Web Servers and Firewall Zones
Summary:
If you have, or are planning to have web servers connected to your network, you will need to consider the security implications
Article Body:
Web and FTP Servers
Every network that has an internet connection is at risk of being compromised. Whilst there are several steps that you can take to secure your LAN, the only real solution is to close your LAN to incoming traffic, and restrict outgoing traffic.
However some services such as web or FTP servers require incoming connections. If you require these services you will need to consider whether it is essential that these servers are part of the LAN, or whether they can be placed in a physically separate network known as a DMZ (or demilitarised zone if you prefer its proper name). Ideally all servers in the DMZ will be stand alone servers, with unique logons and passwords for each server. If you require a backup server for machines within the DMZ then you should acquire a dedicated machine and keep the backup solution separate from the LAN backup solution.
The DMZ will come directly off the firewall, which means that there are two routes in and out of the DMZ, traffic to and from the internet, and traffic to and from the LAN. Traffic between the DMZ and your LAN would be treated totally separately to traffic between your DMZ and the Internet. Incoming traffic from the internet would be routed directly to your DMZ.
Therefore if any hacker where to compromise a machine within the DMZ, then the only network they would have access to would be the DMZ. The hacker would have little or no access to the LAN. It would also be the case that any virus infection or other security compromise within the LAN would not be able to migrate to the DMZ.
In order for the DMZ to be effective, you will have to keep the traffic between the LAN and the DMZ to a minimum. In the majority of cases, the only traffic required between the LAN and the DMZ is FTP. If you do not have physical access to the servers, you will also need some sort of remote management protocol such as terminal services or VNC.
Database servers
If your web servers require access to a database server, then you will need to consider where to place your database. The most secure place to locate a database server is to create yet another physically separate network called the secure zone, and to place the database server there.
The Secure zone is also a physically separate network connected directly to the firewall. The Secure zone is by definition the most secure place on the network. The only access to or from the secure zone would be the database connection from the DMZ (and LAN if required).
Exceptions to the rule
The dilemma faced by network engineers is where to put the email server. It requires SMTP connection to the internet, yet it also requires domain access from the LAN. If you where to place this server in the DMZ, the domain traffic would compromise the integrity of the DMZ, making it simply an extension of the LAN. Therefore in our opinion, the only place you can put an email server is on the LAN and allow SMTP traffic into this server. However we would recommend against allowing any form of HTTP access into this server. If your users require access to their mail from outside the network, it would be far more secure to look at some form of VPN solution. (with the firewall handling the VPN connections. LAN based VPN servers allow the VPN traffic onto the network before it is authenticated, which is never a good thing.)
En español:
Título: Servidores Web y las zonas de cortafuegos
Resumen:
Si usted tiene, o está planeando tener servidores web conectados a su red, usted tendrá que considerar las implicaciones de seguridad
Cuerpo del artículo:
Web y servidores FTP
Cada red que tenga una conexión a Internet está en peligro de verse comprometidos. Si bien hay varios pasos que usted puede tomar para garantizar su LAN, la única solución real es cerrar la LAN al tráfico entrante, y restringir el tráfico de salida.
Sin embargo, algunos servicios tales como servidores web o FTP requieren conexiones entrantes. Si necesita estos servicios tendrá que considerar si es esencial que estos servidores son parte de la red LAN, o si pueden ser colocados en una red separada físicamente conocida como DMZ (zona desmilitarizada o si lo prefiere su propio nombre). Lo ideal sería que todos los servidores en la DMZ se destacan servidores independientes, con inicios de sesión y contraseñas para cada servidor. Si necesita un servidor de copia de seguridad para máquinas dentro de la DMZ, entonces debe adquirir un equipo dedicado y mantener la solución de copia de seguridad independiente de la solución de copia de seguridad de LAN.
La zona de distensión vendrán directamente desde el servidor de seguridad, lo que significa que hay dos rutas dentro y fuera de la zona de distensión, el tráfico desde y hacia Internet, y el tráfico hacia y desde la LAN. El tráfico entre la DMZ y la LAN sería tratado por separado totalmente al tráfico entre la zona de distensión y de Internet. El tráfico entrante desde Internet se envían directamente a la zona de distensión.
Por tanto, si cualquier hacker que pusiera en peligro un equipo dentro de la DMZ, entonces la única red que tendrían acceso a la zona de despeje sería. El hacker tendría poco o ningún acceso a la LAN. También sería el caso de que cualquier infección de virus o comprometer la seguridad de otros dentro de la LAN no sería capaz de migrar a la zona de distensión.
Para que la zona de distensión para ser eficaz, tendrá que mantener el tráfico entre la LAN y la zona de distensión al mínimo. En la mayoría de los casos, el tráfico sólo se requiere entre la LAN y la zona de distensión es FTP. Si usted no tiene acceso físico a los servidores, también se necesita algún tipo de protocolo de gestión remota, como Servicios de Terminal Server o VNC.
Base de datos de servidores
Si sus servidores web necesitan tener acceso a un servidor de base de datos, entonces usted tendrá que considerar dónde colocar la base de datos. El lugar más seguro para localizar un servidor de base de datos es crear una nueva red físicamente separada llamada la zona segura, y para poner el servidor de base de datos existe.
La zona segura es también una red separada físicamente conectado directamente al servidor de seguridad. La zona segura es, por definición, el lugar más seguro en la red. El único acceso hacia o desde la zona de seguridad sería la conexión de base de datos desde la zona de distensión (LAN y si es necesario).
Excepciones a la regla
El dilema que enfrentan los ingenieros de la red es donde poner el servidor de correo electrónico. Se requiere una conexión SMTP a Internet, sin embargo, también requiere acceso al dominio de la LAN. Si en lugar de este servidor en la DMZ, el tráfico de dominio podría comprometer la integridad de la zona desmilitarizada, lo que lo convierte simplemente una extensión de la red LAN. Por lo tanto, en nuestra opinión, el único lugar donde puedes poner un servidor de correo electrónico está en la LAN y permitir el tráfico SMTP en este servidor. Sin embargo, recomendamos en contra de permitir cualquier forma de acceso HTTP en este servidor. Si los usuarios necesitan tener acceso a su correo desde fuera de la red, sería mucho más seguro de ver algún tipo de solución VPN. (Con el servidor de seguridad de manipulación de las conexiones VPN. Servidores basados en LAN VPN permiten el tráfico VPN a la red antes de que sea autenticado, que nunca es una buena cosa.)
Luigi Argen (Largen)
WordPress tu herramienta indispensable:
http://tinyurl.com/2bsebcfSi quieres empezar a publicar gratis posicionando tus avisos visita esta pagina:
http://tinyurl.com/25ptguz
Gana trabajando desde tu casa U$S3.500: http://tinyurl.com/38wdp22
Notas Relacionadas:
http://encuestasremuneradasesay.blogspot.com/
http://afiliadoselitearg.blogspot.com/
http://afiliadoselitearg.blogspot.com/2010/10/ser-networker-es-una-profesion-curso-en.html
http://c496c0x2kawl5rd7qjjdyl3m24.hop.clickbank.net/
http://encuestasremuneradasesay.blogspot.com/2010/11/nosotros-nos-ganamos-entre-3000.html
http://tinyurl.com/38wdp22
Tags: dinero, ebay, encuestas, ganar dinero, home job, internet, money, pagas, remuneradas, take, trabajo desde casa, work from home
Firewall, Internet, servidor web, servidor FTP, la seguridad, DMZ, LAN, IIS, SQL, los piratas cibernéticos, la piratería, IIS, SQL, hacker, hacking
