych stron produktowych.

Zobacz sam funkcje, które oferuje TSplus Advanced Security. Aby pobrać, kliknij tutaj . Instalacja zajmuje zaledwie chwile, a nasze oprogramowanie jest dostępne za darmo na okres 15 dni jako wersja próbna.

Powiązane wpisy

back to top of the page icon