Web dan Server FTP
Setiap jaringan yang memiliki koneksi internet beresiko dikompromikan. Meskipun ada beberapa langkah yang dapat Anda lakukan untuk mengamankan LAN Anda, satu-satunya solusi yang nyata adalah untuk menutup LAN Anda untuk lalu lintas masuk, dan membatasi lalu lintas keluar.
Namun beberapa layanan seperti server web atau FTP memerlukan koneksi yang masuk. Jika Anda memerlukan layanan ini, Anda akan perlu mempertimbangkan apakah itu penting bahwa server ini merupakan bagian dari LAN, atau apakah mereka dapat ditempatkan dalam jaringan fisik terpisah dikenal sebagai DMZ (atau zona demiliterisasi jika Anda lebih memilih nama yang tepat). Idealnya semua server dalam DMZ server akan berdiri sendiri, dengan login dan password unik untuk tiap server. Jika Anda memerlukan server cadangan untuk mesin dalam DMZ maka anda harus mendapatkan sebuah mesin yang berdedikasi dan menjaga solusi cadangan yang terpisah dari solusi cadangan LAN.
DMZ akan datang langsung dari firewall, yang berarti bahwa ada dua rute masuk dan keluar dari DMZ, lalu lintas ke dan dari internet, dan lalu lintas ke dan dari LAN. Lalu lintas antara DMZ dan LAN Anda akan benar-benar diperlakukan secara terpisah untuk lalu lintas antara Anda DMZ dan Internet. Masuk lalu lintas dari internet akan dialihkan langsung ke DMZ.Oleh karena itu jika hacker mana untuk kompromi mesin dalam DMZ, maka jaringan saja mereka akan memiliki akses ke akan menjadi DMZ. hacker akan memiliki sedikit atau tanpa akses ke LAN. Hal ini juga akan menjadi kasus bahwa infeksi virus atau kompromi keamanan lain dalam LAN tidak akan mampu bermigrasi ke DMZ.
Agar DMZ untuk menjadi efektif, Anda harus menjaga lalu lintas antara LAN dan DMZ untuk minimum. Dalam sebagian besar kasus, lalu lintas hanya dibutuhkan antara LAN dan DMZ adalah FTP. Jika Anda tidak memiliki akses fisik ke server, Anda juga akan memerlukan beberapa jenis protokol remote management seperti layanan terminal atau VNC
Setiap jaringan yang memiliki koneksi internet beresiko dikompromikan. Meskipun ada beberapa langkah yang dapat Anda lakukan untuk mengamankan LAN Anda, satu-satunya solusi yang nyata adalah untuk menutup LAN Anda untuk lalu lintas masuk, dan membatasi lalu lintas keluar.
Namun beberapa layanan seperti server web atau FTP memerlukan koneksi yang masuk. Jika Anda memerlukan layanan ini, Anda akan perlu mempertimbangkan apakah itu penting bahwa server ini merupakan bagian dari LAN, atau apakah mereka dapat ditempatkan dalam jaringan fisik terpisah dikenal sebagai DMZ (atau zona demiliterisasi jika Anda lebih memilih nama yang tepat). Idealnya semua server dalam DMZ server akan berdiri sendiri, dengan login dan password unik untuk tiap server. Jika Anda memerlukan server cadangan untuk mesin dalam DMZ maka anda harus mendapatkan sebuah mesin yang berdedikasi dan menjaga solusi cadangan yang terpisah dari solusi cadangan LAN.
DMZ akan datang langsung dari firewall, yang berarti bahwa ada dua rute masuk dan keluar dari DMZ, lalu lintas ke dan dari internet, dan lalu lintas ke dan dari LAN. Lalu lintas antara DMZ dan LAN Anda akan benar-benar diperlakukan secara terpisah untuk lalu lintas antara Anda DMZ dan Internet. Masuk lalu lintas dari internet akan dialihkan langsung ke DMZ.Oleh karena itu jika hacker mana untuk kompromi mesin dalam DMZ, maka jaringan saja mereka akan memiliki akses ke akan menjadi DMZ. hacker akan memiliki sedikit atau tanpa akses ke LAN. Hal ini juga akan menjadi kasus bahwa infeksi virus atau kompromi keamanan lain dalam LAN tidak akan mampu bermigrasi ke DMZ.
Agar DMZ untuk menjadi efektif, Anda harus menjaga lalu lintas antara LAN dan DMZ untuk minimum. Dalam sebagian besar kasus, lalu lintas hanya dibutuhkan antara LAN dan DMZ adalah FTP. Jika Anda tidak memiliki akses fisik ke server, Anda juga akan memerlukan beberapa jenis protokol remote management seperti layanan terminal atau VNC
Database server
Jika server web Anda memerlukan akses ke server database, maka Anda akan perlu mempertimbangkan lokasi penempatan database Anda. Tempat yang paling aman untuk mencari database server adalah untuk menciptakan jaringan lain fisik terpisah yang disebut zona aman, dan untuk menempatkan server database di sana.Zona Secure juga merupakan jaringan yang terpisah secara fisik terhubung langsung ke firewall. Zona Secure adalah menurut definisi tempat yang paling aman di jaringan. Satu-satunya akses ke atau dari zona aman akan menjadi koneksi database dari DMZ (dan LAN jika diperlukan).
Pengecualian untuk aturan
Dilema yang dihadapi oleh para insinyur jaringan adalah tempat untuk meletakkan server email. Hal ini membutuhkan koneksi SMTP ke internet, namun juga membutuhkan akses domain dari LAN. Jika Anda di mana untuk menempatkan server ini di DMZ, lalu lintas domain akan membahayakan integritas DMZ, sehingga hanya perpanjangan LAN. Oleh karena itu dalam pendapat kami, satu-satunya tempat anda dapat menempatkan email server di LAN dan memungkinkan SMTP lalu lintas ke server ini. Namun kami akan merekomendasikan melawan memungkinkan setiap bentuk akses HTTP ke server ini. Jika pengguna Anda membutuhkan akses ke email mereka dari luar jaringan, maka akan jauh lebih aman untuk melihat beberapa bentuk solusi VPN. (Dengan firewall menangani koneksi VPN LAN berbasis VPN server memungkinkan. VPN lalu lintas ke jaringan sebelum dikonfirmasi, yang tidak pernah hal yang baik.)
Jika server web Anda memerlukan akses ke server database, maka Anda akan perlu mempertimbangkan lokasi penempatan database Anda. Tempat yang paling aman untuk mencari database server adalah untuk menciptakan jaringan lain fisik terpisah yang disebut zona aman, dan untuk menempatkan server database di sana.Zona Secure juga merupakan jaringan yang terpisah secara fisik terhubung langsung ke firewall. Zona Secure adalah menurut definisi tempat yang paling aman di jaringan. Satu-satunya akses ke atau dari zona aman akan menjadi koneksi database dari DMZ (dan LAN jika diperlukan).
Pengecualian untuk aturan
Dilema yang dihadapi oleh para insinyur jaringan adalah tempat untuk meletakkan server email. Hal ini membutuhkan koneksi SMTP ke internet, namun juga membutuhkan akses domain dari LAN. Jika Anda di mana untuk menempatkan server ini di DMZ, lalu lintas domain akan membahayakan integritas DMZ, sehingga hanya perpanjangan LAN. Oleh karena itu dalam pendapat kami, satu-satunya tempat anda dapat menempatkan email server di LAN dan memungkinkan SMTP lalu lintas ke server ini. Namun kami akan merekomendasikan melawan memungkinkan setiap bentuk akses HTTP ke server ini. Jika pengguna Anda membutuhkan akses ke email mereka dari luar jaringan, maka akan jauh lebih aman untuk melihat beberapa bentuk solusi VPN. (Dengan firewall menangani koneksi VPN LAN berbasis VPN server memungkinkan. VPN lalu lintas ke jaringan sebelum dikonfirmasi, yang tidak pernah hal yang baik.)
Tidak ada komentar:
Posting Komentar