it-swarm-es.com

Si debo desactivar los puertos pasivos para cumplir con PCI, ¿cómo subo mi sitio web?

Nuestra empresa se somete a procedimientos para garantizar que cumplamos con PCI.

El host de mi sitio me dice que han deshabilitado los puertos pasivos para poder pasar los escaneos PCI. Esto tiene el efecto de deshabilitar las cargas sobre ftp. Obviamente, todavía necesito poder cargar los cambios en el sitio.

El sitio está en un servidor de Windows. Por lo tanto, actualmente puedo mover los archivos a través de Conexión a Escritorio remoto, pero esto es algo inconveniente y depende de la plataforma. ¿Hay alguna otra forma en que pueda cargar el sitio y seguir cumpliendo con PCI? ¿Realmente deben cerrarse los puertos pasivos para pasar los escaneos?

1
fearoffours

SCP/SFTP, proporcionado por la mayoría de las implementaciones de SSH, es lo que uso para casi todas las transferencias remotas de archivos simples. Esto está disponible en cualquier configuración de Linux/BSD, ya sea de manera predeterminada o muy fácil de configurar/instalar, y hay varias opciones para Windows que incluyen cygwin que incluye un puerto de los mismos clientes y servidores OpenSSH utilizados por la mayoría de Linux configuraciones.

Otra opción es configurar una VPN, usando algo como OpenVPN, que se conecta al servidor, luego puede FTP sobre eso sin hacer que el servicio FTP esté disponible para el mundo exterior (o usar cualquier otra opción de transferencia de archivos, como usar recursos compartidos de Windows directamente ).

FTP puede funcionar sin su modo pasivo en muchos casos, pero recomendaría alejarse de FTP de todos modos por varias razones:

  • seguridad: todo se envía sin formato (es decir, sin cifrar) con FTP
  • seguridad: esto incluye sus credenciales de autenticación de inicio de sesión
  • eficiencia: SCP/SFTP generalmente funciona más rápido (especialmente a través de un enlace de alta latencia cuando se envían varios objetos), ya que todo sucede a través de una conexión que no requiere un nuevo enlace de datos por objeto como FTP
  • eficiencia: SSH (y, por lo tanto, SCP/SFTP) admite la compresión, al igual que la mayoría de las soluciones VPN, lo que podría marcar la diferencia dependiendo de lo que esté transfiriendo
  • problemas de firewall/enrutamiento: el uso del protocolo FTP de conexiones de datos separadas por objeto transferido puede ser una fuente de falla dependiendo de la configuración del firewall en cada extremo: SCP, SFTP y cualquier cosa sobre ssh (como rsync) usan una única conexión bidireccional para todo.

Otra buena opción para actualizar de manera eficiente el contenido remoto desde una referencia local es rsync a través de ssh, que hace un muy buen trabajo simplemente enviando el mínimo necesario para actualizar el extremo remoto; lo uso para mantener copias de respaldo fuera del sitio y demás.

Nota: No confunda SFTP con FTPS. SFTP es "protocolo de transferencia de archivos SSH" y FTPS es "FTP sobre SSL" que resuelve los problemas de seguridad relacionados con el cifrado, pero no las otras desventajas de FTP.

8
David Spillett

Otras opciones son SSH y SFTP . La mayoría de los clientes FTP también deberían permitirle la opción de utilizar SSH/SFTP en su lugar.

0
Virtuosi Media