La mejor manera de proteger un servidor ftp

La mejor manera de proteger un servidor ftp

Tengo un servidor ftp que utiliza el servidor Filezilla en Windows 2003 y se agrega como servidor miembro al dominio con una dirección IP estática y la misma subred que el controlador de dominio. Abrí los puertos específicos en el enrutador para llegar al servidor ftp. Me preguntaba si esta era la mejor manera de configurar esto en términos de seguridad o si podría mejorar la configuración.

Me preocupa que el servidor ftp sea vulnerado y que las personas puedan acceder al controlador de dominio. Inicialmente planeé tener el servidor ftp independiente en una red separada, pero esto terminaría involucrando un firewall de software para separar las redes y parecía excesivo, solo estoy buscando algunos consejos generales desde el punto de vista de la infraestructura.

Respuesta1

Podrías mejorar la seguridad reemplazándolo con un servidor SFTP o FTPS.

FTP es inseguro porque los datos de inicio de sesión se pasan en texto sin formato. Puede reemplazarlo con un protocolo seguro, o usar solo cuentas que honestamente no le importan si están rotas (como, solo anónimas), o requerir que se haga un túnel a través de IPSec, o limitar las conexiones solo a direcciones IP conocidas (lo cual La seguridad es bastante pobre, pero bueno, haz lo que tengas que hacer).

Estas son sugerencias generales y algunas buenas prácticas. La "mejor manera" y la "seguridad" realmente tienen que tener en cuenta lo que está protegiendo, cuáles son sus requisitos, etc. No nos ha dicho ni uno solo de sus requisitos o limitaciones. Agregue algunos detalles más y es posible que obtenga una respuesta más útil.

/editar: dices

Me preocupa que el servidor ftp sea vulnerado y que las personas puedan acceder al controlador de dominio.

Para que esto suceda, tendría que haber un exploit en el código de filezilla. Dado que es (AFAIK) de código cerrado, podría haber ese tipo de error. [editar: esto es incorrecto, es GPL. No significa que no haya errores en el códice]. Sin embargo, si el proceso (o servicio) se ejecuta como SISTEMA LOCAL, entonces no tiene absolutamente ningún derecho sobre el dominio, por lo que si fuera explotado, todo lo que pueden hacer es eliminar el servidor miembro que ejecuta Filezilla. Por supuesto, les da una cabeza de playa para intentar ataques contra su dominio, pero no les da toda la canasta de picnic de inmediato.

Tenga en cuenta que esto puede suceder con cualquier software, no sólo con FTP. Si permite el acceso desde Internet a una máquina en su LAN y hay un error explotable en el código, tiene un atacante en su LAN.

Si realmente le preocupa, colóquelo en una máquina que no sea de dominio en una DMZ. Dijiste que es mucho trabajo; la seguridad generalmente lo es.

información relacionada