Se sono obbligati a scaricare file usando FTP, quali passi si possono intraprendere per fornire sicurezza?

6

Sono in una situazione in cui devo accedere regolarmente ai dati via FTP (per motivi di discussione, aggiornato ogni 10 minuti). Nessun altro protocollo è disponibile per questa operazione. Questi dati devono essere inseriti in una condivisione di rete. Non voglio collegarmi direttamente da una condivisione di rete importante a un altro server tramite FTP. I dati stessi e il nome utente / password non sono sensibili dal mio punto di vista in quanto forniti dall'organizzazione del server. Sono più preoccupato per gli attacchi Man-in-the-Middle, per le iniezioni di codice o file e per la ricognizione di rete.

Ho due soluzioni proposte. Qualsiasi feedback o riferimento alla letteratura su queste soluzioni sarebbe apprezzato così come una risposta diretta:

  • Locale: avere un server partizionato dalla rete per gestire il trasferimento dei dati. Eseguire i controlli (automatizzati come scansioni di virus, manuali come l'ispezione dei file utente o entrambi) prima di spostarli sulla rete. Impedisci al server dedicato di accedere alla rete.
  • Commerical: utilizza un prodotto MFT. Molti di questi prodotti affermano di fornire ulteriore sicurezza su FTP. Tuttavia, sto cercando di trovare informazioni / analisi di terze parti su questi prodotti.

Grazie

    
posta Stringers 01.05.2017 - 07:41
fonte

1 risposta

3

Imposta il tuo server (A) in un'enclave protetta isolata. Consenti solo a questo sistema di accedere all'indirizzo IP del server FTP remoto (FTP) e nient'altro. Se il venditore che esegue il server FTP può limitare l'accesso solo al tuo IP, sarebbe l'ideale.

Quindi connetti il tuo sistema interno (B) a questo server tramite una regola firewall unidirezionale usando qualcosa come Secure Shell.

(FTP) <-------(FW)<---(A)<---(FW)<---(B)

      (A) Polls the (FTP) server every 10 minutes via script
      (B) Polls the (A) server every 10 minutes via script with a 5 min offset.

Nota: il (FW) potrebbe essere lo stesso Firewall ma una terza interfaccia di rete

(FTP) <-----(FW)--(B)
             |
            (A)

L'importante è assicurarsi che (A) non possa accedere (B) o altro alle reti interne. Idealmente nient'altro al mondo se non il server FTP. Potrebbe anche essere necessario (B) eseguire test sui file da (A) prima di importarli. Ci sono anche trucchi con l'utilizzo di due directory su (A) per i file scansiti e non scansionati in cui i file vengono scansionati non appena viene completato il GET FTP. Molte opzioni con questa architettura.

Nota finale: alcuni fornitori utilizzano FTP perché non sanno come utilizzare SFTP dal sistema che stanno utilizzando (in particolare ciò si verifica con gli AS / 400). È possibile avere l'AS / 400 FTP i file in un indirizzo di loopback su se stesso (127.0.0.1), quindi è possibile accedervi tramite SFTP. Questo è MOLTO più sicuro dell'uso diretto di FTP. Allo stesso modo, puoi fare in modo che il venditore esegua il contrario di ciò che ho scritto sopra per inviare questi file a un server SFTP sulla loro estremità invece di forzarti a utilizzare l'FTP.

In alternativa, puoi eseguire l'FTP tramite una VPN che consente alla tua organizzazione di iniziare le connessioni al venditore remoto senza consentire loro di accedere alla rete.

    
risposta data 01.05.2017 - 08:52
fonte

Leggi altre domande sui tag