# Systmes > Windows > Scurit >  FTP, quels sont les risques ?

## Civodul4

Je souhaite implmenter pour un client un serveur FTP scuris afin qu'il change des donnes avec ses diffrents clients ( 2003 serveur ).
Chaque client se devra de possder un rpertoire et un couple identifiant/mot de passe.

L'accs  Internet et filtr par un firewall Netasq chez le client.


Ce que je souhaiterais savoir :
   --> Quels sont les risques de scurit lis au FTP ( en gros scurit du protocole )
   --> Quels sont les risques  crer une porte d'entre sur le Netasq pour le ftp
   --> Vaut-il mieux isoler le ftp sur une machine ddie ( Windows, Linux, ...) ?

Merci de vos rponses/retour d'exprience.

----------


## ram-0000

Quelques ides :




> Quels sont les risques de scurit lis au FTP ( en gros scurit du protocole )


Le protocole FTP est un protoicole en clair. L'identification/authentification peut tre sniffe. Les fichiers transfrs aussi, je ne connais pas le degr de confidentialit de tes fichiers mais cela peut avoir un impact. On peut vouloir prfrer le protocole FTPS (FTP sur SSL), en plus, cela permet l'authentification du serveur mais le problme c'est que tous les clients FTP ne supporte pas le mode SSL.Avoir des noms d'utilisateur nominatifs, cela permet de tracer les problmes et de les imputer  une personne (l'utilisateur "admin", cest pas nominatif et en plus, c'est vague).Avoir une politique de mots de passe pour les utilisateurs (c'est souvent l qu'il y a un problme) et un mcanisme de contrle de cette politique et de raction en cas de problme (invalidation du compte). Paradoxalement, toutes les implmentation de serveur FTP que j'ai vu ne permettent pas de ne pas avoir de mot de passe.




> Quels sont les risques  crer une porte d'entre sur le Netasq pour le ftp


Il y a toujours un risque  ouvrir un protocole au travers d'un firewall. Le premier risque que je voie, c'est d'utiliser le protocole FTP pour scanner test machines en interne. Cela s'appelle du FTP BOUNCE SCAN, c'est un peu long comme technique de scan mais cela marche.le protocole FTP possde 2 modes de fonctionnement, le mode actif et le mode passif (lire la RFC 959 pour plus d'info). Dans un mode, c'est le serveur qui cr le port data et c'est le client qui se connecte sur ce port. Dans l'autre mode, c'est le client qui cr le port data et c'est le serveur qui se connecte dessus. Cela a un impact sur le filtrage. Dans tous les cas, cela demande un firewall qui sait lire le dbut du protocole FTP et modifier ces filtres en consquence (un FW netasq s'il ne date pas de 1975  ::P:  sait le faire)



> Vaut-il mieux isoler le ftp sur une machine ddie ( Windows, Linux, ...) ?


Oui, toujours, en cas d'intrusion seule la machine qui hberge est impacte (dans un premier temps)Mettre en place les logs sur le serveur FTP et ventuellement dporter/dupliquer les logs sur une autre machine (en cas d'agression russie, tu as les logs sur l'autre machine pour comprendre ce qu'il s'est pass)

----------


## Cybher

salut,

il y aurait beaucoup de clients?
peux tre peux tu limiter l'ouverture du FTP sur le firewall  certaines IP sources si les clients ne sont pas nombreux?

----------


## Civodul4

J'ai pris ma dcision : 

Je vais implmenter le ftp sur un serveur Windows plac dans ma DMZ et je vais restreindre les accs via le firewall aux seuls ports ncessaires.

----------

