FTP サーバーを設定するときは、特に IIS などのツールを使用して確立された FTP サーバーの場合、セキュリティが常に最優先されます。設定を誤って悪意のある攻撃が発生すると、サーバーシステム全体が崩壊してしまう恐れもあるため、合理的かつ総合的なセキュリティ管理が必要です。
IIS のセキュリティから始めましょう。
IIS は、NT システム カーネルから始まり、それ自体が重要な情報公開キャリアとなっていますが、その避けられない脆弱性についても多くの資料で言及されています。 IIS は FTP サーバーの設定に使用され、そのシンプルでわかりやすい設定が多くの人々に支持されています。そのため、IIS を有効に活用するには、次の側面からセキュリティの問題を考慮する必要があります。
1.システムパッチをインストールします。 Microsoft の Web サイトでは、最新のシステム セキュリティ パッチが公式 Web サイトで頻繁にリリースされており、システムに付属の Windows Update プログラムを使用していつでも更新できます。
2. FTP ディレクトリの設定。ホーム ディレクトリを論理ディスクに割り当て、さまざまなユーザーに応じてサブディレクトリごとに異なるアクセス許可を設定し、不要なサービスの一部を閉じることが一般的です。これにより、悪意のあるユーザーが IIS のオーバーフローの脆弱性を利用してシステム ディスクにアクセスすることを防ぐことができます。 .第一レベルの保護。
3.デフォルトのポート番号 21 は使用せず、FTP サービスの異常を確認できるようにログ記録を有効にしてください。
別の FTP セットアップ ソフトウェア Serv_U。
ソフトウェア インターフェイスを次の図に示します。このソフトウェアはセキュリティの面で優れていると感じますし、設定の間違いも起こりにくく、しばらく使ってみると速度は IIS よりもはるかに速いと感じます。それでも、その正しい構成にも注意を払う必要があります。
1.ドメインのサーバーパスワード設定について。
Serv_U は、ルール パスワード、OTPS/KEY MD4、OTPS/KEY MD5 の 3 つのセキュリティ パスワード タイプを提供します。言うまでもなく、ルール パスワードのセキュリティは最も低くなります。通常、管理者権限を持つアカウントを設定した後、[全般] タブの下にある [パスワードの種類] ドロップダウン ボックスを開きます。後者の 2 つの種類を選択する方が比較的安全です。
[カットページ]
2. 「FTP_bounce 攻撃と FXP をブロックする」にチェックを入れます。 FXP は、簡単に言うと、クロスサーバー攻撃とも呼ばれます。
悪意のあるユーザーが PORT コマンドに特定のアドレス情報を追加すると、FTP サーバーは他の非クライアント コンピューターとの接続を確立します。FTP サーバーがそれらの非クライアント コンピューターにアクセスする権限を持っている場合、「」を使用できます。 FTPサーバーの「仲介組織」を利用して目的のサーバーとの接続を実現!
3. IIS と同様に、ユーザーのアクセス許可を設定するときは、同時にホーム ディレクトリを低く設定し、必要に応じて書き込み、変更などのアクセス許可を設定して保存することをお勧めします。将来の参照用に、サービス ログをファイル形式で保存します。
ソフトウェアのセットアップについて話した後は、オペレーティング システム自体について話しましょう。
FTP サーバーのセキュリティを考慮すると、Win2000 サーバー バージョン、winxp または Windows2003 エンタープライズ バージョンを使用し、セキュリティ パッチやアップグレードを常にダウンロードするように注意することが最善です。
1.システムに内蔵されている「インターネット接続ファイアウォール」機能を利用して、セキュリティ設定を行うことができます。 [ローカル エリア接続] プロパティ ダイアログ ボックスを開き、[詳細設定] タブに入り、[インターネットからのこのコンピューターへのアクセスを制限またはブロックしてコンピューターとネットワークを保護する] にチェックを入れて、右下隅の [設定] ボタンをクリックします。 「詳細設定」を入力し、「FTPサーバー」を選択して「編集」をクリックします。図に示すように、IPアドレス列を除き、他のオプションは変更できません。事前に設定したFTPサーバーのポートがデフォルトの21ではない場合は、前の手順に戻って「サービス」タブの「追加」をクリックし、サーバー名とIPアドレスを入力し、外部内部ポート番号を入力してください。デフォルト値を使用するだけです。
2. 「TCP/IPフィルタリング」機能。 「ローカルエリア接続」---「一般」---「インターネットプロトコル(TCP/IP)」に進み、ダブルクリックして開き、「詳細」ボタンをクリックして「オプション」に切り替えて設定を開始します。 。以下の図に示すように、ここでは、開いているポートのみを許可するようにシステムを設定できます。このフィルタリング設定により、ポート 139 などの最も一般的な侵入を効果的に防ぐことができます。ただし、この方法の欠点も明らかです。機能が単純すぎるということです。許可されたポートのみを設定でき、閉じるポートをカスタマイズすることはできません。複数のポートを開く必要がある場合は、それらを 1 つずつ手動で追加する必要があります。
サーバーセキュリティは決して終わることのないテーマであり、実際の管理において全員が経験を積み上げていくことが重要です。上記の基本的な管理設定を通過すると、FTP にはある程度のセキュリティが確保され、安心して使用できるようになります。
2. 「FTP_bounce 攻撃と FXP をブロックする」にチェックを入れます。 FXP は、簡単に言うと、クロスサーバー攻撃とも呼ばれます。
悪意のあるユーザーが PORT コマンドに特定のアドレス情報を追加すると、FTP サーバーは他の非クライアント コンピューターとの接続を確立します。FTP サーバーがそれらの非クライアント コンピューターにアクセスする権限を持っている場合、「」を使用できます。 FTPサーバーの「仲介組織」を利用して目的のサーバーとの接続を実現!
3. IIS と同様に、ユーザーのアクセス許可を設定するときは、同時にホーム ディレクトリを低く設定し、必要に応じて書き込み、変更などのアクセス許可を設定して保存することをお勧めします。将来の参照用に、サービス ログをファイル形式で保存します。
ソフトウェアのセットアップについて話した後は、オペレーティング システム自体について話しましょう。
FTP サーバーのセキュリティを考慮すると、Win2000 サーバー バージョン、winxp または Windows2003 エンタープライズ バージョンを使用し、セキュリティ パッチやアップグレードを常にダウンロードするように注意することが最善です。
1.システムに内蔵されている「インターネット接続ファイアウォール」機能を利用して、セキュリティ設定を行うことができます。 [ローカル エリア接続] プロパティ ダイアログ ボックスを開き、[詳細設定] タブに入り、[インターネットからのこのコンピューターへのアクセスを制限またはブロックしてコンピューターとネットワークを保護する] にチェックを入れて、右下隅の [設定] ボタンをクリックします。 「詳細設定」を入力し、「FTPサーバー」を選択して「編集」をクリックします。図に示すように、IPアドレス列を除き、他のオプションは変更できません。事前に設定したFTPサーバーのポートがデフォルトの21ではない場合は、前の手順に戻って「サービス」タブの「追加」をクリックし、サーバー名とIPアドレスを入力し、外部内部ポート番号を入力してください。デフォルト値を使用するだけです。
2. 「TCP/IPフィルタリング」機能。 「ローカルエリア接続」---「一般」---「インターネットプロトコル(TCP/IP)」に進み、ダブルクリックして開き、「詳細」ボタンをクリックして「オプション」に切り替えて設定を開始します。 。以下の図に示すように、ここでは、開いているポートのみを許可するようにシステムを設定できます。このフィルタリング設定により、ポート 139 などの最も一般的な侵入を効果的に防ぐことができます。ただし、この方法の欠点も明らかです。機能が単純すぎるということです。許可されたポートのみを設定でき、閉じるポートをカスタマイズすることはできません。複数のポートを開く必要がある場合は、それらを 1 つずつ手動で追加する必要があります。
サーバーセキュリティは決して終わることのないテーマであり、実際の管理において全員が経験を積み上げていくことが重要です。上記の基本的な管理設定を通過すると、FTP にはある程度のセキュリティが確保され、安心して使用できるようになります。