Cómo proteger una red (conexiones FTP) de sniffers

Navega tus respuestas
3

Actualmente estoy trabajando en una empresa mediana con problemas de seguridad. Déjame explicarte mi problema:

El contexto:

  • Mi oficina tiene una sola línea de Internet.
  • Cualquier persona en la oficina puede acceder a esta línea a través de WIFI.
  • Mi servidor usa la misma línea en LAN, este servidor debe enviar periódicamente información importante para un servidor distante a través de FTP.

El problema / amenaza:

Me temo que un posible pirata informático podría rastrear mi credencial de FTP y usarla de nuevo para modificar u obtener información importante. Soy consciente de que el protocolo FTP no es seguro porque las credenciales se envían en texto sin formato a través de la red / internet pero no puedo cambiar el protocolo que los servidores están usando en este momento . Sé que SFTP o FTPS serían una mejor manera de cifrar los datos / credenciales.

¿Así que cualquier persona que use la oficina WIFI podrá oler la credencial usando una herramienta como Wireshark?

Posibles soluciones:

  1. Abra una segunda línea de Internet dedicada solo para las personas en el Oficina utilizando WIFI. La primera línea estaría dedicada EXCLUSIVAMENTE a Nuestro sistema / servidor para discutir con nuestro servidor remoto a través de FTP. Por lo tanto Las redes estarían separadas.

  2. Tal vez instale un hardware / firewall en nuestra línea de Internet para asegurar, proteger de la inhalación. Pero honestamente no sé si este tipo de ¿El enrutador / cortafuegos puede hacer el trabajo y protegernos de los sniffers?

Así que aquí están mis preguntas:

  • En primer lugar, ¿dije algo que no tiene sentido?
  • ¿Cuál sería la solución más fácil para evitar que los sniffers obtengan mi credenciales?

Gracias de antemano por cualquier consejo.

    
pregunta HamzStramGram 13.02.2015 - 04:55
fuente

2 respuestas

5

Si entiendo correctamente, tu conexión a la puerta de enlace de Internet está conectada y todos , si no, es WiFi. Si ese es el caso, los usuarios de WiFi no pueden capturar sus credenciales de FTP porque no hay necesidad de que el AP de WiFi los transmita, y no lo hará.

Pero en realidad, la respuesta es convencer a las personas del otro extremo para que reemplacen el FTP con SFTP.

    
respondido por el Bob Brown 13.02.2015 - 05:06
fuente
0

El problema no está solo en su red local. Si está utilizando FTP para transmitir los datos a un servidor remoto, ese tráfico podría ser interceptado en muchos puntos entre usted y el servidor remoto. El problema es que sus credenciales de FTP se envían en texto sin formato. Es cierto que esto sería más fácil de hacer en su red local, pero esa no es su única amenaza. Considere también la amenaza en la red del sitio remoto también.

El grado en que este es un problema con los usuarios en su red wifi local dependerá de varios factores. Sin embargo, parece que su compañía es bastante pequeña y sospecho que su módem ADSL (o lo que sea) y el punto de acceso WiFi son el mismo equipo y probablemente del tipo SOHO, lo que significa que la seguridad es probablemente bastante mala. Normalmente, si tiene más equipos empresariales y un punto de acceso separado, puede tener más control o aislamiento sobre lo que los usuarios de wifi pueden ver en su red LAN. Sin embargo, con las soluciones combinadas de punto de acceso y módem SOHO, es probable que este no sea el caso y los usuarios de wifi podrán detectar fácilmente su tráfico de LAN y WLAN.

La solución real es simplemente no usar FTP. Sin embargo, si no puede cambiar esto, puede configurar un túnel SSH y reenviar sus conexiones FTP a través de ese túnel. Si eso no es posible, entonces debe considerar otras formas de reducir el riesgo. por ejemplo, cifrando los datos que envía y cambiando sus credenciales de FTP de forma regular. Sin embargo, esta no es una buena forma de proceder: realmente necesita que la compañía cambie su proceso. Si no puede, asegúrese de articular claramente el riesgo y deje que el ejecutivo apruebe (acepte) ese riesgo. A veces eso es todo lo que podemos hacer. Siempre que comunique claramente el riesgo de una manera precisa, ha hecho su trabajo. La gerencia puede decidir aceptar cualquier nivel de riesgo, pero la decisión debe basarse en información completa y precisa.

    
respondido por el Tim X 13.02.2015 - 07:57
fuente

Lea otras preguntas en las etiquetas

Modelo de seguridad para centros de datos ¿Puede CA emitir un certificado sin CSR?