Melhor maneira de proteger um servidor FTP

Melhor maneira de proteger um servidor FTP

Eu tenho um servidor FTP usando o servidor Filezilla no Windows 2003 e ele é adicionado como um servidor membro ao domínio com um endereço IP estático e a mesma sub-rede do controlador de domínio. Abri as portas específicas do roteador para acessar o servidor ftp, gostaria de saber se essa era a melhor forma de configurar isso em termos de segurança ou se poderia melhorar a configuração?

Estou preocupado com a violação do servidor FTP e com a possibilidade de as pessoas acessarem o controlador de domínio. Inicialmente, planejei ter o servidor FTP independente em uma rede separada, mas isso acabaria envolvendo um firewall de software para separar as redes e parecia um exagero. Estou apenas procurando alguns conselhos gerais do ponto de vista da infraestrutura.

Responder1

Você poderia melhorar a segurança substituindo-o por um servidor SFTP ou FTPS.

O FTP é inseguro, pois os detalhes de login são passados ​​em texto simples. Você pode substituí-lo por um protocolo seguro ou usar apenas contas que você honestamente não se importa se estiverem quebradas (como apenas anônimas) ou exigir que sejam encapsuladas por IPSec ou limitar as conexões apenas a endereços IP conhecidos (que é uma segurança muito ruim, mas ei, faça o que for preciso.)

Estas são sugestões gerais e algumas boas práticas. A "melhor maneira" e a "segurança" realmente precisam levar em consideração o que você está protegendo, quais são seus requisitos, etc. Você não nos contou nenhum de seus requisitos ou restrições. Adicione mais alguns detalhes e você poderá obter uma resposta mais útil.

/editar: Você diz

Estou preocupado com a violação do servidor FTP e com a possibilidade de as pessoas acessarem o controlador de domínio.

Para que isso acontecesse, teria que haver uma exploração no código do filezilla. Como é um código fechado (AFAIK), pode haver esse tipo de bug. [editar - isso está incorreto, é GPL. Não significa que não haja bugs no codez]. No entanto, se o processo (ou serviço) estiver sendo executado como SISTEMA LOCAL, ele não terá absolutamente nenhum direito no domínio; portanto, se for explorado, tudo o que eles poderão fazer é descartar o servidor membro que está executando o Filezilla. É claro que isso lhes dá uma base para tentar ataques contra o seu domínio, mas não lhes dá a cesta de piquenique inteira imediatamente.

Lembre-se de que isso pode acontecer com qualquer software, não apenas com FTP. Se você permitir o acesso da Internet a uma máquina na sua LAN e houver um bug explorável no código, você terá um invasor na sua LAN.

Se você estiver realmente preocupado com isso, coloque-o em uma máquina sem domínio em uma DMZ. Você disse que dá muito trabalho; a segurança geralmente é.

informação relacionada