SFTP en Windows: ¿es probable que esté deshabilitado?

Navega tus respuestas
4

Soy un ingeniero de software y mantengo un producto que le permite a un usuario ejecutar comandos y scripts en servidores Linux a través de una conexión SSH. Ahora necesitamos extender esta funcionalidad a Windows.

Tenemos una solución que funciona, usando freeSSHd en el servidor de Windows. Podemos conectarnos a través de SSH y ejecutar comandos. Para permitirnos ejecutar scripts, necesitamos transferir el script desde el servidor web de Linux al servidor de Windows a través de SFTP. Luego, eliminamos el script una vez que se ha ejecutado y tenemos el resultado.

Mi pregunta es simple: no estoy familiarizado con SSH en Windows y me pregunto si un usuario tiene SSH configurado, qué tan probable es que tengan el SFTP deshabilitado. Soy consciente de que SSH no es estándar en Windows y que un usuario necesitaría instalar su propio servidor SSH (freeSSHd en mi caso). También soy consciente de que SFTP es un "subconjunto" de SSH y usa el mismo puerto con las mismas credenciales. Lo que me preocupa es que un usuario podría negarse a habilitar SFTP (a pesar de tener SSH habilitado), lo que significa que nuestra "solución" no funcionará.

Básicamente, ¿hay un precedente o estándar de seguridad aceptado en Windows que significaría que un usuario se negaría a habilitar SFTP por alguna razón válida y tangible, o es el hecho de que SSH está habilitado lo suficiente como para suponer que no habrá problemas? habilitando SFTP? ¿Hay algo que daría a un usuario motivos para negarse a habilitar SFTP a pesar de tener instalado y habilitado SSH?     

pregunta Jeedee 03.07.2015 - 19:31
fuente

3 respuestas

9

Debido a que SFTP se ejecuta sobre el mismo protocolo que SSH, no hay una razón técnica válida para negarse a habilitar SFTP.

Dicho esto, puede haber políticas de la compañía que eviten esto. Hay una gran diferencia entre una conexión SSH para emitir comandos y un SFTP para transferir archivos. Una empresa puede aceptar el riesgo de permitir que una cuenta aprobada acceda a otra máquina, pero puede obstaculizar la transferencia de datos.

Entonces, técnicamente, el riesgo es el mismo. Funcionalmente, hay una gran diferencia y una organización puede tener una política en contra.

Este es el caso en un área de mi organización. Permitimos SSH a algunos servidores, pero no hay transferencia de datos hacia / desde esos servidores y tenemos monitoreo para asegurar que el flujo de tráfico se mantenga por debajo de un cierto umbral. Por supuesto, es un caso especial, pero hay precedentes.

    
respondido por el schroeder 03.07.2015 - 19:50
fuente
3

Microsoft espera incorporar SSH:
enlace

Sin embargo, eso se ha intentado antes y luego cayó en el camino.

En cuanto a su pregunta, no hay una razón estándar o primordial por la cual un usuario pueda habilitar SSH pero deshabilitar SFTP, pero siempre puede haber alguna razón para hacerlo. Por ejemplo, aunque implementado en Unix no en Windows, recientemente deshabilité el SFTP predeterminado en un servidor para instalar proftpd. ¿Por qué? Para poder controlar mejor el acceso y la seguridad de lo que los usuarios pueden hacer y escuchar en un puerto diferente. Así que SSH sigue funcionando como siempre, simplemente he redirigido el acceso a SFTP a otros lugares.

Por lo tanto, podría encontrar que alguien tiene algún tipo de razón específica para cambiar su configuración, pero espero que esas sean las excepciones, no la regla.

    
respondido por el MeepMeep 03.07.2015 - 20:35
fuente
0

SFTP y otras soluciones SSH no son estándar en Windows principalmente porque no están estandarizadas y documentadas adecuadamente en RFC. Microsoft proporciona el mínimo indispensable para habilitar SSH. Dicho esto, no tuve problemas para usarlo con las utilidades de Penix portadas compiladas con Cygwin. Simplemente no espere que llegue al marco de desarrollo oficial de Microsoft.

El modelo de seguridad de Windows es que los usuarios / administradores pueden ejecutar el software que necesitan. Ni las políticas ni las limitaciones técnicas impedirán el uso de SFTP.

    
respondido por el user94592 03.07.2015 - 20:16
fuente

Lea otras preguntas en las etiquetas

¿Confundiendo identificaciones para mayor seguridad en DB? ¿Cómo se maneja el HSTS en los subdominios?