Ao configurar um servidor FTP, a segurança é sempre a primeira prioridade, especialmente para servidores FTP estabelecidos com ferramentas como o IIS. Se a configuração for inadequada e ocorrer um ataque malicioso, não é alarmista causar o colapso de todo o sistema do servidor. Portanto, é necessário adotar um gerenciamento de segurança razoável e abrangente!
Vamos começar com a segurança do IIS.
O IIS, a partir do kernel do sistema NT, tornou-se seu importante portador de liberação de informações, mas suas vulnerabilidades inevitáveis também são mencionadas em muitos materiais. O IIS é usado para configurar um servidor FTP. Suas configurações simples e fáceis de entender conquistaram a preferência de muitas pessoas. Portanto, para fazer bom uso do IIS, devemos considerar seus problemas de segurança nos seguintes aspectos:
1. Instale patches do sistema. O site da Microsoft geralmente lança os patches de segurança do sistema mais recentes em seu site oficial, e você pode atualizá-los a qualquer momento usando o programa Windows Update que acompanha o sistema.
2. Configurações do diretório FTP. É mais comum atribuir o diretório inicial a um disco lógico, definir diferentes permissões de acesso para cada subdiretório de acordo com diferentes usuários e fechar alguns serviços desnecessários. Isso pode impedir que pessoas inescrupulosas usem vulnerabilidades de estouro do IIS para acessar o disco do sistema. . um primeiro nível de proteção.
3. Tente não usar o número de porta padrão 21 e ative o registro para poder verificar quando o serviço FTP está anormal.
Outro software de configuração de FTP Serv_U.
A interface do software é mostrada na figura abaixo. Sinto que este software faz um trabalho melhor em termos de segurança e suas configurações não são propensas a erros. Depois de usá-lo por um tempo, sinto que sua velocidade é muito mais rápida que o IIS. Mesmo assim, deve-se atentar também para sua correta configuração:
1. Em relação às configurações de senha do servidor no domínio.
Serv_U fornece três tipos de senha de segurança: senha de regra, OTPS/KEY MD4 e OTPS/KEY MD5. Nem é preciso dizer que a senha de regra tem a segurança mais baixa. Geralmente, depois de configurarmos uma conta com direitos administrativos, abrimos a caixa suspensa “Tipo de senha” na guia “Geral”, e é relativamente mais seguro escolher os dois últimos tipos.
[Página cortada]
2. Marque "Bloquear ataques FTP_bounce e FXP". FXP também é chamado de ataque entre servidores.
Quando um usuário mal-intencionado adiciona informações de endereço específicas ao comando PORT, isso fará com que o servidor FTP estabeleça uma conexão com outras máquinas não clientes. Se o servidor FTP tiver o direito de acessar esses computadores não clientes, ele poderá usar o ". intermediário" do servidor FTP. Organização" para conseguir conexão com o servidor de destino!
3. Como o IIS, é melhor mover o diretório inicial para outras partições. Ao mesmo tempo, ao definir as permissões para os usuários, é melhor defini-las primeiro e, em seguida, definir as permissões de gravação, modificação, etc., quando necessário; os logs de serviço na forma de arquivos, para referência futura.
Depois de falar sobre a configuração do software, vamos falar sobre o sistema operacional em si.
Considerando a segurança do servidor FTP, é melhor usar a versão do servidor Win2000, versão empresarial winxp ou Windows2003 e prestar atenção ao download de patches e atualizações de segurança a qualquer momento.
1. Você pode usar a função integrada "Firewall de conexão com a Internet" do sistema para realizar configurações de segurança. Abra a caixa de diálogo de propriedades "Conexão Local", entre na guia "Avançado", marque "Proteger meu computador e rede restringindo ou bloqueando o acesso a este computador pela Internet" e clique no botão "Configurações" no canto inferior direito; Entre em “Configurações avançadas”, selecione “Servidor FTP” e clique em Editar Conforme mostrado na figura, exceto a coluna de endereço IP, as demais opções não podem ser alteradas. Se a porta do servidor FTP que você definiu antecipadamente não for o padrão 21, volte para a etapa anterior e clique em "Adicionar" na guia "Serviço", insira o nome do servidor e o endereço IP e preencha o número da porta interna externa com seu valor padrão É isso.
2. Função "Filtragem TCP/IP". Vá para "Conexão Local" --- "Geral" --- "Protocolo de Internet (TCP/IP)", clique duas vezes para abrir, clique no botão "Avançado", mude para "Opções" para iniciar as configurações . Conforme mostrado na figura abaixo, aqui podemos configurar o sistema para permitir apenas portas abertas. Esta configuração de filtragem pode prevenir eficazmente as intrusões mais comuns, como a porta 139. No entanto, as deficiências deste método também são óbvias: a função é muito simples. e apenas portas abertas permitidas podem ser definidas, você não pode personalizar as portas a serem fechadas. Se precisar abrir várias portas, você terá que adicioná-las manualmente, uma por uma, o que é mais problemático.
A segurança do servidor é um tema que nunca pode ser concluído. O segredo é que todos somem experiência e acumulem experiência no gerenciamento real. Depois de passar pelas configurações básicas de gerenciamento acima, seu FTP deverá ter um certo grau de segurança e poderá ser usado com confiança!
2. Marque "Bloquear ataques FTP_bounce e FXP". FXP também é chamado de ataque entre servidores.
Quando um usuário mal-intencionado adiciona informações de endereço específicas ao comando PORT, isso fará com que o servidor FTP estabeleça uma conexão com outras máquinas não clientes. Se o servidor FTP tiver o direito de acessar esses computadores não clientes, ele poderá usar o ". intermediário" do servidor FTP. Organização" para conseguir conexão com o servidor de destino!
3. Como o IIS, é melhor mover o diretório inicial para outras partições. Ao mesmo tempo, ao definir as permissões para os usuários, é melhor defini-las primeiro e, em seguida, definir as permissões de gravação, modificação, etc., quando necessário; os logs de serviço na forma de arquivos, para referência futura.
Depois de falar sobre a configuração do software, vamos falar sobre o sistema operacional em si.
Considerando a segurança do servidor FTP, é melhor usar a versão do servidor Win2000, versão empresarial winxp ou Windows2003 e prestar atenção ao download de patches e atualizações de segurança a qualquer momento.
1. Você pode usar a função integrada "Firewall de conexão com a Internet" do sistema para realizar configurações de segurança. Abra a caixa de diálogo de propriedades "Conexão Local", entre na guia "Avançado", marque "Proteger meu computador e rede restringindo ou bloqueando o acesso a este computador pela Internet" e clique no botão "Configurações" no canto inferior direito; Entre em “Configurações avançadas”, selecione “Servidor FTP” e clique em Editar Conforme mostrado na figura, exceto a coluna de endereço IP, as demais opções não podem ser alteradas. Se a porta do servidor FTP que você definiu antecipadamente não for o padrão 21, volte para a etapa anterior e clique em "Adicionar" na guia "Serviço", insira o nome do servidor e o endereço IP e preencha o número da porta interna externa com seu valor padrão É isso.
2. Função "Filtragem TCP/IP". Vá para "Conexão Local" --- "Geral" --- "Protocolo de Internet (TCP/IP)", clique duas vezes para abrir, clique no botão "Avançado", mude para "Opções" para iniciar as configurações . Conforme mostrado na figura abaixo, aqui podemos configurar o sistema para permitir apenas portas abertas. Esta configuração de filtragem pode prevenir eficazmente as intrusões mais comuns, como a porta 139. No entanto, as deficiências deste método também são óbvias: a função é muito simples. e apenas portas abertas permitidas podem ser definidas, você não pode personalizar as portas a serem fechadas. Se precisar abrir várias portas, você terá que adicioná-las manualmente, uma por uma, o que é mais problemático.
A segurança do servidor é um tema que nunca pode ser concluído. O segredo é que todos somem experiência e acumulem experiência no gerenciamento real. Depois de passar pelas configurações básicas de gerenciamento acima, seu FTP deverá ter um certo grau de segurança e poderá ser usado com confiança!