عند إعداد خادم FTP، يكون الأمان دائمًا هو الأولوية الأولى، خاصة بالنسبة لخوادم FTP التي تم إنشاؤها باستخدام أدوات مثل IIS. إذا كان الإعداد غير صحيح وحدث هجوم ضار، فليس من المثير للقلق أن يتسبب في انهيار نظام الخادم بأكمله، لذلك، من الضروري اعتماد إدارة أمنية معقولة وشاملة.
لنبدأ بأمان IIS.
أصبح IIS، بدءًا من نواة نظام NT، هو الناقل المهم لإصدار المعلومات، ولكن نقاط الضعف التي لا مفر منها مذكورة أيضًا في العديد من المواد. يتم استخدام IIS لإعداد خادم FTP، وقد حازت إعداداته البسيطة وسهلة الفهم على استحسان العديد من الأشخاص، لذلك، للاستفادة بشكل جيد من IIS، يجب أن نأخذ في الاعتبار مشكلاته الأمنية من الجوانب التالية:
1. تثبيت تصحيحات النظام. يقوم موقع Microsoft غالبًا بإصدار أحدث تصحيحات أمان النظام على موقعه الرسمي، ويمكنك تحديثها في أي وقت باستخدام برنامج Windows Update الذي يأتي مع النظام.
2. إعدادات دليل FTP. من الشائع أكثر تعيين الدليل الرئيسي إلى قرص منطقي، ثم تعيين أذونات وصول مختلفة لكل دليل فرعي وفقًا لمستخدمين مختلفين، وإغلاق بعض الخدمات غير الضرورية، مما قد يمنع الأشخاص عديمي الضمير من استخدام ثغرات تجاوز سعة IIS للوصول إلى قرص النظام مستوى أول من الحماية .
3. حاول عدم استخدام المنفذ الافتراضي رقم 21، وقم بتمكين التسجيل حتى تتمكن من التحقق عندما تكون خدمة FTP غير طبيعية.
برنامج إعداد FTP آخر Serv_U.
تظهر واجهة البرنامج في الشكل أدناه. أشعر أن هذا البرنامج يقوم بعمل أفضل من حيث الأمان، وإعداداته ليست عرضة للخطأ. بعد استخدامه لفترة من الوقت، أشعر أن سرعته أسرع بكثير من IIS. ومع ذلك، ينبغي أيضًا الانتباه إلى التكوين الصحيح:
1. فيما يتعلق بإعدادات كلمة مرور الخادم في المجال.
يوفر Serv_U ثلاثة أنواع من كلمات مرور الأمان: كلمة مرور القاعدة وOTPS/KEY MD4 وOTPS/KEY MD5 وغني عن القول أن كلمة مرور القاعدة تتمتع بأقل مستوى من الأمان. بشكل عام، بعد أن نقوم بإعداد حساب يتمتع بحقوق إدارية، نفتح المربع المنسدل "نوع كلمة المرور" ضمن علامة التبويب "عام"، ويكون اختيار النوعين الأخيرين أكثر أمانًا نسبيًا.
[قص الصفحة]
2. حدد "حظر هجمات FTP_bounce وFXP". يُطلق على FXP أيضًا اسم الهجوم عبر الخادم.
عندما يقوم مستخدم ضار بإضافة معلومات عنوان محددة إلى أمر PORT، فسيؤدي ذلك إلى قيام خادم FTP بإنشاء اتصال مع أجهزة أخرى غير عميلة. إذا كان لخادم FTP الحق في الوصول إلى أجهزة الكمبيوتر غير العميلة، فيمكنه استخدام ". وسيط" لخادم FTP. منظمة" لتحقيق الاتصال بالخادم الهدف!
3. مثل IIS، من الأفضل نقل الدليل الرئيسي إلى أقسام أخرى. وفي الوقت نفسه، عند تعيين الأذونات للمستخدمين، من الأفضل تعيينها على مستوى منخفض أولاً، ثم تعيين أذونات الكتابة والتعديل وما إلى ذلك عند الحاجة والحفظ سجلات الخدمة في شكل ملفات، للرجوع إليها في المستقبل.
بعد الحديث عن إعداد البرامج، دعونا نتحدث عن نظام التشغيل نفسه.
بالنظر إلى أمان خادم FTP، فمن الأفضل استخدام إصدار خادم Win2000 أو إصدار WinXP أو Windows2003 Enterprise، والانتباه إلى تنزيل تصحيحات الأمان والترقيات في أي وقت.
1. يمكنك استخدام وظيفة "جدار حماية الاتصال بالإنترنت" المضمنة في النظام لإجراء إعدادات الأمان. افتح مربع حوار خصائص "الاتصال المحلي"، وأدخل إلى علامة التبويب "خيارات متقدمة"، وحدد "حماية جهاز الكمبيوتر والشبكة عن طريق تقييد أو حظر الوصول إلى هذا الكمبيوتر من الإنترنت" ثم انقر فوق الزر "الإعدادات" في الزاوية اليمنى السفلية أدخل "الإعدادات المتقدمة"، وحدد "خادم FTP" وانقر فوق "تحرير". كما هو موضح في الشكل، باستثناء عمود عنوان IP، لا يمكن تغيير الخيارات الأخرى. إذا كان منفذ خادم FTP الذي قمت بتعيينه مسبقًا ليس هو 21 الافتراضي، فيرجى الرجوع إلى الخطوة السابقة والنقر فوق "إضافة" ضمن علامة التبويب "الخدمة"، وإدخال اسم الخادم وعنوان IP، ثم ملء رقم المنفذ الداخلي الخارجي مع القيمة الافتراضية الخاصة بك هذا كل شيء.
2. وظيفة "تصفية TCP/IP". انتقل إلى "Local Area Connection" --- "عام" --- "Internet Protocol (TCP/IP)"، ثم انقر نقرًا مزدوجًا للفتح، ثم انقر فوق الزر "Advanced"، ثم انتقل إلى "Options" لبدء الإعدادات . كما هو موضح في الشكل أدناه، يمكننا هنا ضبط النظام للسماح فقط بالمنافذ المفتوحة، ويمكن لإعداد التصفية هذا أن يمنع بشكل فعال عمليات التطفل الأكثر شيوعًا مثل المنفذ 139. ومع ذلك، فإن عيوب هذه الطريقة واضحة أيضًا: الوظيفة بسيطة للغاية. ويمكن تعيين المنافذ المفتوحة المسموح بها فقط، ولا يمكنك تخصيص المنافذ المراد إغلاقها. إذا كنت بحاجة إلى فتح منافذ متعددة، فيجب عليك إضافتها يدويًا واحدًا تلو الآخر، وهو أمر أكثر إزعاجًا.
أمان الخادم هو موضوع لا يمكن الانتهاء منه أبدًا، والمفتاح هو أن يقوم الجميع بتلخيص الخبرة وتجميع الخبرة في الإدارة الفعلية. بعد اجتياز إعدادات الإدارة الأساسية المذكورة أعلاه، يجب أن يتمتع بروتوكول نقل الملفات (FTP) الخاص بك بدرجة معينة من الأمان ويمكن استخدامه بثقة!
2. حدد "حظر هجمات FTP_bounce وFXP". يُطلق على FXP أيضًا اسم الهجوم عبر الخادم.
عندما يقوم مستخدم ضار بإضافة معلومات عنوان محددة إلى أمر PORT، فسيؤدي ذلك إلى قيام خادم FTP بإنشاء اتصال مع أجهزة أخرى غير عميلة. إذا كان لخادم FTP الحق في الوصول إلى أجهزة الكمبيوتر غير العميلة، فيمكنه استخدام ". وسيط" لخادم FTP. منظمة" لتحقيق الاتصال بالخادم الهدف!
3. مثل IIS، من الأفضل نقل الدليل الرئيسي إلى أقسام أخرى. وفي الوقت نفسه، عند تعيين الأذونات للمستخدمين، من الأفضل تعيينها على مستوى منخفض أولاً، ثم تعيين أذونات الكتابة والتعديل وما إلى ذلك عند الحاجة والحفظ سجلات الخدمة في شكل ملفات، للرجوع إليها في المستقبل.
بعد الحديث عن إعداد البرامج، دعونا نتحدث عن نظام التشغيل نفسه.
بالنظر إلى أمان خادم FTP، فمن الأفضل استخدام إصدار خادم Win2000 أو إصدار WinXP أو Windows2003 Enterprise، والانتباه إلى تنزيل تصحيحات الأمان والترقيات في أي وقت.
1. يمكنك استخدام وظيفة "جدار حماية الاتصال بالإنترنت" المضمنة في النظام لإجراء إعدادات الأمان. افتح مربع حوار خصائص "الاتصال المحلي"، وأدخل إلى علامة التبويب "خيارات متقدمة"، وحدد "حماية جهاز الكمبيوتر والشبكة عن طريق تقييد أو حظر الوصول إلى هذا الكمبيوتر من الإنترنت" ثم انقر فوق الزر "الإعدادات" في الزاوية اليمنى السفلية أدخل "الإعدادات المتقدمة"، وحدد "خادم FTP" وانقر فوق "تحرير". كما هو موضح في الشكل، باستثناء عمود عنوان IP، لا يمكن تغيير الخيارات الأخرى. إذا كان منفذ خادم FTP الذي قمت بتعيينه مسبقًا ليس هو 21 الافتراضي، فيرجى الرجوع إلى الخطوة السابقة والنقر فوق "إضافة" ضمن علامة التبويب "الخدمة"، وإدخال اسم الخادم وعنوان IP، ثم ملء رقم المنفذ الداخلي الخارجي مع القيمة الافتراضية الخاصة بك هذا كل شيء.
2. وظيفة "تصفية TCP/IP". انتقل إلى "Local Area Connection" --- "عام" --- "Internet Protocol (TCP/IP)"، ثم انقر نقرًا مزدوجًا للفتح، ثم انقر فوق الزر "Advanced"، ثم انتقل إلى "Options" لبدء الإعدادات . كما هو موضح في الشكل أدناه، يمكننا هنا ضبط النظام للسماح فقط بالمنافذ المفتوحة، ويمكن لإعداد التصفية هذا أن يمنع بشكل فعال عمليات التطفل الأكثر شيوعًا مثل المنفذ 139. ومع ذلك، فإن عيوب هذه الطريقة واضحة أيضًا: الوظيفة بسيطة للغاية. ويمكن تعيين المنافذ المفتوحة المسموح بها فقط، ولا يمكنك تخصيص المنافذ المراد إغلاقها. إذا كنت بحاجة إلى فتح منافذ متعددة، فيجب عليك إضافتها يدويًا واحدًا تلو الآخر، وهو أمر أكثر إزعاجًا.
أمان الخادم هو موضوع لا يمكن الانتهاء منه أبدًا، والمفتاح هو أن يقوم الجميع بتلخيص الخبرة وتجميع الخبرة في الإدارة الفعلية. بعد اجتياز إعدادات الإدارة الأساسية المذكورة أعلاه، يجب أن يتمتع بروتوكول نقل الملفات (FTP) الخاص بك بدرجة معينة من الأمان ويمكن استخدامه بثقة!