Lors de la configuration d'un serveur FTP, la sécurité est toujours la première priorité, en particulier pour les serveurs FTP établis à l'aide d'outils tels que IIS. Si le paramètre est incorrect et qu'une attaque malveillante se produit, il n'est pas alarmiste de provoquer l'effondrement de l'ensemble du système serveur. Il est donc nécessaire d'adopter une gestion de sécurité raisonnable et complète !
Commençons par la sécurité d’IIS.
IIS, à partir du noyau du système NT, est devenu son propre support de diffusion d'informations important, mais ses inévitables vulnérabilités sont également mentionnées dans de nombreux documents. IIS est utilisé pour configurer un serveur FTP. Ses paramètres simples et faciles à comprendre ont gagné la faveur de nombreuses personnes. Par conséquent, pour faire bon usage d'IIS, nous devons considérer ses problèmes de sécurité sous les aspects suivants :
1. Installez les correctifs système. Le site Web de Microsoft publie souvent les derniers correctifs de sécurité du système sur son site officiel et vous pouvez les mettre à jour à tout moment à l'aide du programme Windows Update fourni avec le système.
2. Paramètres du répertoire FTP. Il est plus courant d'attribuer le répertoire personnel à un disque logique, puis de définir des autorisations d'accès différentes pour chaque sous-répertoire en fonction des différents utilisateurs et de fermer certains services inutiles. Cela peut empêcher des personnes sans scrupules d'utiliser les vulnérabilités de débordement d'IIS pour accéder au disque système. .un premier niveau de protection.
3. Essayez de ne pas utiliser le numéro de port par défaut 21 et activez la journalisation afin de pouvoir vérifier quand le service FTP est anormal.
Un autre logiciel de configuration FTP Serv_U.
L'interface du logiciel est illustrée dans la figure ci-dessous. Je pense que ce logiciel fait un meilleur travail en termes de sécurité et que ses paramètres ne sont pas sujets aux erreurs. Après l'avoir utilisé pendant un certain temps, j'ai l'impression que sa vitesse est beaucoup plus rapide que celle d'IIS. Il convient néanmoins également de prêter attention à sa configuration correcte :
1. Concernant les paramètres de mot de passe du serveur dans le domaine.
Serv_U propose trois types de mots de passe de sécurité : mot de passe de règle, OTPS/KEY MD4 et OTPS/KEY MD5. Il va sans dire que le mot de passe de règle a la sécurité la plus faible. Généralement, après avoir créé un compte avec des droits d'administrateur, nous ouvrons la liste déroulante « Type de mot de passe » sous l'onglet « Général », et il est relativement plus sûr de choisir les deux derniers types.
[Page coupée]
2. Cochez "Bloquer les attaques FTP_bounce et FXP". FXP est également appelé attaque inter-serveurs. En termes simples :
Lorsqu'un utilisateur malveillant ajoute des informations d'adresse spécifiques à la commande PORT, le serveur FTP établira une connexion avec d'autres machines non clientes. Si le serveur FTP a le droit d'accéder à ces ordinateurs non clients, il peut utiliser le ". intermédiaire" du serveur FTP. Organisation" pour établir la connexion avec le serveur cible !
3. Comme IIS, il est préférable de déplacer le répertoire personnel vers d'autres partitions. En même temps, lors de la définition des autorisations pour les utilisateurs, il est préférable de les définir d'abord à un niveau bas, puis de définir les autorisations d'écriture, de modification, etc. si nécessaire et de les enregistrer. le service se connecte sous forme de fichiers, pour référence future.
Après avoir parlé de configuration du logiciel, parlons du système d’exploitation lui-même.
Compte tenu de la sécurité du serveur FTP, il est préférable d'utiliser la version serveur Win2000, la version entreprise WinXP ou Windows 2003, et de faire attention au téléchargement des correctifs de sécurité et des mises à niveau à tout moment.
1. Vous pouvez utiliser la fonction « Pare-feu de connexion Internet » intégrée au système pour effectuer les paramètres de sécurité. Ouvrez la boîte de dialogue des propriétés « Connexion au réseau local », entrez dans l'onglet « Avancé », cochez « Protéger mon ordinateur et mon réseau en limitant ou en bloquant l'accès à cet ordinateur depuis Internet » puis cliquez sur le bouton « Paramètres » dans le coin inférieur droit ; Entrez « Paramètres avancés », sélectionnez « Serveur FTP » et cliquez sur Modifier Comme le montre la figure, à l'exception de la colonne Adresse IP, les autres options ne peuvent pas être modifiées. Si le port du serveur FTP que vous avez défini à l'avance n'est pas son port par défaut 21, veuillez revenir à l'étape précédente et cliquez sur "Ajouter" sous l'onglet "Service", entrez le nom du serveur et l'adresse IP, puis remplissez le numéro de port interne externe. avec votre valeur par défaut. C'est tout.
2. Fonction "Filtrage TCP/IP". Allez dans « Connexion au réseau local » --- « Général » --- « Protocole Internet (TCP/IP) », puis double-cliquez pour ouvrir, puis cliquez sur le bouton « Avancé », passez à « Options » pour démarrer les paramètres. . Comme le montre la figure ci-dessous, nous pouvons ici configurer le système pour qu'il n'autorise que les ports ouverts. Ce paramètre de filtrage peut empêcher efficacement les intrusions les plus courantes telles que le port 139. Cependant, les inconvénients de cette méthode sont également évidents : la fonction est trop simple. et seuls les ports ouverts autorisés peuvent être définis, vous ne pouvez pas personnaliser les ports à fermer. Si vous devez ouvrir plusieurs ports, vous devez les ajouter manuellement un par un, ce qui est plus gênant.
La sécurité des serveurs est un sujet qui ne peut jamais être terminé. La clé est que chacun résume son expérience et accumule de l'expérience dans la gestion réelle. Après avoir passé les paramètres de gestion de base ci-dessus, votre FTP doit avoir un certain degré de sécurité et peut être utilisé en toute confiance !
2. Cochez "Bloquer les attaques FTP_bounce et FXP". FXP est également appelé attaque inter-serveurs. En termes simples :
Lorsqu'un utilisateur malveillant ajoute des informations d'adresse spécifiques à la commande PORT, le serveur FTP établira une connexion avec d'autres machines non clientes. Si le serveur FTP a le droit d'accéder à ces ordinateurs non clients, il peut utiliser le ". intermédiaire" du serveur FTP. Organisation" pour établir la connexion avec le serveur cible !
3. Comme IIS, il est préférable de déplacer le répertoire personnel vers d'autres partitions. En même temps, lors de la définition des autorisations pour les utilisateurs, il est préférable de les définir d'abord à un niveau bas, puis de définir les autorisations d'écriture, de modification, etc. si nécessaire et de les enregistrer. le service se connecte sous forme de fichiers, pour référence future.
Après avoir parlé de configuration du logiciel, parlons du système d’exploitation lui-même.
Compte tenu de la sécurité du serveur FTP, il est préférable d'utiliser la version serveur Win2000, la version entreprise WinXP ou Windows 2003, et de faire attention au téléchargement des correctifs de sécurité et des mises à niveau à tout moment.
1. Vous pouvez utiliser la fonction « Pare-feu de connexion Internet » intégrée au système pour effectuer les paramètres de sécurité. Ouvrez la boîte de dialogue des propriétés « Connexion au réseau local », entrez dans l'onglet « Avancé », cochez « Protéger mon ordinateur et mon réseau en limitant ou en bloquant l'accès à cet ordinateur depuis Internet » puis cliquez sur le bouton « Paramètres » dans le coin inférieur droit ; Entrez « Paramètres avancés », sélectionnez « Serveur FTP » et cliquez sur Modifier Comme le montre la figure, à l'exception de la colonne Adresse IP, les autres options ne peuvent pas être modifiées. Si le port du serveur FTP que vous avez défini à l'avance n'est pas son port par défaut 21, veuillez revenir à l'étape précédente et cliquez sur "Ajouter" sous l'onglet "Service", entrez le nom du serveur et l'adresse IP, puis remplissez le numéro de port interne externe. avec votre valeur par défaut. C'est tout.
2. Fonction "Filtrage TCP/IP". Allez dans « Connexion au réseau local » --- « Général » --- « Protocole Internet (TCP/IP) », puis double-cliquez pour ouvrir, puis cliquez sur le bouton « Avancé », passez à « Options » pour démarrer les paramètres. . Comme le montre la figure ci-dessous, nous pouvons ici configurer le système pour qu'il n'autorise que les ports ouverts. Ce paramètre de filtrage peut empêcher efficacement les intrusions les plus courantes telles que le port 139. Cependant, les inconvénients de cette méthode sont également évidents : la fonction est trop simple. et seuls les ports ouverts autorisés peuvent être définis, vous ne pouvez pas personnaliser les ports à fermer. Si vous devez ouvrir plusieurs ports, vous devez les ajouter manuellement un par un, ce qui est plus gênant.
La sécurité des serveurs est un sujet qui ne peut jamais être terminé. La clé est que chacun résume son expérience et accumule de l'expérience dans la gestion réelle. Après avoir passé les paramètres de gestion de base ci-dessus, votre FTP doit avoir un certain degré de sécurité et peut être utilisé en toute confiance !