我有一个ftp服务器在Windows Server 2003上使用filezilla服务器,它作为一个成员服务器添加到域的静态IP地址和域控制器相同的子网。 我已经打开了路由器上的特定端口到达FTP服务器,我想知道是否这是最好的方式来设置安全方面,或者如果我可以改善设置?
我担心ftp服务器被破坏,然后人们可以访问域控制器。 我最初计划在单独的networking上独立运行ftp服务器,但是这最终会涉及一个软件防火墙来分离networking,并且看起来像是在杀人,我只是从基础设施的angular度寻找一些一般的build议。
您可以通过将其replace为SFTP或FTPS服务器来提高安全性。
FTP是不安全的,因为login细节以纯文本forms传递。 你可以用一个安全的协议来replace它,或者只使用你真正不在乎的账户(如匿名账户),或者要求它通过IPSec隧道传输,或者限制连接到已知的IP地址安全性很差,但嘿,做你必须做的。)
这些是一般的build议和一些好的做法。 “最好的方式”和“安全”确实需要考虑到你所要保护的是什么,你的要求是什么等等。你没有告诉我们你的一个要求或限制。 添加更多的细节,你可能会得到更有用的答案。
/编辑:你说
我担心ftp服务器被破坏,然后人们可以访问域控制器。
要发生这种情况,就必须在filezilla的代码中有一个漏洞。 由于它是(AFAIK)封闭的源代码可能有这样的错误。 [编辑 – 这是不正确的,这是GPL。 并不意味着codez中没有错误]。 但是,如果进程(或服务)以LOCAL SYSTEM身份运行,那么它对该域完全没有权限,因此如果被利用,他们所能做的就是垃圾运行Filezilla的成员服务器。 当然,它确实给了他们一个攻击你的领域的滩头,但它并不能立即给他们整个野餐篮子。
请记住,这可能会发生在任何软件,而不仅仅是FTP。 如果您允许从互联网访问局域网中的计算机,并且代码中存在可利用的漏洞,则您的局域网上有攻击者。
如果你真的关心它,那么把它放在DMZ中的非域名机器上。 你说这是很多工作, 安全性一般是。