Zdravim všechny ;)
Zrovna řeším zabezpečení FTP serveru, respektive rozjíždim testovací stroj a mám dotaz ohledně zabezečení FTP. Pročítal jsem různe diskuze a fóra, ale nic moc jsem nenašel. Jakým způsobem je možné zabezpečit co nejvíce Windows 2k3 Web Edition server, na kterém běží jen FTP? Mám na mysli nějaké "vychytávky". Neřeším zabezpečení na úrovní sítě (aktivní prvky, firewall, atd.) a VPNku.
O povoleni/zákazu přístupu v nastavení FTP (granted/denied access) samozřejmě vím a využívání jiného portu než standardního 21 nepřipadá v úvahu.
Díky za nápada, postřehy a jiné :)
--
Weeman
Zrovna řeším zabezpečení FTP serveru, respektive rozjíždim testovací stroj a mám dotaz ohledně zabezečení FTP. Pročítal jsem různe diskuze a fóra, ale nic moc jsem nenašel. Jakým způsobem je možné zabezpečit co nejvíce Windows 2k3 Web Edition server, na kterém běží jen FTP? Mám na mysli nějaké "vychytávky". Neřeším zabezpečení na úrovní sítě (aktivní prvky, firewall, atd.) a VPNku.
O povoleni/zákazu přístupu v nastavení FTP (granted/denied access) samozřejmě vím a využívání jiného portu než standardního 21 nepřipadá v úvahu.
Díky za nápada, postřehy a jiné :)
--
Weeman
Zdravím,
Přečetl jsem si tvojí PM plus tehnle post a přemýšlím jak ještě víc by to šlo když neberu v úvahu firewall rules, VPN .. napadlo mě určitě zakázání anonymního přístupu v MMC FTP a pohrát si s právy uživatelů.
Osobně si myslím, že v rámci IIS FTP, které tam je nemá "široké" možnosti bezpečnostních konfigurací. Je to prostě dodáváný "basic" nástroj ke správě webů a dat, které jsou v IIS. Proto bych i klidně sáhnul po CerberusFTP či jiném FTP serveru, které je některé jsou placené některé ne.
A dovolím si takový malý offtopic. Protokol FTP a SFTP jsou dle mě velmi málo bezpečné protokoly. Osobně preferuji (v Linuxu) SCP pro přenos dat se zabezpečením a musím uznat, že tato varianta je mnohem bezpečnější v případě přenášení důležitých dat.
Howk.
Přečetl jsem si tvojí PM plus tehnle post a přemýšlím jak ještě víc by to šlo když neberu v úvahu firewall rules, VPN .. napadlo mě určitě zakázání anonymního přístupu v MMC FTP a pohrát si s právy uživatelů.
Osobně si myslím, že v rámci IIS FTP, které tam je nemá "široké" možnosti bezpečnostních konfigurací. Je to prostě dodáváný "basic" nástroj ke správě webů a dat, které jsou v IIS. Proto bych i klidně sáhnul po CerberusFTP či jiném FTP serveru, které je některé jsou placené některé ne.
A dovolím si takový malý offtopic. Protokol FTP a SFTP jsou dle mě velmi málo bezpečné protokoly. Osobně preferuji (v Linuxu) SCP pro přenos dat se zabezpečením a musím uznat, že tato varianta je mnohem bezpečnější v případě přenášení důležitých dat.
Howk.
Diky za postrehy ;) Bohuzel v ramci firmy jsou urcite standardy a pravidla, ktere musim v tomto pripade dodrzet a priznam se, ze v tomto pripade nemam moc moznosti nejake "nadstavby" v podobe Cerbera atd. Anonymita je samozrejme zakazana a prava uzivatelu jsou do posledniho detailu vysperkovana ;) Samozrejme muj dotaz byl k vuli tomu, ze uceny z nebe nespadl a vsichni nezname vsechno, tak abych doplnil znalosti :)
K bezpecnosti: ono teda FTP je jedno z nejhorsich co se tyce zabezpeceni, ale kdyz se pouzivaji certifikaty, tak je to v poradku celkem.
--
Weeman
K bezpecnosti: ono teda FTP je jedno z nejhorsich co se tyce zabezpeceni, ale kdyz se pouzivaji certifikaty, tak je to v poradku celkem.
--
Weeman
Jak to myslíš s použitím certifikátů? Ono FTP něco takovýho umí?
Jinak FTP imho z principu zabezpečit nejde - plaintext heslo poslat prostě musíš. Jediný, co jde je vynucovat lidem silný hesla, ale to určitě děláte. No a pak další bezpečnostní fíčura je mít jiný heslo pro FTP a jiný pro přihlášení do sítě - ale to je dost velkej opruz.
Jinak FTP imho z principu zabezpečit nejde - plaintext heslo poslat prostě musíš. Jediný, co jde je vynucovat lidem silný hesla, ale to určitě děláte. No a pak další bezpečnostní fíčura je mít jiný heslo pro FTP a jiný pro přihlášení do sítě - ale to je dost velkej opruz.
[quote=Logout;358223]Jak to myslíš s použitím certifikátů? Ono FTP něco takovýho umí?[/quote]
Sorry, chyba mezi klavesnici a zidli :)
NE certifikaty samozrejme, ale jednotlive soubory, ktere se prenaseji mezi servery se sifruji a nasleduje klasicka vymena klicu. Takze kdyz ti MiM (man in the middle :D)odchytne soubor tak mu je to platny jak mrtvemu zimnik.
[quote=Logout;358223]Jinak FTP imho z principu zabezpečit nejde - plaintext heslo poslat prostě musíš. Jediný, co jde je vynucovat lidem silný hesla, ale to určitě děláte. No a pak další bezpečnostní fíčura je mít jiný heslo pro FTP a jiný pro přihlášení do sítě - ale to je dost velkej opruz.[/quote]
Jinak server je urcen jen pro FTP.
Myslim, ze tady uz se nic nevymysli asi. Dekuji za prispevky a rady a napady ;) Muzeme, ale diskutovat klidne dal :D
Sorry, chyba mezi klavesnici a zidli :)
NE certifikaty samozrejme, ale jednotlive soubory, ktere se prenaseji mezi servery se sifruji a nasleduje klasicka vymena klicu. Takze kdyz ti MiM (man in the middle :D)odchytne soubor tak mu je to platny jak mrtvemu zimnik.
[quote=Logout;358223]Jinak FTP imho z principu zabezpečit nejde - plaintext heslo poslat prostě musíš. Jediný, co jde je vynucovat lidem silný hesla, ale to určitě děláte. No a pak další bezpečnostní fíčura je mít jiný heslo pro FTP a jiný pro přihlášení do sítě - ale to je dost velkej opruz.[/quote]
Jinak server je urcen jen pro FTP.
Myslim, ze tady uz se nic nevymysli asi. Dekuji za prispevky a rady a napady ;) Muzeme, ale diskutovat klidne dal :D