Best practice per l'apertura selettiva di porte sul gateway di rete

0

La nostra rete è attualmente isolata dall'esterno da una scatola Linux, con iptables e Squid per controllare l'accesso al web.

Per impostazione predefinita, neghiamo tutto il traffico in uscita da tutti gli IP, per forzare il traffico Web attraverso il proxy e neghiamo il resto. Tuttavia, dobbiamo consentire l'FTP per alcuni utenti ma non tutti.

L'amministratore precedente utilizzato per aggiungere manualmente le voci corrispondenti per quelle che sono consentite per FTP nella tabella di routing, tuttavia, mentre riceviamo sempre più richieste di FTP da parte della rete, mi chiedevo se non sarebbe essere più facile da forzare il traffico FTP attraverso il proxy e gestire gli utenti che sono autorizzati a eseguire l'FTP tramite gli ACL del proxy?

Sarebbe considerato meno sicuro della gestione manuale degli IP consentiti (che a mio avviso è semplicemente stupido dato che il vecchio amministratore regolarmente dimenticava di rimuovere i percorsi appropriati quando le persone lasciavano la società e gli IP erano riassegnatori ...)?

    
posta T. Fabre 02.04.2012 - 13:33
fonte

1 risposta

1

Se il proxy è abbastanza buono per il tuo traffico HTTP, allora dovrebbe essere abbastanza buono per il tuo traffico FTP.

In teoria rendere un sistema più facile da amministrare non dovrebbe renderlo più sicuro, dal momento che dovresti svolgere correttamente le orribili attività amministrative esistenti. Ma come sottolinei, nel mondo reale, più è facile rimanere in politica più è probabile che tu rimanga nella politica.

(Un piccolo avvertimento: mentre ogni web browser è davvero facile da configurare per usare un server proxy, ho trovato che alcuni client ftp sono molto più fiddler.)

    
risposta data 02.04.2012 - 13:54
fonte

Leggi altre domande sui tag