Al configurar un servidor FTP, la seguridad es siempre la primera prioridad, especialmente para servidores FTP establecidos mediante herramientas como IIS. Si la configuración es incorrecta y se produce un ataque malicioso, no es alarmista provocar el colapso de todo el sistema del servidor. Por lo tanto, es necesario adoptar una gestión de seguridad razonable y completa.
Comencemos con la seguridad de IIS.
IIS, a partir del núcleo del sistema NT, se ha convertido en su importante medio de divulgación de información, pero sus inevitables vulnerabilidades también se mencionan en muchos materiales. IIS se utiliza para configurar un servidor FTP. Su configuración simple y fácil de entender se ha ganado el favor de muchas personas. Por lo tanto, para hacer un buen uso de IIS, debemos considerar sus problemas de seguridad desde los siguientes aspectos:
1. Instalar parches del sistema. El sitio web de Microsoft suele publicar los últimos parches de seguridad del sistema en su sitio web oficial y puede actualizarlos en cualquier momento utilizando el programa Windows Update que viene con el sistema.
2. Configuración del directorio FTP. Es más común asignar el directorio de inicio a un disco lógico, luego establecer diferentes permisos de acceso para cada subdirectorio según los diferentes usuarios y cerrar algunos servicios innecesarios. Esto puede evitar que personas sin escrúpulos utilicen vulnerabilidades de desbordamiento de IIS para acceder al disco del sistema. . un primer nivel de protección.
3. Intente no utilizar el número de puerto predeterminado 21 y habilite el registro para poder comprobar cuándo el servicio FTP es anormal.
Otro software de configuración de FTP, Serv_U.
La interfaz del software se muestra en la siguiente figura. Siento que este software hace un mejor trabajo en términos de seguridad y su configuración no es propensa a errores. Después de usarlo por un tiempo, siento que su velocidad es mucho más rápida que IIS. Aun así también hay que prestar atención a su correcta configuración:
1. Respecto a la configuración de contraseña del servidor en el dominio.
Serv_U proporciona tres tipos de contraseñas de seguridad: contraseña de regla, OTPS/KEY MD4 y OTPS/KEY MD5. No hace falta decir que la contraseña de regla tiene la seguridad más baja. Generalmente, después de configurar una cuenta con derechos administrativos, abrimos el cuadro desplegable "Tipo de contraseña" en la pestaña "General", y es relativamente más seguro elegir los dos últimos tipos.
[Cortar-Página]
2. Marque "Bloquear ataques FTP_bounce y FXP". FXP también se denomina ataque entre servidores. En pocas palabras:
Cuando un usuario malintencionado agrega información de dirección específica al comando PORT, hará que el servidor FTP establezca una conexión con otras máquinas que no son clientes. Si el servidor FTP tiene derecho a acceder a esas computadoras que no son clientes, puede usar ". intermediario" del servidor FTP. Organización" para lograr la conexión con el servidor de destino!
3. Al igual que IIS, es mejor mover el directorio de inicio a otras particiones. Al mismo tiempo, al configurar los permisos para los usuarios, es mejor configurarlos primero y luego configurar los permisos de escritura, modificación, etc. cuando sea necesario. el servicio se registra en forma de archivos, para referencia futura.
Después de hablar de configurar el software, hablemos del sistema operativo en sí.
Teniendo en cuenta la seguridad del servidor FTP, es mejor utilizar la versión del servidor Win2000, winxp o la versión empresarial de Windows 2003, y prestar atención a la descarga de parches y actualizaciones de seguridad en cualquier momento.
1. Puede utilizar la función integrada "Firewall de conexión a Internet" del sistema para realizar configuraciones de seguridad. Abra el cuadro de diálogo de propiedades de "Conexión de área local", ingrese a la pestaña "Avanzado", marque "Proteger mi computadora y mi red restringiendo o bloqueando el acceso a esta computadora desde Internet" y luego haga clic en el botón "Configuración" en la esquina inferior derecha; Ingrese a "Configuración avanzada", seleccione "Servidor FTP" y haga clic en Editar. Como se muestra en la figura, excepto la columna de dirección IP, las otras opciones no se pueden cambiar. Si el puerto del servidor FTP que configuró de antemano no es el 21 predeterminado, regrese al paso anterior y haga clic en "Agregar" en la pestaña "Servicio", ingrese el nombre del servidor y la dirección IP y complete el número del puerto interno externo. con su valor predeterminado Eso es todo.
2. Función "Filtrado TCP/IP". Vaya a "Conexión de área local" --- "General" --- "Protocolo de Internet (TCP/IP)", luego haga doble clic para abrir, luego haga clic en el botón "Avanzado", cambie a "Opciones" para iniciar la configuración . Como se muestra en la siguiente figura, aquí podemos configurar el sistema para que solo permita puertos abiertos. Esta configuración de filtrado puede prevenir eficazmente las intrusiones más comunes, como el puerto 139. Sin embargo, las deficiencias de este método también son obvias: la función es demasiado simple. y solo se pueden configurar los puertos abiertos permitidos, no puede personalizar los puertos que se cerrarán. Si necesita abrir varios puertos, debe agregarlos manualmente uno por uno, lo cual es más problemático.
La seguridad del servidor es un tema que nunca se puede terminar. La clave es que todos sumen experiencia y acumulen experiencia en la gestión real. Después de pasar las configuraciones de administración básicas anteriores, su FTP debe tener un cierto grado de seguridad y puede usarse con confianza.
2. Marque "Bloquear ataques FTP_bounce y FXP". FXP también se denomina ataque entre servidores. En pocas palabras:
Cuando un usuario malintencionado agrega información de dirección específica al comando PORT, hará que el servidor FTP establezca una conexión con otras máquinas que no son clientes. Si el servidor FTP tiene derecho a acceder a esas computadoras que no son clientes, puede usar ". intermediario" del servidor FTP. Organización" para lograr la conexión con el servidor de destino!
3. Al igual que IIS, es mejor mover el directorio de inicio a otras particiones. Al mismo tiempo, al configurar los permisos para los usuarios, es mejor configurarlos primero y luego configurar los permisos de escritura, modificación, etc. cuando sea necesario. el servicio se registra en forma de archivos, para referencia futura.
Después de hablar de configurar el software, hablemos del sistema operativo en sí.
Teniendo en cuenta la seguridad del servidor FTP, es mejor utilizar la versión del servidor Win2000, winxp o la versión empresarial de Windows 2003, y prestar atención a la descarga de parches y actualizaciones de seguridad en cualquier momento.
1. Puede utilizar la función integrada "Firewall de conexión a Internet" del sistema para realizar configuraciones de seguridad. Abra el cuadro de diálogo de propiedades de "Conexión de área local", ingrese a la pestaña "Avanzado", marque "Proteger mi computadora y mi red restringiendo o bloqueando el acceso a esta computadora desde Internet" y luego haga clic en el botón "Configuración" en la esquina inferior derecha; Ingrese a "Configuración avanzada", seleccione "Servidor FTP" y haga clic en Editar. Como se muestra en la figura, excepto la columna de dirección IP, las otras opciones no se pueden cambiar. Si el puerto del servidor FTP que configuró de antemano no es el 21 predeterminado, regrese al paso anterior y haga clic en "Agregar" en la pestaña "Servicio", ingrese el nombre del servidor y la dirección IP y complete el número del puerto interno externo. con su valor predeterminado Eso es todo.
2. Función "Filtrado TCP/IP". Vaya a "Conexión de área local" --- "General" --- "Protocolo de Internet (TCP/IP)", luego haga doble clic para abrir, luego haga clic en el botón "Avanzado", cambie a "Opciones" para iniciar la configuración . Como se muestra en la siguiente figura, aquí podemos configurar el sistema para que solo permita puertos abiertos. Esta configuración de filtrado puede prevenir eficazmente las intrusiones más comunes, como el puerto 139. Sin embargo, las deficiencias de este método también son obvias: la función es demasiado simple. y solo se pueden configurar los puertos abiertos permitidos, no puede personalizar los puertos que se cerrarán. Si necesita abrir varios puertos, debe agregarlos manualmente uno por uno, lo cual es más problemático.
La seguridad del servidor es un tema que nunca se puede terminar. La clave es que todos sumen experiencia y acumulen experiencia en la gestión real. Después de pasar las configuraciones de administración básicas anteriores, su FTP debe tener un cierto grado de seguridad y puede usarse con confianza.