Muy buenas a todos,
Soy lector habitual del foro, aunque no he escrito nunca. Aquí va mi primera consulta:
Estoy barajando opciones para securizar una conexión ftp. Había "decidido" usar un "mini-ordenador" tipo PCEngine o Soekris (placas bastante básicas), y montar OpenBSD. Configurar el firewall de este S.O. (Packet Filter) y, si acaso, instalar Snort. Mi pregunta es,...:
¿Qué ventajas/inconvenientes ofrece este firewall "SW" frente a uno "HW" comercial? Como os podéis imaginar, no soy ningún experto,...
Muchas gracias a todos!
¿Securizar una conexión ftp?
Hombre pues lo primero mejor usar SFTP o secure shell sobre ftp
Hay varias distribuciones basadas en OpenBSD orientadas a ahacer de firewall y demás, tipo pfsense y demás, no recuerdo nombres, pero haberlas las hay.
Pues ete tipo de software es complementante gratuito y muy configurable, aunque tirando de documentación. Las soluciones de un aparatito (hardware) pues viene a ser lo mismo, pero pagando y con un entrono diferente.
Hola el-brujo,
Gracias por tu respuesta! Sí, sé que lo suyo es irte a SFTP,... el problema es que eso no lo puedo tocar. Debe ser FTP no seguro.
Mmmmm, no sabía que había distros basadas en OpenBSD como pfsense, que "parte" de FreeBSD. Miraré a ver.
Respecto a los firewalls "HW", ¿se puede pueden hacer tareas de administración por conexión remota (y segura, claro, tipo SSH)? ¿Hay de estos firewalls que tengan funcionalidades de IDS/IPS (tipo Snort)?
Y otra pregunta un poco distinta pero que forma parte de mi problema,... ¿es posible configurar un firewall para forzar que una conexión FTP sólo transifera DATOS en un sentido? Es decir, una especie de comunicación unidireccional de datos... La idea es habilitar sólo transferencia de ficheros en un sentido, aunque por lo que he leído no tengo claro que se pueda hacer.
Muchas gracias!!!
Cita de: guiu en 16 Abril 2013, 19:09 PM
Y otra pregunta un poco distinta pero que forma parte de mi problema,... ¿es posible configurar un firewall para forzar que una conexión FTP sólo transifera DATOS en un sentido? Es decir, una especie de comunicación unidireccional de datos... La idea es habilitar sólo transferencia de ficheros en un sentido, aunque por lo que he leído no tengo claro que se pueda hacer.
¿Algo como esto?
pass out inet proto tcp from $src to $dst port 21Un saludo.
Qué tal cpu2,
Gracias por echarme un cable.
Corrígeme si me equivoco, pero el puerto TCP#21 es el que el servidor ftp usa para establecer la sesión de "comandos". Yo me refiero a la de datos de una comunición típica ftp...
Saludos
Seguramente te refieres a ftp-data puerto 20.
En OpenBSD la transerencia de datos se hace a través de un puerto aleatorio, este es el netstat de mi servidor local.
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp 0 32744 127.0.0.1.60032 127.0.0.1.17661 ESTABLISHED
tcp 32780 0 127.0.0.1.17661 127.0.0.1.60032 ESTABLISHED
tcp 0 0 127.0.0.1.21 127.0.0.1.42184 ESTABLISHED
tcp 0 0 127.0.0.1.42184 127.0.0.1.21 ESTABLISHED
Como puedes observar en recv-q y send-q las transferencia son las dos de arriba y las dos de abajo "commandos".
Podrias redireccionar el tráfico a un puerto especifico o algo por el estilo.
También busca si hay algun demonio para el servicio ftp-data.
Un saludo.