Server Web e FTP
Ogni rete che dispone di una connessione a internet è a rischio di essere compromessa. Mentre ci sono diversi passaggi che si possono adottare per garantire la vostra LAN, l'unica vera soluzione è chiudere la LAN per il traffico in ingresso e limitare il traffico in uscita.
Tuttavia alcuni servizi come web o FTP server richiedono connessioni in ingresso. Se hai bisogno di questi servizi sarà necessario considerare se è essenziale che questi server sono parte della LAN, o se possono essere collocate in un fisicamente separata di rete noti come una DMZ (zona smilitarizzata) se si preferisce il nome corretto. Idealmente tutti i server nella DMZ sarà server stand-alone, con accessi unici e le password per ogni server. Se si richiede un server di backup per le macchine all'interno del DMZ, si dovrebbe acquisire una macchina dedicata e separare la soluzione di backup dalla soluzione di backup LAN.
Il DMZ staccherà direttamente il firewall, che significa che ci sono due itinerari dentro e fuori la DMZ, traffico da e verso internet e il traffico da e per la LAN. Il traffico tra la DMZ e LAN sarebbe trattato separatamente totalmente al traffico tra la DMZ e Internet. Il traffico in ingresso da internet sarebbe indirizzato direttamente al vostro DMZ.
Pertanto se qualsiasi hacker dove al compromesso di una macchina all'interno del DMZ, allora l'unica rete hanno accesso a sarebbe la DMZ. L'hacker avrebbe poco o nessun accesso alla LAN. Sarebbe anche il caso che qualsiasi infezione da virus o altro compromesso di sicurezza all'interno della LAN non sarebbe in grado di migrare verso la DMZ.
In ordine per la DMZ essere efficace, si dovrà mantenere il traffico tra la LAN e DMZ al minimo. Nella maggior parte dei casi, l'unico traffico richiesto tra la LAN e DMZ è FTP. Se non avete accesso fisico al server, è necessario anche una sorta di protocollo di gestione remota come VNC o servizi terminal.
Server di database
Se il vostro server web richiedono l'accesso a un server di database, sarà necessario considerare dove collocare il tuo database. Il posto più sicuro per individuare un server di database è creare un'altra rete fisicamente separato chiamato la zona sicura e di collocare il server di database ci.
La zona protetta è anche una rete fisicamente separata collegata direttamente al firewall. L'area protetta è per definizione il luogo più sicuro della rete. L'unico accesso da o verso la zona sicura sarebbe la connessione al database dalla DMZ (e LAN se richiesto).
Eccezioni alla regola
Il dilemma affrontato dagli ingegneri di rete è dove mettere il server di posta elettronica. Richiede connessione SMTP per internet, ma si richiede anche il dominio di accesso dalla LAN. Se si dove inserire questo server nella DMZ, il dominio traffico avrebbe compromesso l'integrità della DMZ, rendendolo semplicemente un'estensione della LAN. Quindi a nostro parere, l'unico posto che si può mettere un server e-mail è sulla LAN e consentire il traffico SMTP in questo server. Tuttavia, noi raccomandiamo contro permettendo a qualsiasi forma di accesso HTTP server. Se gli utenti richiedono l'accesso alla propria posta dall'esterno della rete, sarebbe molto più sicuro a guardare qualche forma di soluzione VPN. (con il firewall gestisce le connessioni VPN. LAN basato su VPN server consentono il traffico VPN sulla rete prima che si è autenticato, che non è mai una buona cosa.)
No comments:
Post a Comment