У меня есть ftp-сервер, использующий сервер filezilla в Windows 2003, и он добавлен в качестве рядового сервера в домен со статическим IP-адресом и той же подсетью, что и контроллер домена. Я открыл определенные порты на маршрутизаторе, чтобы подключиться к ftp-серверу, мне было интересно, был ли это лучший способ настроить это с точки зрения безопасности или я мог бы улучшить настройку?
Меня беспокоит, что ftp-сервер будет взломан и люди смогут получить доступ к контроллеру домена. Первоначально я планировал использовать автономный ftp-сервер в отдельной сети, но в конечном итоге это потребовало бы использования программного брандмауэра для разделения сетей, и казалось, что это было бы излишним, я просто ищу несколько общих советов с точки зрения инфраструктуры.
Вы можете повысить безопасность, заменив его сервером SFTP или FTPS.
FTP небезопасен, поскольку данные для входа передаются в виде обычного текста. Вы можете заменить его на безопасный протокол или использовать только те учетные записи, которые вам, честно говоря, не нужны, если они сломаны (например, только анонимные), или потребовать туннелирование через IPSec, или ограничить подключения только известными IP-адресами (которые это довольно слабая защита, но делайте то, что должны.)
Это общие предложения и некоторые передовые практики. «Лучший способ» и «безопасность» действительно должны учитывать то, что вы защищаете, каковы ваши требования и т. Д. Вы не сообщили нам ни одного из ваших требований или ограничений. Добавьте еще несколько деталей, и вы можете получить более полезный ответ.
/ edit: Вы говорите
Меня беспокоит, что ftp-сервер будет взломан и люди смогут получить доступ к контроллеру домена.
Чтобы это произошло, в коде filezilla должен быть эксплойт. Поскольку это (AFAIK) закрытый исходный код, может быть такая ошибка. [редактировать - это неверно, это GPL. Это не значит, что в коде нет ошибок]. Однако, если процесс (или служба) работает как ЛОКАЛЬНАЯ СИСТЕМА, то он не имеет абсолютно никаких прав в домене, поэтому в случае его использования все, что они могут сделать, это удалить рядовой сервер, на котором работает Filezilla. Конечно, это дает им плацдарм для атаки на ваш домен, но не дает им сразу всю корзину для пикника.
Имейте в виду, что это может произойти с любым программным обеспечением, а не только с FTP. Если вы разрешаете доступ из Интернета к компьютеру в вашей локальной сети, а в коде есть уязвимая ошибка, значит, в вашей локальной сети есть злоумышленник.
Если вас это действительно беспокоит, поместите его на компьютер, не являющийся доменом, в DMZ. Вы сказали, что это большая работа; безопасность вообще есть.