Como impor conexões FTP seguras (a um servidor que permita segurança e não segura)

Navegue suas respostas
2

Estou projetando um processo para os usuários finais fazerem o upload de arquivos para um servidor FTP. O requisito crítico é garantir que a conexão com o servidor seja segura.

Eu sei que é possível para muitos aplicativos cliente FTP criar uma conexão FTP segura (por exemplo, FTPES ou SFTP - e sim, o servidor FTP suporta estes), mas é uma configuração opcional no cliente. Em outras palavras, podemos solicitar que as pessoas criem conexões FTP seguras, mas não podemos forçá-las a fazê-lo.

Devo mencionar aqui que o servidor FTP pertence a um provedor de terceiros e, se houver configurações do servidor para impor conexões FTPES ou SFTP, não poderemos ativá-las.

Então, a questão é - existe uma maneira de impor conexões FTP seguras? Aqui estão algumas especulações:

  1. Talvez exista um cliente FTP que força uma conexão FTP segura a ser usada e digo aos usuários finais que esse é o único cliente que eles podem usar. Isso é um pouco idiota!

  2. Talvez exista um cliente FTP que possa obter seus detalhes de conexão FTP (url, protocolo e login) de um servidor remoto (ou seja, um servidor que eu controle) e, portanto, posso ditá-los e o usuário final nunca os verá .

  3. Talvez eu pudesse estabelecer algum tipo de conexão "2 hop", onde o usuário inicialmente se conecta a um servidor que eu controle que requer uma conexão segura, mas (de forma transparente para o usuário) a conexão é realmente redirecionada para o servidor FTP real .

por Laurence 13.01.2010 / 14:39

6 respostas

2

Sua terceira ideia parece mais promissora: considere um servidor proxy FTP . Seus usuários se conectam ao proxy com os requisitos de conexão que você definiu, como criptografia, e o servidor proxy se conecta ao servidor de destino com os parâmetros que você configura.

A menos que você possa aplicar ou auditar uma política, não será possível fazer com que os usuários a sigam. E uma estrutura de segurança é tão strong quanto seu elo mais fraco.

O cenário parece estranho para mim - você tem um requisito de confidencialidade, a ser cumprido criptografando o tráfego de dados, mas está trabalhando com um terceiro que não atende a esse requisito. Talvez seja necessário executar o problema no polo de sinalização de gerenciamento também.

    
por 14.01.2010 / 08:47
1

Uma possível abordagem - configure seu próprio servidor para que eles salvem internamente as coisas e, em seguida, configure um script para espelhar os dados para o site remoto. Isso significa que você está assumindo a responsabilidade de transferir os dados com segurança em horários definidos, em vez de deixá-los ao usuário (o que pode até eliminar algumas dores de cabeça, a menos que você precise de dados no servidor remoto disponíveis imediatamente).

A menos que o servidor possa ser configurado para permitir apenas conexões seguras, não sei de nenhuma maneira de realmente ter 100% de certeza de que os usuários estão fazendo o que deveriam fazer, e você já disse que não pode reconfigurar o servidor de terceiros.

Outro bônus para essa abordagem é que você tem um tipo de "backup" dos dados do FTP e pode obter acesso mais rápido localmente aos dados, em vez de acessar os webbertubes para acessá-los. Pode economizar em sua largura de banda com este "proxy ftp".

Se você quiser aprofundar ainda mais, pode até ter um procedimento em que o servidor tenha um script que pode ser acionado pelos usuários para fazer o upload para o site remoto ou talvez haja um cron job que possa simplesmente verificar a cada cinco minutos para alterações de arquivo em um diretório de upload que acionará o processo de upload para o site remoto.

    
por 13.01.2010 / 14:58
0

Eu acho que apenas a abordagem multi-hop vai realmente funcionar.

Talvez você possa fazer o firewall do servidor, para que ele não aceite conexões na porta ftp padrão?

    
por 13.01.2010 / 14:44
0

Compre uma máquina virtual em algum lugar longe da sua largura de banda / armazenamento e faça o que o Bart sugere.

(Por sftp, eu suponho que você esteja falando do sftp relacionado ao ssh.)

    
por 13.01.2010 / 15:33
0

Você pode forçá-los a usar uma conexão segura se você permitir apenas conexões seguras ao servidor. Se eles não usarem uma conexão segura, eles não poderão entrar, ligar para você, avisá-los para configurar o cliente FTP para usar uma conexão segura. Problema resolvido.

    
por 13.01.2010 / 15:50
0

Eu assumo, particularmente desde que você está se referindo a um servidor ftp de terceiros, que os serviços ftp e sftp estão rodando em suas respectivas portas padrão, que são diferentes. Você é capaz de configurar seus firewalls para parar conexões FTP a esse servidor, mas permitir transferências sftp / ssh?

    
por 13.01.2010 / 15:52

Tags

Ambiente de rede com o VMware Posso instalar o MS SQL Server Express 2008 na mesma caixa que o MS SQL Server 2008?