Et datanettverk som er tilknyttet Internett er et potensielt mål for en mengde trusler, for eksempel skadelig kode, DOS-angrep (DOS = Denial of Service) og inntrengningsforsøk. Her vil du finner mer informasjon om hva man bør tenke på når man bygger et datanettverk som er tilknyttet Internett.
Lage en oversikt
En sikker infrastruktur bygges omkring brannmuren. Den separerer og beskytter organisasjonens nettverk fra Internett. I hviken grad IT-tjenesten har behov for å være eksponert utad mot Internett, er avhengig av IT-tjenestens funksjon. Filservere, skriverservere eller de ansattes datamaskiner trenger nødvendigvis ikke være tilgjengelige utenfra, mens det er viktig at webservere og e-postservere er det. Arbeidet med å bygge en IT-infrastruktur bør starte med en kartlegging av organisasjonens behov.
Hvilken type trafikk må gå mellom omverdenen og ens eget nettverk?
Hva slags trafikk må gå til organisasjonens eksterne servere?
Hvilke servere må eksponeres innad og/eller utad?
Nærmest Internett
Det er vanlig at den ytterste delen av et privat nettverk er koblet til Internett med en ruter. Her begynner den første filtreringen av trafikken. Det er bra å bruke en såkalt ingress- og egressfiltrering i denne ruteren. Filtreringen gransker hvilken trafikk som er tillatt inn og ut. På denne måten kan man motvirke at eksempelvis en angriper bruker ruteren i et angrep mot noen andre, med det målet å få den angrepne til å tro at det var ruterens eiere som utførte angrepet.
Klassifisering av følsomhet
Brannmuren gransker all trafikk som kommer inn eller ut fra nettverket etter forutbestemte regler som defineres av systemeieren, for å kunne avgjøre om trafikken er tillatt eller ikke.
Fordi data har ulik grad av sensitivitet er det vanlig å dele nettet opp i ulike sikkerhetssoner. En måte er å dele nettet innenfor brannmuren i DMZ (demilitarisert sone) og internt nett.
DMZ
DMZ, eller demilitarisert sone, er en nøytral sone mellom to nettverk. DMZ er plassert mellom det eksterne nettet (Internett) og det interne nettet. DMZ beskyttes av brannmuren, men tillater vanligvis flere typer trafikk utenfra. Dette gjøres ettersom man i DMZ ofte plasserer tjenester som må være tilgjengelige fra Internett som for eksempel webserver, FTP, DNS og e-post men som også må ha en viss beskyttelse.
Organisasjoner som har utviklingsnett som må være tilgjengelige fra Internett, for eksempel når man tester webtjenester plasseres også ofte i DMZ.
Tjenesten Nettvett leveres