web-dev-qa-db-fra.com

Si je dois désactiver les ports passifs pour qu'ils soient conformes à la norme PCI, comment puis-je télécharger mon site Web?

Notre société est en train de suivre des procédures pour garantir sa conformité à la norme PCI.

Mon site hébergeur me dit qu'il a désactivé les ports passifs afin de passer les analyses PCI. Cela a pour effet de désactiver les téléchargements via ftp. De toute évidence, je dois encore pouvoir télécharger les modifications sur le site.

Le site est sur un serveur Windows. Je peux donc actuellement déplacer les fichiers via la connexion Bureau à distance, mais ceci est quelque peu gênant et dépend de la plate-forme. Existe-t-il d'autres moyens de télécharger le site et de rester conforme à la norme PCI? Les ports passifs doivent-ils vraiment être fermés pour passer les scans?

ftppci-compliance
1
fearoffours

SCP/SFTP, fourni par la plupart des implémentations SSH, est ce que j'utilise pour à peu près tous les transferts de fichiers distants simples. Ceci est disponible dans toute configuration Linux/BSD par défaut ou très facile à installer/installer et il existe plusieurs options pour Windows, y compris cygwin qui inclut un port du même client OpenSSH et des mêmes serveurs utilisés par la plupart des systèmes Linux les configurations.

Une autre option consiste à configurer un VPN, en utilisant quelque chose comme OpenVPN, que vous connectez au serveur, vous pouvez alors FTP sur celui-ci sans rendre le service FTP disponible au monde extérieur (ou utiliser toute autre option de transfert de fichier telle que l’utilisation directe de partages Windows ).

FTP peut fonctionner sans son mode passif dans de nombreux cas, mais je recommanderais quand même de s’éloigner de FTP pour diverses raisons:

  • sécurité: tout est envoyé en clair (c'est-à-dire non chiffré) avec FTP
  • sécurité: cela inclut vos identifiants de connexion
  • efficacité: SCP/SFTP fonctionne généralement plus rapidement (en particulier sur un lien à latence élevée lors de l'envoi de plusieurs objets) car tout se passe sur une connexion ne nécessitant pas une nouvelle liaison de données par objet, telle que FTP
  • efficacité: SSH (et donc SCP/SFTP) prend en charge la compression, comme le font la plupart des solutions VPN, ce qui peut faire la différence en fonction de ce que vous transférez.
  • problèmes de routage et de pare-feu: l'utilisation par le protocole FTP de connexions de données distinctes par objet transféré peut être une source de défaillance en fonction des configurations de pare-feu à l'une ou l'autre extrémité - SCP, SFTP et tout ce qui est surchargé (comme rsync) utilise une seule connexion bidirectionnelle pour tout.

Une autre bonne option pour mettre à jour efficacement le contenu distant à partir d'une référence locale est rsync sur ssh, qui envoie très bien le minimum nécessaire pour mettre à jour l'extrémité distante. Je l'utilise pour conserver des copies de sauvegarde hors site, etc.

Remarque: Ne confondez pas SFTP avec FTPS. SFTP est le "protocole de transfert de fichiers SSH" et FTPS, le "FTP sur SSL", qui résout les problèmes de sécurité liés au cryptage, mais pas les autres inconvénients du FTP.

8
David Spillett

Les autres options sont SSH et SFTP . La plupart des clients FTP devraient également vous permettre d’utiliser SSH/SFTP à la place.

0
Virtuosi Media