Sécurisation d'un serveur FTP

zobbyzobba · 26/09/2011, 14h27

Bonjour à tous,

Je suis actuellement en stage dans une petite entreprise.
Cette entreprise dispose d'un serveur FTP pour proposer des fichiers à leurs clients.
Il y a des centaines de comptes dans le serveur pour leurs clients, qu'il faut bien entendu conserver.
Le serveur est actuellement hors du LAN de l'entreprise, il est directement sur le routeur FT avec une IP Publique.

On m'a confier comme projet de migrer ce serveur vers une nouvelles machine pour diverses raisons.
Il faut également qu'il soit plus sécurisé.

J'aimerais donc qu'il soit à la fois connecté sur l'interface publique et sur le LAN (2 interfaces donc).
La connexion au LAN permettrait de faciliter la gestion, de pouvoir appliquer nos stratégies antivirus, WSUS, de faire la sauvegarde et cie.
Cependant, ça ajoute un risque pour le LAN du coup.. Un risque que j'aimerais limiter au maximum, d'où ce topic.

Je vais devoir utiliser FileZilla serveur pour pouvoir garder la base des utilisateurs. Est-ce que c'est un mauvais produit? (sachant qu'on a en moyenne une connexion par jour pour télécharger 500mo).
Par contre, j'aimerais le passer en sftp (là il est en ftp classique), est que cela est contraignant pour nos clients?

Je pensais ouvrir juste le port sftp sur l'interface publique, est-ce que c'est une bonne idée?
l'accès au net si besoin se ferait par le LAN.

Est-ce que vous pensez que c'est risqué? que c'est une grosse faille de sécurité?
Avez-vous des choses à me proposer pour sécuriser le bouzin encore plus?

Je ne suis pas vraiment du milieu, c'est pourquoi j'ai tant d'interrogations..
Et puis j'aimerais arriver à leur faire une installation bien propre.

Bonne journée et merci!

Cdlt.

ram-0000 · 26/09/2011, 19h58

Citation:

Envoyé par zobbyzobba

Je vais devoir utiliser FileZilla serveur pour pouvoir garder la base des utilisateurs. Est-ce que c'est un mauvais produit? (sachant qu'on a en moyenne une connexion par jour pour télécharger 500mo).

Je ne suis pas sûr que filezilla serveur soit un serveur sftp.

Citation:

Envoyé par zobbyzobba

Par contre, j'aimerais le passer en sftp (là il est en ftp classique), est que cela est contraignant pour nos clients?

Quel intérêt de passer à du chiffré. sftp est une extension de ssh qui permet de faire des copies de fichiers en protégeant le mot de passe (car la session est chiffrée).

A mon sens, la fonction sftp n'est utile que pour de l'administration (pour protéger le mot de passe de l'admin).

Si tu l'utilise sur un serveur de fichier, cela va faire de la charge supplémentaire sur le serveur et sur le client (il faut un peu de CPU quand même pour chiffrer une connexion).

Citation:

Envoyé par zobbyzobba

Je pensais ouvrir juste le port sftp sur l'interface publique, est-ce que c'est une bonne idée?

Il n'y a pas de port sftp. Il y a un port ssh et la communication sftp passe dans ce canal (tu peux voir le protocole sftp comme un sous protocole de ssh qui passe dans le canal ssh si tu veux).

Ouvrir le canal sftp, c'est ouvrir le canal ssh, ce n'est peut être pas ce que tu veux faire.

zobbyzobba · 27/09/2011, 11h30

Bonjour et merci de la réponse,

Je viens de faire quelques recherches et j'ai appris quelque chose, surement évident pour vous autres mais pour moi c'est loin d'être intuitif

Apparemment, il y a le SFTP et le FTPS, je croyais que c'était la même chose, mais non.
SFTP = SSH
FTPS = SSL avec certificats et tout le bordel.
J'ai bon?

Du coup, je croyais que c'est plus du FTPS qu'il me faut?
Mais du coup, il faut donner le certificat à nos clients à chaque fois? qu'on leur propose l'accès au FTP?

C'est surtout le problème des mots de passe en clair qui me gêne dans le FTP, c'est pour ça que je veux le sécuriser.

Mais admettons que j'utilise le FTP Classique, on écoute mes trames, on trouve le MDP d'un de nos clients.
Hormis le fait qu'il pourra péter tout le répertoire du client, y a-t-il des risques pour le serveur? pour tout le SI?
Le serveur est protégé par un antivirus, spyware, etc. et un pare-feu.

Merci beaucoup pour votre aide!

Bonne journée

ram-0000 · 27/09/2011, 18h23

Effectivement, FTPS = FTP + SSL

Sinon, quelques questions pour t'aider à choisir :

Tes clients peuvent-ils déposer des fichiers ?
Les fichiers que tes clients peuvent récupérer sont-ils confidentiels vis-a-vis de tes non-clients ?
Les fichiers que tes clients peuvent récupérer sont-ils confidentiels vis-a-vis de tes autres clients ?

26/09/2011, 14h27	#1
zobbyzobba Invité de passage Architecte de système d'information Inscription : mars 2011 Messages : 19 Détails du profil Informations personnelles : Sexe : Informations professionnelles : Activité : Architecte de système d'information Informations forums : Inscription : mars 2011 Messages : 19 Points : 0 Points : 0	Sécurisation d'un serveur FTP Bonjour à tous, Je suis actuellement en stage dans une petite entreprise. Cette entreprise dispose d'un serveur FTP pour proposer des fichiers à leurs clients. Il y a des centaines de comptes dans le serveur pour leurs clients, qu'il faut bien entendu conserver. Le serveur est actuellement hors du LAN de l'entreprise, il est directement sur le routeur FT avec une IP Publique. On m'a confier comme projet de migrer ce serveur vers une nouvelles machine pour diverses raisons. Il faut également qu'il soit plus sécurisé. J'aimerais donc qu'il soit à la fois connecté sur l'interface publique et sur le LAN (2 interfaces donc). La connexion au LAN permettrait de faciliter la gestion, de pouvoir appliquer nos stratégies antivirus, WSUS, de faire la sauvegarde et cie. Cependant, ça ajoute un risque pour le LAN du coup.. Un risque que j'aimerais limiter au maximum, d'où ce topic. Je vais devoir utiliser FileZilla serveur pour pouvoir garder la base des utilisateurs. Est-ce que c'est un mauvais produit? (sachant qu'on a en moyenne une connexion par jour pour télécharger 500mo). Par contre, j'aimerais le passer en sftp (là il est en ftp classique), est que cela est contraignant pour nos clients? Je pensais ouvrir juste le port sftp sur l'interface publique, est-ce que c'est une bonne idée? l'accès au net si besoin se ferait par le LAN. Est-ce que vous pensez que c'est risqué? que c'est une grosse faille de sécurité? Avez-vous des choses à me proposer pour sécuriser le bouzin encore plus? Je ne suis pas vraiment du milieu, c'est pourquoi j'ai tant d'interrogations.. Et puis j'aimerais arriver à leur faire une installation bien propre. Bonne journée et merci! Cdlt.
	00

27/09/2011, 18h23	#4
ram-0000 Expert Confirmé Sénior Raymond Inscription : mai 2007 Messages : 7 472 Détails du profil Informations personnelles : Nom : Raymond Informations forums : Inscription : mai 2007 Messages : 7 472 Points : 10 992 Points : 10 992	Effectivement, FTPS = FTP + SSL Sinon, quelques questions pour t'aider à choisir : Tes clients peuvent-ils déposer des fichiers ? Les fichiers que tes clients peuvent récupérer sont-ils confidentiels vis-a-vis de tes non-clients ? Les fichiers que tes clients peuvent récupérer sont-ils confidentiels vis-a-vis de tes autres clients ? __________________ Raymond Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau. WinAgentLog WinAgentLog est un service Windows qui collecte en temps réel les messages Microsoft EventLog et les retransmet en utilisant le protocole Syslog à une machine distante. e-verbe Un logiciel de conjugaison des verbes de la langue française Ma page personnelle sur DVP
	00

27/09/2011, 11h30	#3
zobbyzobba Invité de passage Architecte de système d'information Inscription : mars 2011 Messages : 19 Détails du profil Informations personnelles : Sexe : Informations professionnelles : Activité : Architecte de système d'information Informations forums : Inscription : mars 2011 Messages : 19 Points : 0 Points : 0	Bonjour et merci de la réponse, Je viens de faire quelques recherches et j'ai appris quelque chose, surement évident pour vous autres mais pour moi c'est loin d'être intuitif Apparemment, il y a le SFTP et le FTPS, je croyais que c'était la même chose, mais non. SFTP = SSH FTPS = SSL avec certificats et tout le bordel. J'ai bon? Du coup, je croyais que c'est plus du FTPS qu'il me faut? Mais du coup, il faut donner le certificat à nos clients à chaque fois? qu'on leur propose l'accès au FTP? C'est surtout le problème des mots de passe en clair qui me gêne dans le FTP, c'est pour ça que je veux le sécuriser. Mais admettons que j'utilise le FTP Classique, on écoute mes trames, on trouve le MDP d'un de nos clients. Hormis le fait qu'il pourra péter tout le répertoire du client, y a-t-il des risques pour le serveur? pour tout le SI? Le serveur est protégé par un antivirus, spyware, etc. et un pare-feu. Merci beaucoup pour votre aide! Bonne journée
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email