SFTP: Como manter os dados fora da DMZ

2

Estamos investigando soluções para o seguinte problema:

Temos usuários externos (Internet) que precisam acessar informações confidenciais. Poderíamos oferecer a eles via SFTP, que ofereceria um método de transporte seguro.

No entanto, não queremos manter os dados no servidor, pois eles residiriam na DMZ.

Existe um servidor SFTP que tenha "cópia no acesso" de modo que, se a caixa na DMZ fosse comprometida, nenhum dado real residisse nessa caixa?

Estou prevendo um repasse SFTP Proxy ou SFTP. Esse produto existe atualmente?

    
por ChronoFish 21.09.2010 / 17:44

5 respostas

2

O servidor Globalscape EFT com o gateway DMZ faz exatamente o que você está pedindo

link

    
por 04.01.2011 / 16:11
2

Parece que usar HTTPS em vez de SFTP seria o caminho a percorrer. Execute um proxy HTTP em um servidor DMZ e mantenha os dados em um servidor da Web interno. Se um usuário comprometer o servidor DMZ e obtiver um shell, ele não terá acesso aos dados. Eles descobrirão sobre o proxy, mas se você usar a autenticação básica, eles não poderão acessar os dados.

    
por 22.09.2010 / 00:09
1

Se você quiser transferir dados restritos para a Internet, a solução não é necessariamente dar a eles acesso ao segmento de rede restrito pela Internet. Na verdade, eu seria strongmente desencorajá-lo como você descreveu. O que você pergunta é realmente muito complicado de implementar de maneira responsável.

Por exemplo, você tem dois segmentos de rede. Uma DMZ e uma rede privada. Os bancos de dados residem no servidor privado e os servidores da Web residem no DMZ. Por motivos de segurança, você restringe totalmente o acesso de e para a rede privada usando um firewall. Se a DMZ estiver comprometida e os dados de autenticação forem armazenados no servidor, o cracker poderá acessar os dados restritos.

É aqui que entram os requisitos de criptografia e as técnicas de gerenciamento de chaves, que são examinados dentro do PCI DSS . Se você não tiver uma arquitetura de criptografia avançada, ainda arriscará os dados em caso de comprometimento, mesmo que não esteja armazenado na DMZ.

Você poderia implementar um ETL e agrupar os dados. Muitas vezes, essa solução determina a necessidade de criptografar os dados usando criptografia strong e, em seguida, transferindo por meio de seu protocolo preferido. Depois que os dados são criptografados, os métodos usados para transferi-los podem ser substancialmente mais flexíveis.

Sua situação exata vai ditar quanto esforço é feito para estabelecer uma solução digna de produção. Se você estiver lidando com uma solicitação única, talvez seja melhor satisfazê-la manualmente por meio de uma ferramenta como o GnuPG . Caso contrário, você pode precisar criar, encontrar ou comprar um aplicativo. Uma abordagem que está se tornando mais comum é o uso de um aplicativo da Web para satisfazer os requisitos de segurança, enquanto ainda permite que os dados sejam acessíveis àqueles com menos conhecimento técnico.

    
por 21.09.2010 / 18:10
1

BTW é bastante fácil fazer um proxy SFTP se você não precisar de nenhum recurso além do encaminhamento de porta. Você poderia usar netfilter link , fwtk link ou até mesmo encaminhamento de porta SSH.

    
por 22.09.2010 / 00:16
1

O Jscape tem um proxy reverso de SFTP que deve fazer o que você deseja. Veja o link .

    
por 10.11.2010 / 18:45