Mejores prácticas para la apertura selectiva de puertos en la puerta de enlace de la red

0

Nuestra red está actualmente aislada del exterior por un cuadro de Linux, ejecutando iptables y Squid para controlar el acceso web.

Por defecto, negamos todo el tráfico saliente de todas las IP, para forzar el tráfico web a través del proxy y negamos el resto. Sin embargo, debemos permitir FTP para algunos usuarios pero no todos.

El administrador anterior solía agregar manualmente las entradas correspondientes para aquellos que tienen permiso para FTP en la tabla de enrutamiento, sin embargo, a medida que recibimos cada vez más solicitudes de personas para FTP fuera de la red, me preguntaba si no sería así. ¿Será más fácil forzar el tráfico de FTP a través del proxy y administrar a los usuarios que pueden realizar FTP a través de las ACL del proxy?

¿Se consideraría menos seguro que la administración manual de las IP permitidas (lo que, en mi opinión, es estúpido ya que el administrador anterior se olvidó regularmente de eliminar las rutas apropiadas cuando las personas que abandonaron la empresa y las IP fueron reasignadas ...)?

    
pregunta T. Fabre 02.04.2012 - 13:33
fuente

1 respuesta

1

Si el proxy es lo suficientemente bueno para su tráfico HTTP, entonces debería ser lo suficientemente bueno para su tráfico FTP.

En teoría, hacer que un sistema sea más fácil de administrar no debería hacerlo más seguro, ya que deberías estar haciendo las tareas de administración existentes y horribles correctamente. Pero como señala, en el mundo real, cuanto más fácil sea mantenerse en la política, más probabilidades tendrá de permanecer en la política.

(Una pequeña advertencia: aunque cada navegador web es realmente fácil de configurar para usar un servidor proxy, he descubierto que algunos clientes ftp son mucho más fiddlier).

    
respondido por el Graham Hill 02.04.2012 - 13:54
fuente

Lea otras preguntas en las etiquetas