私は Windows 2003 で FileZilla サーバーを使用する FTP サーバーを持っており、静的 IP アドレスとドメイン コントローラーと同じサブネットを持つドメインにメンバー サーバーとして追加されています。ルーターの特定のポートを開いて FTP サーバーに接続しましたが、セキュリティの観点からこれが最適な設定方法なのか、それとも設定を改善できるのか疑問に思いました。
FTP サーバーが侵害され、ドメイン コントローラーにアクセスできるようになることを懸念しています。当初は、FTP サーバーを別のネットワーク上にスタンドアロンで配置する予定でしたが、ネットワークを分離するためにソフトウェア ファイアウォールが必要になるため、やりすぎのように思われました。インフラストラクチャの観点から、一般的なアドバイスを求めています。
答え1
SFTP または FTPS サーバーに置き換えることでセキュリティを強化できます。
FTP は、ログイン情報がプレーンテキストで渡されるという点で安全ではありません。安全なプロトコルに置き換えるか、破損していてもまったく問題ないアカウント (匿名のみなど) のみを使用するか、IPSec 経由でトンネリングするか、既知の IP アドレスのみに接続を制限するか (セキュリティがかなり低いですが、やらなければならないことはやってください) のいずれかを選択できます。
これらは一般的な提案といくつかの良い実践です。「最善の方法」と「セキュリティ」は、保護するもの、要件などを考慮する必要があります。要件や制約が 1 つも伝えられていません。詳細を追加すると、より役立つ回答が得られるかもしれません。
/編集: あなたは言う
FTP サーバーが侵害され、ドメイン コントローラーにアクセスできるようになることを懸念しています。
これが起こるには、FileZilla のコードにエクスプロイトがなければなりません。これは (私の知る限り) クローズド ソースなので、そのようなバグが存在する可能性があります。[編集 - これは誤りです。GPL です。コードにバグがないという意味ではありません]。ただし、プロセス (またはサービス) が LOCAL SYSTEM として実行されている場合、ドメインに対する権限はまったくないため、エクスプロイトされた場合、FileZilla を実行しているメンバー サーバーを破壊することしかできません。もちろん、ドメインに対する攻撃を試みるための足掛かりは得られますが、すぐにピクニック バスケット全体を手に入れるわけではありません。
これは FTP だけでなく、どのソフトウェアでも起こり得ることを覚えておいてください。インターネットから LAN 内のマシンへのアクセスを許可していて、コードに悪用可能なバグがある場合、LAN に攻撃者がいることになります。
本当に心配なら、DMZ 内の非ドメイン マシンに配置してください。大変な作業だとおっしゃいましたが、セキュリティは一般的に大変な作業です。