Discussion :

[zobbyzobba]

Bonjour à tous,

Je suis actuellement en stage dans une petite entreprise.
Cette entreprise dispose d'un serveur FTP pour proposer des fichiers à leurs clients.
Il y a des centaines de comptes dans le serveur pour leurs clients, qu'il faut bien entendu conserver.
Le serveur est actuellement hors du LAN de l'entreprise, il est directement sur le routeur FT avec une IP Publique.

On m'a confier comme projet de migrer ce serveur vers une nouvelles machine pour diverses raisons.
Il faut également qu'il soit plus sécurisé.

J'aimerais donc qu'il soit à la fois connecté sur l'interface publique et sur le LAN (2 interfaces donc).
La connexion au LAN permettrait de faciliter la gestion, de pouvoir appliquer nos stratégies antivirus, WSUS, de faire la sauvegarde et cie.
Cependant, ça ajoute un risque pour le LAN du coup.. Un risque que j'aimerais limiter au maximum, d'où ce topic.

Je vais devoir utiliser FileZilla serveur pour pouvoir garder la base des utilisateurs. Est-ce que c'est un mauvais produit? (sachant qu'on a en moyenne une connexion par jour pour télécharger 500mo).
Par contre, j'aimerais le passer en sftp (là il est en ftp classique), est que cela est contraignant pour nos clients?

Je pensais ouvrir juste le port sftp sur l'interface publique, est-ce que c'est une bonne idée?
l'accès au net si besoin se ferait par le LAN.

Est-ce que vous pensez que c'est risqué? que c'est une grosse faille de sécurité?
Avez-vous des choses à me proposer pour sécuriser le bouzin encore plus?

Je ne suis pas vraiment du milieu, c'est pourquoi j'ai tant d'interrogations..
Et puis j'aimerais arriver à leur faire une installation bien propre.

Bonne journée et merci!

Cdlt.

[ram-0000]

Je vais devoir utiliser FileZilla serveur pour pouvoir garder la base des utilisateurs. Est-ce que c'est un mauvais produit? (sachant qu'on a en moyenne une connexion par jour pour télécharger 500mo).

Je ne suis pas sûr que filezilla serveur soit un serveur sftp.

Par contre, j'aimerais le passer en sftp (là il est en ftp classique), est que cela est contraignant pour nos clients?

Quel intérêt de passer à du chiffré. sftp est une extension de ssh qui permet de faire des copies de fichiers en protégeant le mot de passe (car la session est chiffrée).

A mon sens, la fonction sftp n'est utile que pour de l'administration (pour protéger le mot de passe de l'admin).

Si tu l'utilise sur un serveur de fichier, cela va faire de la charge supplémentaire sur le serveur et sur le client (il faut un peu de CPU quand même pour chiffrer une connexion).

Je pensais ouvrir juste le port sftp sur l'interface publique, est-ce que c'est une bonne idée?

Il n'y a pas de port sftp. Il y a un port ssh et la communication sftp passe dans ce canal (tu peux voir le protocole sftp comme un sous protocole de ssh qui passe dans le canal ssh si tu veux).

Ouvrir le canal sftp, c'est ouvrir le canal ssh, ce n'est peut être pas ce que tu veux faire.

[zobbyzobba]

Bonjour et merci de la réponse,

Je viens de faire quelques recherches et j'ai appris quelque chose, surement évident pour vous autres mais pour moi c'est loin d'être intuitif

Apparemment, il y a le SFTP et le FTPS, je croyais que c'était la même chose, mais non.
SFTP = SSH
FTPS = SSL avec certificats et tout le bordel.
J'ai bon?

Du coup, je croyais que c'est plus du FTPS qu'il me faut?
Mais du coup, il faut donner le certificat à nos clients à chaque fois? qu'on leur propose l'accès au FTP?

C'est surtout le problème des mots de passe en clair qui me gêne dans le FTP, c'est pour ça que je veux le sécuriser.

Mais admettons que j'utilise le FTP Classique, on écoute mes trames, on trouve le MDP d'un de nos clients.
Hormis le fait qu'il pourra péter tout le répertoire du client, y a-t-il des risques pour le serveur? pour tout le SI?
Le serveur est protégé par un antivirus, spyware, etc. et un pare-feu.

Merci beaucoup pour votre aide!

Bonne journée

[ram-0000]

Effectivement, FTPS = FTP + SSL

Sinon, quelques questions pour t'aider à choisir :

• Tes clients peuvent-ils déposer des fichiers ?
• Les fichiers que tes clients peuvent récupérer sont-ils confidentiels vis-a-vis de tes non-clients ?
• Les fichiers que tes clients peuvent récupérer sont-ils confidentiels vis-a-vis de tes autres clients ?