Ogni rete che ha una connessione internet è a rischio di essere compromessa. Mentre ci sono diversi passaggi che puoi adottare per proteggere la tua LAN, l';unica vera soluzione è quella di chiudere la tua LAN al traffico in entrata e limitare il traffico in uscita.
Tuttavia alcuni servizi come i server Web o FTP richiedono connessioni in entrata. Se hai bisogno di questi servizi dovrai considerare se è essenziale che questi server facciano parte della LAN, o se possano essere collocati in una rete fisicamente separata nota come DMZ (o zona demilitarizzata se preferisci il nome corretto). Idealmente tutti i server della DMZ saranno server stand-alone, con accessi e password unici per ogni server. Se è necessario un server di backup per macchine all';interno della DMZ, è necessario acquisire una macchina dedicata e mantenere la soluzione di backup separata dalla soluzione di backup LAN.
Concetti di base delle applicazioni Web, come funzionano e il protocollo HTTP
La DMZ arriverà direttamente dal firewall, il che significa che ci sono due percorsi dentro e fuori la DMZ, traffico da e verso Internet e traffico verso e dalla LAN. Il traffico tra la DMZ e la tua LAN verrebbe gestito in modo totalmente separato dal traffico tra la tua DMZ e Internet. Il traffico in entrata da Internet verrebbe indirizzato direttamente alla tua DMZ.
Pertanto, se qualche hacker in cui compromettere una macchina all';interno della DMZ, l';unica rete a cui avrebbero accesso sarebbe la DMZ. L';hacker avrebbe poco o nessun accesso alla LAN. Sarebbe anche il caso che qualsiasi infezione da virus o altri problemi di sicurezza all';interno della LAN non sarebbero in grado di migrare alla DMZ.
Affinché la DMZ sia efficace, dovrai mantenere il traffico tra la LAN e la DMZ al minimo. Nella maggior parte dei casi, l';unico traffico richiesto tra la LAN e la DMZ è FTP. Se non si dispone dell';accesso fisico ai server, sarà necessario anche un qualche tipo di protocollo di gestione remota come i servizi terminal o VNC.
Server di database
Se i server Web richiedono l';accesso a un server di database, sarà necessario considerare dove posizionare il database. Il posto più sicuro per localizzare un server di database è creare un';altra rete fisicamente separata chiamata area protetta e posizionare il server del database lì.
La zona sicura è anche una rete fisicamente separata collegata direttamente al firewall. La zona sicura è per definizione il posto più sicuro sulla rete. L';unico accesso alla o dalla zona protetta sarebbe la connessione al database dalla DMZ (e dalla LAN se necessario).
Eccezioni alla regola
Il dilemma affrontato dai tecnici di rete è dove mettere il server di posta elettronica. Richiede la connessione SMTP a Internet, ma richiede anche l';accesso al dominio dalla LAN. Se si posiziona questo server nella DMZ, il traffico del dominio comprometterebbe l';integrità della DMZ, rendendola semplicemente un';estensione della LAN. Pertanto, a nostro parere, l';unico posto in cui è possibile inserire un server di posta elettronica è nella LAN e consente il traffico SMTP in questo server. Tuttavia, si consiglia di non consentire alcuna forma di accesso HTTP a questo server. Se i tuoi utenti richiedono l';accesso alla loro posta al di fuori della rete, sarebbe molto più sicuro esaminare una qualche forma di soluzione VPN. (con il firewall che gestisce le connessioni VPN. I server VPN basati su LAN consentono il traffico VPN sulla rete prima che venga autenticato, il che non è mai una buona cosa.) Come funzionano i server Web Tutti amano quando un sacco di traffico arriva attraverso il loro sito web. In effetti, molti fanno tutto ciò che possono per ottenere quel traffico nella speranza che qualcuno possa trovare ciò che è interessante sul loro sito e effettueranno un acquisto dal sito. Questa è l';idea, giusto? Certo che lo è, ma è un dato di fatto che il traffico di tutti i tipi potrebbe non essere molto utile se non si tratta di traffico mirato. Tuttavia, ci sono modi in cui il traffico viene portato ai siti e due di questi sono DOS Attack e Digg Traffic. Ci sono differenze reali tra i due per quanto riguarda il modo in cui portano traffico ai siti web. Diciamo solo che uno è più crudele dell';altro.
Attacco DOS
Dos Attack fa implorare pietà al web server perché è inondato di traffico che può essere considerato inutile. Esistono diversi tipi di attacchi DOS come Teardrop e Ping of Death. Ciò che fanno è sfruttare i limiti dei protocolli TCP / IP. Tuttavia, ci sono correzioni software che gli amministratori amministrano nei loro sistemi per ridurre il danno che viene fatto dagli attacchi DOS. Ma proprio come i virus dei computer, ci sono sempre nuovi attacchi creati dagli hacker. Ciò che questi attacchi fanno è mantenere il sito web correttamente funzionante e di solito si rivolgono a siti di grandi dimensioni come quelli di banche e siti di carte di credito. L';attacco Teardrop invia frammenti IP con enormi carichi utili che si sovrappongono alla macchina che stanno prendendo di mira. Molti sistemi operativi sono vulnerabili a questo tipo di attacco e possono bloccare l';intero sistema.
Esiste anche un attacco chiamato Smurf Attack in cui invade Internet inviando pacchetti di informazioni da inviare agli host dei computer su una determinata rete. Questo è uno di quei metodi in cui sembra che un sito Web stia ricevendo molto traffico, ma nessuno del traffico è legittimo. SYN Flood è un altro che inonda i server per apparire come traffico legittimo.
Traffico Digg
Digg è in realtà un modo legittimo per generare traffico verso i siti web. È basato sulla comunità e utilizza articoli per guadagnare traffico. Combina blog, social bookmarking e syndication con il controllo editoriale degli utenti. I siti Web e le notizie vengono inviati dagli utenti e un sistema di classificazione basato sugli utenti viene utilizzato per promuovere il sito web. Può accadere che il server web non sia preparato a gestire quell';alto traffico in entrata e, in definitiva, blocchi il sito per un breve periodo. Tuttavia, Digg ha incontrato alcune controversie perché si dice che gli utenti abbiano un controllo eccessivo sul contenuto. Ci sono anche utenti che sono stati accusati di operare quella che viene chiamata una :Brigata di Bury: in cui gli utenti contrassegnano gli articoli come SPAM, che possono seppellire queste storie legittime in quelle che gli utenti vogliono promuovere, siano legittime o meno.
Le differenze
Le differenze sono piuttosto chiare in quanto gli attacchi DOS sono un modo in cui gli hacker invadono i sistemi con traffico falso e possono effettivamente disabilitare l';uso di un sito web. Non è un modo legittimo per guadagnare traffico, mentre Digg è un metodo legittimo. Tuttavia, anche Digg ha incontrato la sua polemica in cui il traffico può essere diretto lontano da articoli legittimi a causa di :Brigate Bury:, che possono ostacolare la capacità di promuovere attraverso il sistema di Digg. Tuttavia, come con qualsiasi sistema su Internet, ci sono sempre modi per compromettere il suo intento originale e Digg non è un';eccezione. Gli attacchi DOS, d';altra parte, continuano a fare ciò che sono destinati a fare e cioè a attaccare maliziosamente il web.