di Michele Sciabarrà, socio fondatore e attuale Amministratore Delegato di ePrometeus.
Tratto da manager.it

FTP Server OpenSource
Aree ftp: creare aree riservate per i clienti - senza pagare il canone al vostro ISP

Questa volta Luigi entrò nell'ufficio di Ezio e lo trovò intendo a navigare in un sito che parlava di un programma chiamato "VSFTP". A quel punto cominciò a ironizzare: “la nostra consociata non ne può più di mandare CD masterizzati?”.

“No”, rispose Ezio, “siamo noi che non ne possiamo più di CD illeggibili. E visto che adesso hanno l’ADSL, è venuto il momento che carichino direttamente i dati sui nostri server, via FTP”.

“Ma il server FTP che vi siete installati da soli l’altra volta, non lo hanno bucato? Ci riprovi?” disse provocatoriamente Luigi…

“È stata una leggerezza dettata dall’inesperienza. Ho chiamato il consulente Linux al telefono per chiedergli consiglio, e gli ho detto chiaro che avevamo provato a fare da noi… E non lo crederesti, era contento!” disse Ezio. “Infatti in effetti mi diceva che ultimamente non ce la faceva a starci dietro rapidamente, ma per fortuna usando Linux possiamo sia gestirci da noi, sia ricorrere ad altri – e io ho deciso di provare a fare da me…”

“Nel modo sbagliato!” insistette Luigi “Il fatto è che non mi hai detto niente nemmeno a me!”. “O suvvia, mettere su un server FTP, non pensavo fosse nulla di difficile o pericoloso!”

Luigi rincarò: “E infatti hai preso il primo Linux che ti capitava, una versione vecchia di un paio di anni, lo hai tirato su e lo hai impunemente messo su Internet in un indirizzo pubblico. Meno male che era nella zona demilitarizzata fuori dal firewall… ma io ho visto che avevi messo due schede di rete…” 

“Non penserai che io avrei messo la seconda rete collegata alla nostra rete interna vero???” “Beh dovevi spostare i file all’interno!” “Chiacchere inutili …”

“Ti hanno bucato perché quando si mettono su i server, bisogna stare attenti a quali si mettono e soprattutto, bisogna scegliere i prodotti più sicuri e tenerli aggiornati!”

“Tranquillo. Non metterò mai più quel server WU o come si chiama. Sto prendendo il VSFTP, Very Secure FTP server!  Pare che lo molto dei siti più importanti: guarda qui: RedHat, Suse, Debian, il progetto GNU, Gnome… Questi dovrebbero subire molti attacchi.”

“Posso darti un consiglio?” disse Luigi? “Vai.” Rispose Ezio. “Nonostante sia abbastanza sicuro, non metterlo direttamente esposto a Internet” “Cioè?” “Usa un proxy?” “Cioè?!?!?!?”

“Allora. Sai cosa sono i Proxy no?” “Si certo, sono programmi che fanno da ‘ponte’. Abbiamo messo su recentemente Squid che è un proxy-cache http”.

“Esatto. Solo che quello è un ponte Web dall’interno all’esterno. Ti consiglio di fare lo stesso con il server ftp. In questo caso fai un ponte FTP dall’esterno all’interno”

“Chiaro” disse Ezio. “Ma come? Con Squid?”

“No. Esiste un programma apposito che si chiama ftp-proxy, che è un proxy specializzato per l’FTP”. “Interessante…”

“In questo modo,  il server FTP vero e proprio si troverà in una macchina nella zona demiliarizzata. Però non è direttamente accessibile dall’esterno ma l’accesso è mediato da questo Proxy. In questo modo, un eventuale hacker dovrebbe trovare una improbabile combinazione che buchi contemporaneamente il proxy e il server ftp, che è a sua volta molto sicuro”

“Direi una soluzione acuta!” Disse Ezio “Normale, quando si ragiona di sicurezza nei termini giusti. La sicurezza è una cosa proattiva”, rispose Luigi.

“Risparmiami la solfa la conosco a memoria. Ok, chiamiamo il consulente o lo fai tu?”

“C’è da compilare dei programmi e configurare le regole del firewall per fare una cosa del genere. Ci posso provare. Ma vorrei un po’ di assistenza…” “Ok, stavolta gli chiediamo solamente supporto tecnico. Tra l’altro lo stesso consulente ha detto di preferire questo approccio… e dice che è ora che cominciamo a fare da noi. Siamo un CED, no?