Windows 2003에 filezilla 서버를 사용하는 FTP 서버가 있는데 고정 IP 주소와 도메인 컨트롤러와 동일한 서브넷을 사용하여 도메인에 구성원 서버로 추가되었습니다. FTP 서버에 연결하기 위해 라우터의 특정 포트를 열었습니다. 이것이 보안 측면에서 이를 설정하는 가장 좋은 방법인지 아니면 설정을 개선할 수 있는지 궁금합니다.
FTP 서버가 침해되어 사람들이 도메인 컨트롤러에 액세스할 수 있게 되는 것이 걱정됩니다. 처음에는 FTP 서버를 별도의 네트워크에 독립형으로 두려고 계획했지만 이는 결국 네트워크를 분리하기 위해 소프트웨어 방화벽을 포함하게 되어 과도한 킬처럼 보였습니다. 인프라 관점에서 몇 가지 일반적인 조언을 찾고 있습니다.
답변1
SFTP나 FTPS 서버로 교체하면 보안을 강화할 수 있습니다.
FTP는 로그인 세부 정보가 일반 텍스트로 전달된다는 점에서 안전하지 않습니다. 이를 보안 프로토콜로 대체하거나, 손상되더라도 솔직히 상관하지 않는 계정(예: 익명 전용)만 사용하거나, IPSec를 통해 터널링하도록 요구하거나, 알려진 IP 주소(예: 익명 전용)로만 연결을 제한할 수 있습니다. 보안이 매우 열악하지만 해야 할 일을 하세요.)
다음은 일반적인 제안 사항과 몇 가지 모범 사례입니다. "최선의 방법"과 "보안"은 실제로 무엇을 보호하고 있는지, 요구 사항이 무엇인지 등을 고려해야 합니다. 요구 사항이나 제약 사항 중 단 하나도 알려주지 않았습니다. 좀 더 자세한 내용을 추가하면 더 유용한 답변을 얻을 수 있습니다.
/편집 : 당신이 말하길
FTP 서버가 침해되어 사람들이 도메인 컨트롤러에 액세스할 수 있게 되는 것이 걱정됩니다.
이런 일이 발생하려면 filezilla 코드에 익스플로잇이 있어야 합니다. (AFAIK) 비공개 소스이기 때문에 그런 종류의 버그가 있을 수 있습니다. [편집 - 이것은 잘못된 것입니다. GPL입니다. 코덱에 버그가 없다는 뜻은 아닙니다.] 그러나 프로세스(또는 서비스)가 LOCAL SYSTEM으로 실행 중인 경우 도메인에 대한 권한이 전혀 없으므로 이를 악용한 경우 Filezilla를 실행하는 구성원 서버를 휴지통에 버릴 수 있습니다. 물론 도메인에 대한 공격을 시도할 수 있는 교두보를 제공하지만 즉시 전체 피크닉 바구니를 제공하지는 않습니다.
이는 FTP뿐만 아니라 모든 소프트웨어에서 발생할 수 있다는 점을 명심하세요. LAN에 있는 컴퓨터에 대한 인터넷 액세스를 허용하고 코드에 악용 가능한 버그가 있는 경우 LAN에 공격자가 있는 것입니다.
정말로 걱정된다면 DMZ의 도메인이 아닌 컴퓨터에 두십시오. 당신은 일이 많다고 말했어요. 보안은 일반적으로 그렇습니다.