Existe-t-il un risque pour un réseau s’il autorise l’accès FTP à des sites Web tiers?
Je n'ai pas pu accéder par FTP à mon site Web sur le réseau de mon collège. (Le collège dispose d’un réseau de cyber-utilisateurs dotés d’un pare-feu). Cela échouerait au moment où la liste des répertoires serait affichée autrement. J'ai découvert par la suite que le collège bloquait les ports FTP par défaut. Je suis allé voir les informaticiens et leur ai demandé de débloquer les ports FTP (21 et 22) de mon site Web. Ils ont démenti ce raisonnement, ce qui pourrait poser des problèmes de sécurité.
Donc, le réseau présente-t-il vraiment un risque s'il autorise l'accès FTP à des sites Web tiers? Un newtwork peut-il être compromis à distance via FTP? Y a-t-il des lacunes?
Il est probable qu'ils ne veuillent pas passer le temps en considérant tous les problèmes de sécurité possibles, votre demande a donc été refusée. Les administrateurs réseau subissent de fortes pressions pour maintenir un réseau sécurisé contre les menaces inconnues.
Vous devriez envisager d'utiliser un serveur ou un service vous permettant de vous connecter via le port 80 ou 443, mais transférant ensuite votre trafic vers 21, 22.
FTP est un protocole laid, car il utilise des ports dynamiques, qui nécessitent soit un pare-feu ouvert ou une configuration spécifique au sein des clients FTP. En outre, il envoie les informations de connexion en clair par défaut et la version chiffrée FTPS génère encore plus de problèmes de pare-feu. Tous ces éléments réunis incitent les administrateurs de pare-feu à détester le protocole et à refuser les demandes pour l’autoriser pour des raisons de sécurité.
En dehors de cela, votre demande pour le port 21,22 était erronée: alors que le port 21 est la connexion de contrôle FTP, le port 22 est pour SSH et n'a rien à voir avec FTP. Mais il y a SFTP qui est un transfert de fichier sur SSH, ce qui est totalement différent de FTPS qui utilise FTP avec SSL.
Mais le port 21 n'est pas suffisant pour passer par FTP. En mode actif FTP, vous devez également autoriser toutes les connexions depuis le port 20 du serveur vers le client et en mode passif FTP, vous devez autoriser les connexions depuis les ports du client vers les ports du serveur. Le pare-feu peut avoir un proxy FTP ou un assistant pour contourner ce problème et obtenir des stratégies plus restrictives, mais son utilisation est limitée et ne fonctionne généralement pas avec FTPS, de sorte que les mots de passe sont transférés en texte brut.
Vous obtenez peut-être de cette description pourquoi le protocole FTP est considéré comme peu sûr et détesté par les administrateurs de pare-feu. Je suggérerais que vous passiez plutôt à SSH/SFTP (nécessite uniquement le port 22) ou que vous utilisiez WebDAV (fonctionne avec les ports HTTP/HTTPS par défaut).
En passant, si vous avez des questions de sécurité, vous obtiendrez de meilleures réponses sur security.stackexchange.com.