我在 Windows 2003 上使用 filezilla 服务器建立了一个 ftp 服务器,并将其作为成员服务器添加到域中,该服务器具有静态 IP 地址,子网与域控制器相同。我已打开路由器上的特定端口以访问 ftp 服务器,我想知道从安全性角度而言,这是否是最佳设置方式,或者我是否可以改进设置?
我担心 ftp 服务器被攻破,然后人们就能访问域控制器。我最初计划将 ftp 服务器独立放置在单独的网络上,但这最终会涉及软件防火墙来隔离网络,这似乎有点过头了,我只是从基础设施的角度寻求一些一般性建议。
答案1
您可以通过将其替换为 SFTP 或 FTPS 服务器来提高安全性。
FTP 不安全,因为登录详细信息以纯文本形式传递。您可以用安全协议替换它,或者只使用您真的不在乎它们是否损坏的帐户(例如,仅限匿名),或者要求它通过 IPSec 进行隧道传输,或者将连接限制为仅已知 IP 地址(这非常不安全,但是,嘿,做你必须做的事情。)
这些是一般性建议和一些良好做法。“最佳方式”和“安全性”确实必须考虑到您要保护的内容、您的要求等。您没有告诉我们您的任何要求或限制。添加更多详细信息,您可能会得到更有用的答案。
/编辑:你说
我担心 FTP 服务器被攻破,然后人们就能访问域控制器。
要做到这一点,filezilla 的代码中必须存在漏洞。由于它是(据我所知)闭源的,因此可能存在这种错误。[编辑 - 这是不正确的,它是 GPL。并不意味着代码中没有错误]。但是,如果进程(或服务)以本地系统身份运行,则它在域中绝对没有任何权限,因此如果被利用,他们所能做的就是破坏运行 Filezilla 的成员服务器。当然,这确实为他们提供了一个尝试攻击您的域的滩头阵地,但这并不能立即让他们获得整个野餐篮。
请记住,这种情况可能发生在任何软件上,而不仅仅是 FTP。如果您允许从互联网访问 LAN 中的某台机器,并且代码中存在可利用的错误,则您的 LAN 上就有攻击者。
如果您真的担心,那么请将其放在 DMZ 中的非域机器上。您说这需要大量工作;安全通常也是如此。