Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

  • de echte flush
  • Registratie: September 2007
  • Laatst online: 28-11 20:33
Hey allen,

Even jullie expertise raadplegen om tot een gemakkelijke en deftige oplossing te komen :)

Probleem:
Vrij grote organisatie met een FTP server waar partners bestanden plaatsen.
Huidige FTP server is door een voorganger gewoon in het normale server park (en domain) geplaatst (security!)
bij hack --> ftp server kan rechtstreeks aan enkele andere productie servers in die vlan, ... ik denk er liever niet verder aan.

Ik ben nu het volgende aan het opzetten:
sFTP server in DMZ zone (sFTP gemakkelijk i.v.m. firwall ports en security, geen kwetsbare poorten tijdens transfer en geen clear text).
Firewall regels:
out --> IN: poort x (geen 22) naar ftp server allowed. IPS profile en AV scanning + enkel partner IP's allowed.


De FTP server zit gelukkig niet meer in het domain maar de gebruikers moeten gemakkelijk toegang hebben tot de files hier kom ik volgend probleem tegen:
- Op één van de interne fileservers heb ik een share gemaakt waar de gebruikers de files kunnen raadplegen. Deze wou ik mappen aan de DMZ server (bv. drive X: gemapt met andere credentials) enkel een regel van dmz naar trust: tussen deze 2 servers waar filesharing is toegelaten. Alsook weer AV/IPS scanning (+ File filter op ftp server dat enkel toegelaten extensies/bestanden kunnen worden ge-upload). Enige probleem: de root van de ftp server veranderen naar een mapped drive/fileshare gaat niet echt.

Even aan gedacht een share op de ftp server toegankelijk te maken maar aangezien hij uit het domain ligt is sharing niet meer zo gemakkelijk in te stellen: gebruikers moeten credentials opgeven...

opmerkingen, andere oplossingen welkom?


betrouwbaarheid + gebruikersgemak zouden niet achteruit mogen gaan (al gaan die meestal minder goed samen met security, dat gaan we ook wel terug vinden in de reacties >:) ...)

  • KoeKk
  • Registratie: September 2000
  • Laatst online: 24-11 19:11
Als de gebruikersgemak niet achteruit zou mogen gaan:

Simpele oplossing: Drivemapping maken inclusief een username & password naar de share op de FTP server.

En als je het lekker complex wilt maken: Apart domein voor je DMZ inrichten en dan een trust tussen de domeinen maken zodat users met hun eigen account bij de share kunnen

  • ik222
  • Registratie: Maart 2007
  • Niet online
Is de sftp server een Windows bak? Bij een unix bak zou ik zeggen dat je gewoon de share in de juiste directory (sftp root) kan mounten en dat je dan klaar bent... Ik zie niet in waarom dat niet zou werken.

Anders, is het belangrijk dat de data die geüpload wordt direct via de share beschikbaar is? Als bijvoorbeeld een 5 minuten vertraging prima is dan kan je simpelweg een script maken dat de inhoud van de sftp directory naar je share kopieert. Dat script laat je dan elke 5 minuten draaien.

[ Voor 5% gewijzigd door ik222 op 15-05-2015 19:27 ]


Verwijderd

Simpele oplossing 2: de gebruikers middels sftp toegang geven tot de sftp server ;)