Si se le obliga a descargar archivos mediante FTP, ¿qué pasos se pueden tomar para brindar seguridad?

6

Estoy en una situación en la que debo acceder a los datos a través de FTP de forma regular (por motivos de discusión, actualizados cada 10 minutos). Ningún otro protocolo está disponible para esta operación. Estos datos se deben poner en un recurso compartido de red. No quiero conectarme directamente desde un recurso compartido de red importante a otro servidor a través de FTP. Los datos en sí y el nombre de usuario / contraseña no son confidenciales desde mi perspectiva, ya que son proporcionados por la organización del servidor. Estoy más preocupado por los ataques Man-in-the-Middle, las inyecciones de código o archivo y el reconocimiento de redes.

Tengo dos soluciones propuestas. Cualquier comentario o referencia a la literatura sobre estas soluciones se agradecería, así como una respuesta directa:

  • Local: tener un servidor particionado de la red para manejar la transferencia de datos. Realice las comprobaciones (automatizadas, como análisis de virus, manuales como la inspección de archivos del usuario o ambos) antes de pasarlo a la red. Evita que el servidor dedicado pueda acceder a la red.
  • Commerical: use un producto MFT. Muchos de estos productos pretenden proporcionar seguridad adicional a FTP. Estoy luchando para encontrar información de terceros / análisis de estos productos sin embargo.

Gracias

    
pregunta Stringers 01.05.2017 - 07:41
fuente

1 respuesta

3

Configure su propio servidor (A) en un enclave seguro aislado. Solo permita que este sistema acceda a la dirección IP del servidor de FTP remoto (FTP) y nada más. Si el proveedor que ejecuta el servidor de FTP también puede restringir el acceso a su IP, sería ideal.

Luego, haga que su sistema interno (B) se conecte a este servidor a través de una regla de firewall de una sola vía utilizando algo como Secure Shell.

(FTP) <-------(FW)<---(A)<---(FW)<---(B)

      (A) Polls the (FTP) server every 10 minutes via script
      (B) Polls the (A) server every 10 minutes via script with a 5 min offset.

Nota: (FW) puede ser el mismo Firewall pero una tercera interfaz de red

(FTP) <-----(FW)--(B)
             |
            (A)

Lo importante es asegurarse de que (A) no pueda acceder (B) o cualquier otra cosa en sus redes internas. Idealmente, nada más en el mundo que no sea el servidor FTP. Es posible que también desee que (B) ejecute pruebas en los archivos de (A) antes de importarlos. También hay trucos con el uso de dos directorios en (A) para archivos escaneados y no escaneados donde los archivos se escanean tan pronto como se completa el FTP GET. Muchas opciones con esta arquitectura.

Nota final: algunos proveedores usan FTP porque no saben cómo usar SFTP desde el sistema que están usando (lo más notable es que esto ocurre con AS / 400). Es posible tener el AS / 400 FTP los archivos en una dirección de bucle invertido (127.0.0.1) y luego acceder a ellos a través de SFTP. Esto es MUCHO más seguro que usar FTP directamente. Del mismo modo, puede hacer que el proveedor haga lo contrario a lo que escribí anteriormente para enviar estos archivos a un servidor SFTP en su extremo en lugar de obligarlo a usar FTP en absoluto.

Alternativamente, puede ejecutar el FTP a través de una VPN que solo permite que su organización inicie conexiones con el proveedor remoto, pero no les permite acceder a su red.

    
respondido por el Trey Blalock 01.05.2017 - 08:52
fuente

Lea otras preguntas en las etiquetas