Лучший способ защитить FTP-сервер

Лучший способ защитить FTP-сервер

У меня есть ftp-сервер, использующий сервер Filezilla на Windows 2003, и он добавлен в качестве сервера-члена домена со статическим IP-адресом и той же подсетью, что и контроллер домена. Я открыл определенные порты на маршрутизаторе, чтобы получить доступ к ftp-серверу, я задался вопросом, является ли это лучшим способом настройки с точки зрения безопасности или я мог бы улучшить настройку?

Я обеспокоен тем, что ftp-сервер будет взломан, и люди смогут получить доступ к контроллеру домена. Изначально я планировал сделать ftp-сервер автономным в отдельной сети, но это в конечном итоге потребовало бы программного брандмауэра для разделения сетей и показалось бы излишним, я просто ищу общие советы с точки зрения инфраструктуры.

решение1

Вы можете повысить безопасность, заменив его сервером SFTP или FTPS.

FTP небезопасен, поскольку данные для входа передаются в виде простого текста. Вы можете заменить его безопасным протоколом или использовать только те учетные записи, которые вам, честно говоря, неважно, взломаны ли они (например, только анонимные), или потребовать туннелирования через IPSec, или ограничить соединения только известными IP-адресами (что довольно плохо с точки зрения безопасности, но, эй, делайте то, что должны).

Это общие предложения и некоторые хорошие практики. «Лучший способ» и «безопасность» действительно должны учитывать то, что вы защищаете, каковы ваши требования и т. д. Вы не сообщили нам ни одного из ваших требований или ограничений. Добавьте больше подробностей, и вы, возможно, получите более полезный ответ.

/редактировать: Вы говорите

Я обеспокоен тем, что FTP-сервер может быть взломан, и тогда кто-то сможет получить доступ к контроллеру домена.

Чтобы это произошло, в коде Filezilla должен быть эксплойт. Поскольку это (AFAIK) закрытый исходный код, может быть такая ошибка. [править - это неверно, это GPL. Это не значит, что в коде нет ошибок]. Однако, если процесс (или служба) работает как ЛОКАЛЬНАЯ СИСТЕМА, то у него нет абсолютно никаких прав на домен, поэтому, если бы он был использован, все, что они могли бы сделать, это уничтожить сервер-участник, на котором запущен Filezilla. Конечно, это дает им плацдарм для попыток атак на ваш домен, но это не дает им сразу всю корзину для пикника.

Имейте в виду, что это может произойти с любым программным обеспечением, не только с FTP. Если вы разрешаете доступ из интернета к машине в вашей локальной сети, и в коде есть эксплуатируемая ошибка, то в вашей локальной сети есть злоумышленник.

Если вас это действительно беспокоит, то поместите его на машину без домена в DMZ. Вы сказали, что это много работы; безопасность обычно такова.

Связанный контент