При настройке FTP-сервера безопасность всегда является главным приоритетом, особенно для FTP-серверов, установленных с использованием таких инструментов, как IIS. Если настройка неправильная и происходит злонамеренная атака, не стоит вызывать панику всей серверной системы. Поэтому необходимо принять разумное и комплексное управление безопасностью!
Начнем с безопасности IIS.
IIS, начиная с ядра системы NT, стал собственным важным носителем информации, но его неизбежные уязвимости также упоминаются во многих материалах. IIS используется для настройки FTP-сервера. Его простые и понятные настройки завоевали расположение многих людей. Поэтому, чтобы эффективно использовать IIS, мы должны рассмотреть вопросы его безопасности со следующих аспектов:
1. Установите системные патчи. Веб-сайт Microsoft часто публикует последние исправления безопасности системы на своем официальном веб-сайте, и вы можете обновить их в любое время с помощью программы Windows Update, поставляемой вместе с системой.
2. Настройки каталога FTP. Чаще всего домашний каталог назначают логическому диску, затем устанавливают разные права доступа для каждого подкаталога в соответствии с разными пользователями и закрывают некоторые ненужные службы. Это может помешать недобросовестным людям использовать уязвимости переполнения IIS для доступа к системному диску. . первый уровень защиты.
3. Постарайтесь не использовать порт по умолчанию 21 и включите ведение журнала, чтобы вы могли проверить, когда служба FTP работает ненормально.
Еще одна программа настройки FTP Serv_U.
Интерфейс программы показан на рисунке ниже. Я считаю, что это программное обеспечение лучше справляется с задачей безопасности, и его настройки не подвержены ошибкам. После некоторого использования я чувствую, что его скорость намного выше, чем у IIS. Тем не менее, следует также обратить внимание на его правильную настройку:
1. По поводу настроек пароля сервера в домене.
Serv_U предоставляет три типа паролей безопасности: пароль правила, OTPS/KEY MD4 и OTPS/KEY MD5. Само собой разумеется, что пароль правила имеет самый низкий уровень безопасности. Как правило, после того, как мы настроили учетную запись с правами администратора, мы открываем раскрывающийся список «Тип пароля» на вкладке «Общие», и относительно безопаснее выбрать последние два типа.
[Вырезанная страница]
2. Установите флажок «Блокировать атаки FTP_bounce и FXP». FXP также называют межсерверной атакой. Проще говоря:
Когда злоумышленник добавляет конкретную информацию об адресе в команду PORT, это приводит к тому, что FTP-сервер устанавливает соединение с другими неклиентскими компьютерами. Если FTP-сервер имеет право доступа к этим неклиентским компьютерам, он может использовать команду «. посредник" FTP-сервера. Организация" для достижения соединения с целевым сервером!
3. Как и в случае с IIS, лучше всего переместить домашний каталог в другие разделы. В то же время при настройке разрешений для пользователей лучше всего сначала установить их на низкое значение, а затем при необходимости установить разрешения на запись, изменение и т. д. и сохранить. журналы службы в виде файлов для дальнейшего использования.
После разговора о настройке программного обеспечения поговорим о самой операционной системе.
Учитывая безопасность FTP-сервера, лучше всего использовать серверную версию Win2000, корпоративную версию WinXP или Windows2003 и обращать внимание на загрузку исправлений безопасности и обновлений в любое время.
1. Вы можете использовать встроенную в систему функцию «Брандмауэр подключения к Интернету» для выполнения настроек безопасности. Откройте диалоговое окно свойств «Подключение по локальной сети», войдите на вкладку «Дополнительно», установите флажок «Защитить мой компьютер и сеть, ограничив или заблокировав доступ к этому компьютеру из Интернета», затем нажмите кнопку «Настройки» в правом нижнем углу; Войдите в «Дополнительные настройки», выберите «FTP-сервер» и нажмите «Изменить». Как показано на рисунке, другие параметры, за исключением столбца IP-адреса, изменить нельзя. Если порт FTP-сервера, который вы установили заранее, отличается от порта по умолчанию 21, вернитесь к предыдущему шагу и нажмите «Добавить» на вкладке «Сервис», введите имя сервера и IP-адрес, а также введите номер внешнего внутреннего порта. со значением по умолчанию. Вот и все.
2. Функция «TCP/IP-фильтрация». Перейдите в «Подключение по локальной сети» --- «Общие» --- «Протокол Интернета (TCP/IP)», затем дважды щелкните, чтобы открыть, затем нажмите кнопку «Дополнительно», переключитесь на «Параметры», чтобы начать настройки. . Как показано на рисунке ниже, здесь мы можем настроить систему так, чтобы она разрешала только открытые порты. Эта настройка фильтрации может эффективно предотвратить наиболее распространенные вторжения, такие как порт 139. Однако недостатки этого метода также очевидны: функция слишком проста. и можно установить только разрешенные открытые порты, вы не можете настроить закрытие портов. Если вам нужно открыть несколько портов, вам придется добавлять их вручную один за другим, что более хлопотно.
Безопасность сервера — это тема, которую невозможно закончить. Главное — подвести итоги и накопить опыт реального управления. После передачи вышеуказанных основных настроек управления ваш FTP должен иметь определенную степень безопасности, и его можно будет с уверенностью использовать!
2. Установите флажок «Блокировать атаки FTP_bounce и FXP». FXP также называют межсерверной атакой. Проще говоря:
Когда злоумышленник добавляет конкретную информацию об адресе в команду PORT, это приводит к тому, что FTP-сервер устанавливает соединение с другими неклиентскими компьютерами. Если FTP-сервер имеет право доступа к этим неклиентским компьютерам, он может использовать команду «. посредник" FTP-сервера. Организация" для достижения соединения с целевым сервером!
3. Как и в случае с IIS, лучше всего переместить домашний каталог в другие разделы. В то же время при настройке разрешений для пользователей лучше всего сначала установить их на низкое значение, а затем при необходимости установить разрешения на запись, изменение и т. д. и сохранить. журналы службы в виде файлов для дальнейшего использования.
После разговора о настройке программного обеспечения поговорим о самой операционной системе.
Учитывая безопасность FTP-сервера, лучше всего использовать серверную версию Win2000, корпоративную версию WinXP или Windows2003 и обращать внимание на загрузку исправлений безопасности и обновлений в любое время.
1. Вы можете использовать встроенную в систему функцию «Брандмауэр подключения к Интернету» для выполнения настроек безопасности. Откройте диалоговое окно свойств «Подключение по локальной сети», войдите на вкладку «Дополнительно», установите флажок «Защитить мой компьютер и сеть, ограничив или заблокировав доступ к этому компьютеру из Интернета», затем нажмите кнопку «Настройки» в правом нижнем углу; Войдите в «Дополнительные настройки», выберите «FTP-сервер» и нажмите «Изменить». Как показано на рисунке, другие параметры, за исключением столбца IP-адреса, изменить нельзя. Если порт FTP-сервера, который вы установили заранее, отличается от порта по умолчанию 21, вернитесь к предыдущему шагу и нажмите «Добавить» на вкладке «Сервис», введите имя сервера и IP-адрес, а также введите номер внешнего внутреннего порта. со значением по умолчанию. Вот и все.
2. Функция «TCP/IP-фильтрация». Перейдите в «Подключение по локальной сети» --- «Общие» --- «Протокол Интернета (TCP/IP)», затем дважды щелкните, чтобы открыть, затем нажмите кнопку «Дополнительно», переключитесь на «Параметры», чтобы начать настройки. . Как показано на рисунке ниже, здесь мы можем настроить систему так, чтобы она разрешала только открытые порты. Эта настройка фильтрации может эффективно предотвратить наиболее распространенные вторжения, такие как порт 139. Однако недостатки этого метода также очевидны: функция слишком проста. и можно установить только разрешенные открытые порты, вы не можете настроить закрытие портов. Если вам нужно открыть несколько портов, вам придется добавлять их вручную один за другим, что более хлопотно.
Безопасность сервера — это тема, которую невозможно закончить. Главное — подвести итоги и накопить опыт реального управления. После передачи вышеуказанных основных настроек управления ваш FTP должен иметь определенную степень безопасности, и его можно будет с уверенностью использовать!