Każda sieć z dostępem do Internetu może zostać naruszona. Chociaż istnieje kilka kroków, które możesz podjąć, aby zabezpieczyć sieć LAN, jedynym prawdziwym rozwiązaniem jest zamknięcie sieci LAN na ruch przychodzący i ograniczenie ruchu wychodzącego.
Jednak niektóre usługi, takie jak serwery WWW lub FTP, wymagają połączeń przychodzących. Jeśli potrzebujesz tych usług, musisz rozważyć, czy istotne jest, aby serwery te stanowiły część sieci LAN, czy też można je umieścić w fizycznie oddzielnej sieci zwanej DMZ (lub strefie zdemilitaryzowanej, jeśli wolisz swoją nazwę). Idealnie wszystkie serwery w strefie DMZ będą serwerami autonomicznymi, z unikalnymi logami i hasłami dla każdego serwera. Jeśli potrzebujesz serwera zapasowego dla komputerów w strefie DMZ, powinieneś nabyć dedykowane urządzenie i zachować rozwiązanie do tworzenia kopii zapasowych oddzielnie od rozwiązania do tworzenia kopii zapasowych w sieci LAN.
Podstawowe pojęcia dotyczące aplikacji internetowych, ich działania i protokołu HTTP
Strefa DMZ będzie pochodzić bezpośrednio z zapory sieciowej, co oznacza, że istnieją dwie trasy do iz strefy DMZ, ruch do iz Internetu oraz ruch do iz sieci LAN. Ruch między DMZ a twoją siecią LAN byłby traktowany zupełnie oddzielnie dla ruchu pomiędzy twoim DMZ a Internetem. Ruch przychodzący z Internetu będzie kierowany bezpośrednio do DMZ.
Dlatego jeśli jakikolwiek haker, który miałby skompromitować maszynę w strefie DMZ, wówczas jedyną siecią, do której mieliby dostęp byłby DMZ. Haker miałby niewielki lub żaden dostęp do sieci LAN. Byłoby również tak, że jakakolwiek infekcja wirusowa lub inne zagrożenia bezpieczeństwa w sieci LAN nie byłyby w stanie przeprowadzić migracji do strefy DMZ.
Aby strefa DMZ była efektywna, będziesz musiał ograniczyć ruch między siecią LAN a strefą DMZ do minimum. W większości przypadków jedynym wymaganym ruchem pomiędzy LAN i DMZ jest FTP. Jeśli nie masz fizycznego dostępu do serwerów, potrzebujesz również jakiegoś zdalnego protokołu zarządzania, takiego jak usługi terminalowe lub VNC.
Serwery baz danych
Jeśli twoje serwery wymagają dostępu do serwera bazy danych, musisz zastanowić się, gdzie umieścić swoją bazę danych. Najbezpieczniejszym miejscem do zlokalizowania serwera bazy danych jest utworzenie kolejnej fizycznie oddzielnej sieci o nazwie strefa bezpieczna oraz umieszczenie tam serwera bazy danych.
Strefa bezpieczna to również fizycznie oddzielna sieć podłączona bezpośrednio do zapory. Strefa bezpieczna jest z definicji najbezpieczniejszym miejscem w sieci. Jedynym dostępem do strefy bezpiecznej lub z niej jest połączenie z DMZ (i LAN, jeśli jest to wymagane).
Wyjątki od reguły
Dylemat, przed którym stoją inżynierowie sieci, to miejsce, w którym należy umieścić serwer poczty elektronicznej. Wymaga połączenia SMTP z Internetem, ale wymaga również dostępu do domeny z sieci LAN. Jeśli umieścisz ten serwer w strefie DMZ, ruch w domenie zagroziłby integralności strefy DMZ, czyniąc ją po prostu rozszerzeniem sieci LAN. Dlatego naszym zdaniem jedyne miejsce, w którym można umieścić serwer e-mail, znajduje się w sieci LAN i zezwala na ruch SMTP na tym serwerze. Zalecamy jednak, aby nie zezwalać na wszelkie formy dostępu HTTP do tego serwera. Jeśli Twoi użytkownicy wymagają dostępu do poczty spoza sieci, bezpieczniej byłoby spojrzeć na jakąś formę rozwiązania VPN. (z firewallem obsługującym połączenia VPN, serwery sieci VPN oparte na sieci LAN pozwalają na ruch sieci VPN do sieci zanim zostanie uwierzytelniony, co nigdy nie jest dobre.) Jak działają serwery sieci Web Wszyscy uwielbiają je, gdy na ich stronie pojawia się duży ruch. W rzeczywistości wielu robi wszystko, aby osiągnąć ten ruch w nadziei, że ktoś znajdzie to, co jest na ich stronie, interesujące i dokona zakupu ze strony. Taki jest pomysł, prawda? Oczywiście tak jest, ale faktem jest, że ruch wszystkich typów może nie być bardzo korzystny, jeśli nie jest ukierunkowany na ruch. Istnieją jednak sposoby, w jakie ruch jest kierowany na strony, a dwa z nich to DOS Attack i Digg Traffic. Istnieją rzeczywiste różnice między tymi dwoma, o ile przenoszą ruch na strony internetowe. Powiedzmy, że jeden jest bardziej okrutny niż drugi.
atak DOS
Dos Attack sprawia, że serwer WWW błaga o litość, ponieważ jest zalewany ruchem, który w rzeczywistości może być uznany za bezużyteczny. Istnieją różne rodzaje ataków DOS, takich jak Teardrop i Ping of Death. To, co robią, wykorzystuje ograniczenia protokołów TCP / IP. Istnieją jednak poprawki oprogramowania, które administratorzy administrują w swoich systemach, aby zmniejszyć obrażenia zadawane przez ataki DOS. Ale podobnie jak wirusy komputerowe, hakerzy zawsze tworzą nowe ataki. To, co robią te ataki, uniemożliwia prawidłowe funkcjonowanie witryny i zwykle jest kierowane na duże witryny, takie jak witryny banków i kart kredytowych. Atak typu Teardrop wysyła fragmenty IP z ogromnymi ładunkami, które nakładają się na komputer, na który są kierowane. Wiele systemów operacyjnych jest podatnych na tego typu ataki i może spowodować awarię całego systemu.
Istnieje również atak o nazwie Atak Smerfa, w którym zalewa on Internet wysyłając pakiety informacji do wysłania do hostów komputera w określonej sieci. Jest to jedna z tych metod, w których wygląda na to, że strona internetowa otrzymuje duży ruch, ale żaden ruch nie jest uzasadniony. SYN Flood to kolejny powód, który powoduje, że serwery pojawiają się jako legalny ruch.
Ruch Digg
Digg jest rzeczywiście legalnym sposobem generowania ruchu na stronach internetowych. Jest oparty na społeczności i używa artykułów do pozyskiwania ruchu. Łączy blogowanie, tworzenie zakładek społecznościowych i syndykowanie z kontrolą redaktorską przez użytkowników. Strony internetowe i wiadomości są przekazywane przez użytkowników, a system rankingowy oparty na użytkownikach służy do promowania witryny. Może się zdarzyć, że serwer WWW nie jest przygotowany do zarządzania wysokim ruchem przychodzącym i ostatecznie powoduje awarię witryny przez krótki czas. Jednak Digg napotkał pewne kontrowersje, ponieważ mówi się, że użytkownicy mają całkowicie zbyt dużą kontrolę nad treścią. Są nawet użytkownicy, którzy zostali oskarżeni o operację tzw. :Bury Brigade:, w której użytkownicy oznaczają artykuły jako SPAM, które mogą zakopać te legalne historie pod tymi, które użytkownicy chcą promować, bez względu na to, czy są legalne czy nie..
Różnice
Różnice są dość wyraźne, ponieważ ataki DOS są sposobem, w jaki hakerzy złośliwie zalewają systemy fałszywym ruchem i mogą faktycznie uniemożliwić korzystanie z witryny. Nie jest to legalny sposób na uzyskanie ruchu, podczas gdy Digg jest legalną metodą. Jednak nawet Digg spotkał się ze swoimi kontrowersjami, w których ruch może być skierowany z dala od legalnych artykułów z powodu :Bury Brigades:, które mogą przeszkadzać w promowaniu przez system Digga. Jednak tak jak w przypadku każdego systemu w Internecie, zawsze istnieją sposoby na złamanie jego pierwotnej intencji, a Digg nie jest wyjątkiem. Ataki DOS, z drugiej strony, nadal robią to, co zamierzają zrobić, to znaczy złośliwie atakują internet.