我有一個在 Windows 2003 上使用 filezilla 伺服器的 ftp 伺服器,它會作為成員伺服器新增到具有靜態 IP 位址和與網域控制器相同的子網路的網域中。我已經打開了路由器上的特定連接埠來存取 ftp 伺服器,我想知道這是否是安全性方面設定的最佳方式,或者我可以改進設定?
我擔心 ftp 伺服器被破壞,然後人們能夠存取網域控制站。我最初計劃讓 ftp 伺服器獨立在一個單獨的網絡上,但這最終會涉及軟體防火牆來分隔網絡,並且看起來有點過頭了,我只是從基礎設施的角度尋找一些一般建議。
答案1
您可以透過將其替換為 SFTP 或 FTPS 伺服器來提高安全性。
FTP 不安全,因為登入詳細資訊以純文字形式傳遞。您可以用安全協定替換它,或者只使用您真心不關心它們是否被破壞的帳戶(例如,僅匿名),或者要求它透過 IPSec 建立隧道,或將連線限制為僅已知的 IP 位址(其中安全性相當差,但是嘿,做你必須做的事。
這些是一般性建議和一些良好做法。 「最佳方式」和「安全性」確實必須考慮到您所保護的內容、您的要求是什麼等等。添加更多詳細信息,您可能會得到更有用的答案。
/編輯:你說
我擔心 ftp 伺服器被破壞,然後人們能夠存取網域控制站。
要發生這種情況,filezilla 程式碼中必須存在漏洞。由於它(據我所知)是閉源的,因此可能存在此類錯誤。 [編輯 - 這是不正確的,它是 GPL。並不表示 codez 中沒有錯誤]。但是,如果進程(或服務)作為本地系統運行,那麼它在網域上絕對沒有任何權限,因此如果它被利用,他們所能做的就是銷毀正在運行 Filezilla 的成員伺服器。當然,它確實為他們提供了嘗試攻擊您的網域的灘頭陣地,但並沒有立即為他們提供整個野餐籃子。
請記住,任何軟體都可能發生這種情況,而不僅僅是 FTP。如果您允許從互聯網訪問 LAN 中的計算機,並且代碼中存在可利用的錯誤,那麼您的 LAN 上就有攻擊者了。
如果您確實擔心它,請將其放在 DMZ 中的非網域電腦上。你說工作量很大;安全性一般。