Servidores Web, FTP e Zonas de Firewall
Toda rede que possui uma conexão com a internet está em risco de ser comprometida. Aqui estão algumas das etapas que manterão as redes protegidas.
Embora existam várias etapas que você pode seguir para proteger sua LAN, a única solução real é fechar sua LAN para tráfego de entrada e restringir o tráfego de saída.
Dito isso,
TSplus Advanced Security
Oferece uma ótima proteção completa contra uma ampla gama de ameaças cibernéticas e fecha algumas das portas abertas mais amplas.
Áreas separadas para servidores LAN ou DMZ expostos.
Agora, alguns serviços como servidores Web ou FTP requerem conexões de entrada. Se você precisar desses serviços, precisará considerar se é essencial que esses servidores façam parte da LAN, ou se podem ser colocados em uma rede fisicamente separada conhecida como DMZ (ou zona desmilitarizada, se preferir seu nome correto). Idealmente, todos os servidores na DMZ serão servidores independentes, com logons e senhas únicas para cada servidor. Se você precisar de um servidor de backup para máquinas dentro da DMZ, deverá adquirir uma máquina dedicada e manter a solução de backup separada da solução de backup da LAN.
Rotas de Tráfego Separadas para LAN e Servidores Expostos
A DMZ sairá diretamente do firewall, o que significa que existem duas rotas de entrada e saída da DMZ, tráfego de e para a Internet e tráfego de e para a LAN. O tráfego entre a DMZ e sua LAN seria tratado totalmente separadamente do tráfego entre sua DMZ e a Internet. O tráfego de entrada da Internet seria roteado diretamente para sua DMZ.
LAN ocultada por servidores DMZ mais expostos.
Portanto, se algum hacker conseguisse comprometer uma máquina dentro da DMZ, então a única rede à qual teriam acesso seria a DMZ. O hacker teria pouco ou nenhum acesso à LAN. Também seria o caso de que qualquer infecção por vírus ou outro comprometimento de segurança dentro da LAN não seria capaz de migrar para a DMZ.
Comunicação mínima para maior segurança de Dispositivos LAN
Para que a DMZ seja eficaz, você terá que manter o tráfego entre a LAN e a DMZ ao mínimo. Na maioria dos casos, o único tráfego necessário entre a LAN e a DMZ é o FTP. Se você não tiver acesso físico aos servidores, também precisará de algum tipo de protocolo de gerenciamento remoto, como serviços de terminal ou VNC.
Soluções TSplus para aumento da segurança na LAN e DMZ
software TSplus
Foi projetado para ser acessível, simples e seguro. A cibersegurança sempre foi um objetivo central para a empresa, tanto que nosso produto de proteção cibernética evoluiu para se tornar um kit de ferramentas de segurança 360° completo. O TSplus Advanced Security é uma defesa simples e acessível desenvolvida para proteger sua configuração contra malware e ransomware, ataques de força bruta, uso indevido de credenciais... E incidentemente bloqueia milhões de IPs maliciosos conhecidos. Ele também aprende com comportamentos de usuário padrão e você pode adicionar endereços importantes à lista branca conforme necessário.
Qual lugar para servidores de banco de dados na rede
Se seus servidores web precisarem de acesso a um servidor de banco de dados, então você precisará considerar onde colocar seu banco de dados. O local mais seguro para localizar um servidor de banco de dados é criar mais uma rede fisicamente separada chamada zona segura e colocar o servidor de banco de dados lá.
A zona segura também é uma rede fisicamente separada conectada diretamente ao firewall. A zona segura é, por definição, o local mais seguro na rede. O único acesso para ou da zona segura seria a conexão do banco de dados a partir da DMZ (e LAN, se necessário).
Email - Uma exceção às regras de rede
O maior dilema enfrentado pelos engenheiros de rede pode ser, na verdade, onde colocar o servidor de e-mail. Ele requer conexão SMTP com a internet, mas também requer acesso de domínio a partir da LAN. Se você colocasse este servidor na DMZ, o tráfego de domínio comprometeria a integridade da DMZ, tornando-a simplesmente uma extensão da LAN. Portanto, em nossa opinião, o único lugar onde você pode colocar um servidor de e-mail é na LAN e permitir o tráfego SMTP para este servidor.
No entanto, recomendamos contra permitir qualquer forma de acesso HTTP a este servidor. Se seus usuários precisarem de acesso ao e-mail de fora da rede, seria muito mais seguro considerar alguma forma de solução VPN. Isso exigiria que o firewall lidasse com as conexões VPN. De fato, um servidor VPN baseado em LAN permitiria o tráfego VPN na LAN antes de ser autenticado, o que nunca é uma boa coisa.
Em conclusão: Configuração de LAN, DMZ e Rede.
Sobre FTP, seja qual for a escolha que você fizer, é importante que cada uma seja bem planejada e bem pensada. No entanto, também é essencial que o resultado final faça sentido e funcione de forma segura o máximo possível.
Seja Segurança Avançada, Acesso Remoto ou qualquer outro, os produtos TSplus têm segurança em seu DNA. Você pode comprar ou testar qualquer um deles em nossas páginas de produtos.
Veja por si mesmo as funcionalidades que o TSplus Advanced Security tem para oferecer. Para baixar, clique.
aqui
.
A instalação leva apenas alguns momentos e nosso software está disponível gratuitamente por 15 dias como teste.