Hey allen,
Even jullie expertise raadplegen om tot een gemakkelijke en deftige oplossing te komen
Probleem:
Vrij grote organisatie met een FTP server waar partners bestanden plaatsen.
Huidige FTP server is door een voorganger gewoon in het normale server park (en domain) geplaatst (security!)
bij hack --> ftp server kan rechtstreeks aan enkele andere productie servers in die vlan, ... ik denk er liever niet verder aan.
Ik ben nu het volgende aan het opzetten:
sFTP server in DMZ zone (sFTP gemakkelijk i.v.m. firwall ports en security, geen kwetsbare poorten tijdens transfer en geen clear text).
Firewall regels:
out --> IN: poort x (geen 22) naar ftp server allowed. IPS profile en AV scanning + enkel partner IP's allowed.
De FTP server zit gelukkig niet meer in het domain maar de gebruikers moeten gemakkelijk toegang hebben tot de files hier kom ik volgend probleem tegen:
- Op één van de interne fileservers heb ik een share gemaakt waar de gebruikers de files kunnen raadplegen. Deze wou ik mappen aan de DMZ server (bv. drive X: gemapt met andere credentials) enkel een regel van dmz naar trust: tussen deze 2 servers waar filesharing is toegelaten. Alsook weer AV/IPS scanning (+ File filter op ftp server dat enkel toegelaten extensies/bestanden kunnen worden ge-upload). Enige probleem: de root van de ftp server veranderen naar een mapped drive/fileshare gaat niet echt.
Even aan gedacht een share op de ftp server toegankelijk te maken maar aangezien hij uit het domain ligt is sharing niet meer zo gemakkelijk in te stellen: gebruikers moeten credentials opgeven...
opmerkingen, andere oplossingen welkom?
betrouwbaarheid + gebruikersgemak zouden niet achteruit mogen gaan (al gaan die meestal minder goed samen met security, dat gaan we ook wel terug vinden in de reacties
...)
Even jullie expertise raadplegen om tot een gemakkelijke en deftige oplossing te komen
Probleem:
Vrij grote organisatie met een FTP server waar partners bestanden plaatsen.
Huidige FTP server is door een voorganger gewoon in het normale server park (en domain) geplaatst (security!)
bij hack --> ftp server kan rechtstreeks aan enkele andere productie servers in die vlan, ... ik denk er liever niet verder aan.
Ik ben nu het volgende aan het opzetten:
sFTP server in DMZ zone (sFTP gemakkelijk i.v.m. firwall ports en security, geen kwetsbare poorten tijdens transfer en geen clear text).
Firewall regels:
out --> IN: poort x (geen 22) naar ftp server allowed. IPS profile en AV scanning + enkel partner IP's allowed.
De FTP server zit gelukkig niet meer in het domain maar de gebruikers moeten gemakkelijk toegang hebben tot de files hier kom ik volgend probleem tegen:
- Op één van de interne fileservers heb ik een share gemaakt waar de gebruikers de files kunnen raadplegen. Deze wou ik mappen aan de DMZ server (bv. drive X: gemapt met andere credentials) enkel een regel van dmz naar trust: tussen deze 2 servers waar filesharing is toegelaten. Alsook weer AV/IPS scanning (+ File filter op ftp server dat enkel toegelaten extensies/bestanden kunnen worden ge-upload). Enige probleem: de root van de ftp server veranderen naar een mapped drive/fileshare gaat niet echt.
Even aan gedacht een share op de ftp server toegankelijk te maken maar aangezien hij uit het domain ligt is sharing niet meer zo gemakkelijk in te stellen: gebruikers moeten credentials opgeven...
opmerkingen, andere oplossingen welkom?
betrouwbaarheid + gebruikersgemak zouden niet achteruit mogen gaan (al gaan die meestal minder goed samen met security, dat gaan we ook wel terug vinden in de reacties
...)
:strip_exif()/u/12572/4-3hoek-r-b-g-g.gif?f=community)
:strip_icc():strip_exif()/u/212310/6.jpg?f=community)
