เมื่อตั้งค่าเซิร์ฟเวอร์ FTP การรักษาความปลอดภัยเป็นสิ่งสำคัญอันดับแรกเสมอ โดยเฉพาะอย่างยิ่งสำหรับเซิร์ฟเวอร์ FTP ที่สร้างขึ้นโดยใช้เครื่องมือเช่น IIS หากการตั้งค่าไม่เหมาะสมและเกิดการโจมตีที่เป็นอันตราย จะไม่ทำให้ระบบเซิร์ฟเวอร์ทั้งหมดล่มสลาย ดังนั้นจึงจำเป็นต้องนำการจัดการความปลอดภัยที่สมเหตุสมผลและครอบคลุมมาใช้
เริ่มจากความปลอดภัยของ IIS กันก่อน
IIS ซึ่งเริ่มต้นจากเคอร์เนลของระบบ NT ได้กลายเป็นผู้ให้บริการเผยแพร่ข้อมูลที่สำคัญของตนเอง แต่ก็มีการกล่าวถึงช่องโหว่ที่หลีกเลี่ยงไม่ได้ในสื่อหลายประเภทเช่นกัน IIS ใช้เพื่อตั้งค่าเซิร์ฟเวอร์ FTP การตั้งค่าที่เรียบง่ายและเข้าใจง่ายได้รับความนิยมจากผู้คนจำนวนมาก ดังนั้น เพื่อใช้ประโยชน์จาก IIS ได้ดี เราต้องพิจารณาปัญหาด้านความปลอดภัยจากประเด็นต่อไปนี้:
1. ติดตั้งแพตช์ระบบ เว็บไซต์ Microsoft มักจะเผยแพร่แพตช์ความปลอดภัยของระบบล่าสุดบนเว็บไซต์อย่างเป็นทางการ และคุณสามารถอัปเดตได้ตลอดเวลาโดยใช้โปรแกรม Windows Update ที่มาพร้อมกับระบบ
2. การตั้งค่าไดเรกทอรี FTP เป็นเรื่องปกติมากกว่าที่จะกำหนดโฮมไดเร็กตอรี่ให้กับดิสก์แบบลอจิคัล จากนั้นตั้งค่าสิทธิ์การเข้าถึงที่แตกต่างกันสำหรับแต่ละไดเร็กทอรีย่อยตามผู้ใช้ที่แตกต่างกัน และปิดบริการที่ไม่จำเป็นบางอย่าง ซึ่งสามารถป้องกันไม่ให้บุคคลที่ไร้ยางอายใช้ช่องโหว่ IIS ล้นเพื่อเข้าถึงดิสก์ระบบ . การป้องกันระดับแรก
3. พยายามอย่าใช้หมายเลขพอร์ตเริ่มต้น 21 และเปิดใช้งานการบันทึกเพื่อให้คุณสามารถตรวจสอบเมื่อบริการ FTP ผิดปกติ
ซอฟต์แวร์ตั้งค่า FTP อื่น Serv_U
อินเทอร์เฟซซอฟต์แวร์แสดงในรูปด้านล่าง ฉันรู้สึกว่าซอฟต์แวร์นี้ทำงานได้ดีกว่าในแง่ของความปลอดภัย และการตั้งค่าก็ไม่มีข้อผิดพลาดหลังจากใช้งานมาสักระยะหนึ่ง ฉันรู้สึกว่าความเร็วของมันเร็วกว่า IIS มาก อย่างไรก็ตาม ควรให้ความสนใจกับการกำหนดค่าที่ถูกต้องด้วย:
1. เกี่ยวกับการตั้งค่ารหัสผ่านเซิร์ฟเวอร์ในโดเมน
Serv_U มีรหัสผ่านความปลอดภัยสามประเภท: รหัสผ่านกฎ, OTPS/KEY MD4 และ OTPS/KEY MD5 ไม่ต้องบอกว่ารหัสผ่านกฎมีความปลอดภัยต่ำที่สุด โดยทั่วไป หลังจากที่เราตั้งค่าบัญชีที่มีสิทธิ์ผู้ดูแลระบบ เราจะเปิดช่องแบบเลื่อนลง "ประเภทรหัสผ่าน" ใต้แท็บ "ทั่วไป" และจะค่อนข้างปลอดภัยกว่าหากเลือกสองประเภทหลัง
[ตัดหน้า]
2. ทำเครื่องหมายที่ "บล็อกการโจมตี FTP_bounce และ FXP" FXP เรียกอีกอย่างว่าการโจมตีข้ามเซิร์ฟเวอร์
เมื่อผู้ใช้ที่เป็นอันตรายเพิ่มข้อมูลที่อยู่เฉพาะลงในคำสั่ง PORT จะทำให้เซิร์ฟเวอร์ FTP สร้างการเชื่อมต่อกับเครื่องที่ไม่ใช่ไคลเอนต์อื่น ๆ หากเซิร์ฟเวอร์ FTP มีสิทธิ์ในการเข้าถึงคอมพิวเตอร์ที่ไม่ใช่ไคลเอนต์เหล่านั้น ก็สามารถใช้คำสั่ง " ตัวกลาง" ของเซิร์ฟเวอร์ FTP องค์กร" เพื่อให้บรรลุการเชื่อมต่อกับเซิร์ฟเวอร์เป้าหมาย!
3. เช่นเดียวกับ IIS วิธีที่ดีที่สุดคือย้ายโฮมไดเร็กทอรีไปยังพาร์ติชันอื่น ในเวลาเดียวกัน เมื่อตั้งค่าการอนุญาตสำหรับผู้ใช้ วิธีที่ดีที่สุดคือตั้งค่าการอนุญาตเป็นต่ำก่อน จากนั้นจึงตั้งค่าการอนุญาตการเขียน แก้ไข ฯลฯ เมื่อจำเป็น บันทึกบริการในรูปแบบของไฟล์เพื่อใช้อ้างอิงในอนาคต
หลังจากพูดถึงการตั้งค่าซอฟต์แวร์แล้ว เรามาพูดถึงระบบปฏิบัติการกันดีกว่า
เมื่อพิจารณาถึงความปลอดภัยของเซิร์ฟเวอร์ FTP วิธีที่ดีที่สุดคือใช้เวอร์ชันเซิร์ฟเวอร์ Win2000, เวอร์ชันองค์กร winxp หรือ Windows2003 และให้ความสำคัญกับการดาวน์โหลดแพตช์รักษาความปลอดภัยและอัปเกรดได้ตลอดเวลา
1. คุณสามารถใช้ฟังก์ชัน "ไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ต" ในระบบเพื่อทำการตั้งค่าความปลอดภัยได้ เปิดกล่องโต้ตอบคุณสมบัติ "การเชื่อมต่อเครือข่ายท้องถิ่น" เข้าสู่แท็บ "ขั้นสูง" ทำเครื่องหมายที่ "ปกป้องคอมพิวเตอร์และเครือข่ายของฉันโดยการจำกัดหรือบล็อกการเข้าถึงคอมพิวเตอร์เครื่องนี้จากอินเทอร์เน็ต" จากนั้นคลิกปุ่ม "การตั้งค่า" ที่มุมขวาล่าง ป้อน "การตั้งค่าขั้นสูง" เลือก "เซิร์ฟเวอร์ FTP" แล้วคลิกแก้ไข ดังที่แสดงในรูป ยกเว้นคอลัมน์ที่อยู่ IP ตัวเลือกอื่นไม่สามารถเปลี่ยนแปลงได้ หากพอร์ตเซิร์ฟเวอร์ FTP ที่คุณตั้งค่าไว้ล่วงหน้าไม่ใช่ค่าเริ่มต้น 21 โปรดกลับไปที่ขั้นตอนก่อนหน้าแล้วคลิก "เพิ่ม" ใต้แท็บ "บริการ" ป้อนชื่อเซิร์ฟเวอร์และที่อยู่ IP และกรอกหมายเลขพอร์ตภายในภายนอก ด้วยค่าเริ่มต้นของคุณ แค่นั้นแหละ.
2. ฟังก์ชั่น "การกรอง TCP/IP" ไปที่ "การเชื่อมต่อเครือข่ายท้องถิ่น" --- "ทั่วไป" --- "Internet Protocol (TCP/IP)" จากนั้นดับเบิลคลิกเพื่อเปิด จากนั้นคลิกปุ่ม "ขั้นสูง" สลับไปที่ "ตัวเลือก" เพื่อเริ่มการตั้งค่า . ดังแสดงในรูปด้านล่าง เราสามารถตั้งค่าระบบให้อนุญาตเฉพาะพอร์ตที่เปิดอยู่เท่านั้น การตั้งค่าการกรองนี้สามารถป้องกันการบุกรุกที่พบบ่อยที่สุด เช่น พอร์ต 139 ได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม ข้อบกพร่องของวิธีนี้ก็ชัดเจนเช่นกัน: ฟังก์ชันนี้ง่ายเกินไป และสามารถตั้งค่าพอร์ตที่เปิดได้เท่านั้น คุณไม่สามารถปรับแต่งพอร์ตให้ปิดได้ หากคุณต้องการเปิดหลายพอร์ต คุณต้องเพิ่มทีละพอร์ตด้วยตนเอง ซึ่งจะยุ่งยากกว่า
ความปลอดภัยของเซิร์ฟเวอร์เป็นหัวข้อที่ไม่มีวันจบสิ้น สิ่งสำคัญคือให้ทุกคนได้สรุปประสบการณ์และสั่งสมประสบการณ์ในการจัดการจริง หลังจากผ่านการตั้งค่าการจัดการขั้นพื้นฐานข้างต้นแล้ว FTP ของคุณควรมีความปลอดภัยในระดับหนึ่งและสามารถนำไปใช้งานได้อย่างมั่นใจ!
2. ทำเครื่องหมายที่ "บล็อกการโจมตี FTP_bounce และ FXP" FXP เรียกอีกอย่างว่าการโจมตีข้ามเซิร์ฟเวอร์
เมื่อผู้ใช้ที่เป็นอันตรายเพิ่มข้อมูลที่อยู่เฉพาะลงในคำสั่ง PORT จะทำให้เซิร์ฟเวอร์ FTP สร้างการเชื่อมต่อกับเครื่องที่ไม่ใช่ไคลเอนต์อื่น ๆ หากเซิร์ฟเวอร์ FTP มีสิทธิ์ในการเข้าถึงคอมพิวเตอร์ที่ไม่ใช่ไคลเอนต์เหล่านั้น ก็สามารถใช้คำสั่ง " ตัวกลาง" ของเซิร์ฟเวอร์ FTP องค์กร" เพื่อให้บรรลุการเชื่อมต่อกับเซิร์ฟเวอร์เป้าหมาย!
3. เช่นเดียวกับ IIS วิธีที่ดีที่สุดคือย้ายโฮมไดเร็กทอรีไปยังพาร์ติชันอื่น ในเวลาเดียวกัน เมื่อตั้งค่าการอนุญาตสำหรับผู้ใช้ วิธีที่ดีที่สุดคือตั้งค่าการอนุญาตเป็นต่ำก่อน จากนั้นจึงตั้งค่าการอนุญาตการเขียน แก้ไข ฯลฯ เมื่อจำเป็น บันทึกบริการในรูปแบบของไฟล์เพื่อใช้อ้างอิงในอนาคต
หลังจากพูดถึงการตั้งค่าซอฟต์แวร์แล้ว เรามาพูดถึงระบบปฏิบัติการกันดีกว่า
เมื่อพิจารณาถึงความปลอดภัยของเซิร์ฟเวอร์ FTP วิธีที่ดีที่สุดคือใช้เวอร์ชันเซิร์ฟเวอร์ Win2000, เวอร์ชันองค์กร winxp หรือ Windows2003 และให้ความสำคัญกับการดาวน์โหลดแพตช์รักษาความปลอดภัยและอัปเกรดได้ตลอดเวลา
1. คุณสามารถใช้ฟังก์ชัน "ไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ต" ในระบบเพื่อทำการตั้งค่าความปลอดภัยได้ เปิดกล่องโต้ตอบคุณสมบัติ "การเชื่อมต่อเครือข่ายท้องถิ่น" เข้าสู่แท็บ "ขั้นสูง" ทำเครื่องหมายที่ "ปกป้องคอมพิวเตอร์และเครือข่ายของฉันโดยการจำกัดหรือบล็อกการเข้าถึงคอมพิวเตอร์เครื่องนี้จากอินเทอร์เน็ต" จากนั้นคลิกปุ่ม "การตั้งค่า" ที่มุมขวาล่าง ป้อน "การตั้งค่าขั้นสูง" เลือก "เซิร์ฟเวอร์ FTP" แล้วคลิกแก้ไข ดังที่แสดงในรูป ยกเว้นคอลัมน์ที่อยู่ IP ตัวเลือกอื่นไม่สามารถเปลี่ยนแปลงได้ หากพอร์ตเซิร์ฟเวอร์ FTP ที่คุณตั้งค่าไว้ล่วงหน้าไม่ใช่ค่าเริ่มต้น 21 โปรดกลับไปที่ขั้นตอนก่อนหน้าแล้วคลิก "เพิ่ม" ใต้แท็บ "บริการ" ป้อนชื่อเซิร์ฟเวอร์และที่อยู่ IP และกรอกหมายเลขพอร์ตภายในภายนอก ด้วยค่าเริ่มต้นของคุณ แค่นั้นแหละ.
2. ฟังก์ชั่น "การกรอง TCP/IP" ไปที่ "การเชื่อมต่อเครือข่ายท้องถิ่น" --- "ทั่วไป" --- "Internet Protocol (TCP/IP)" จากนั้นดับเบิลคลิกเพื่อเปิด จากนั้นคลิกปุ่ม "ขั้นสูง" สลับไปที่ "ตัวเลือก" เพื่อเริ่มการตั้งค่า . ดังแสดงในรูปด้านล่าง เราสามารถตั้งค่าระบบให้อนุญาตเฉพาะพอร์ตที่เปิดอยู่เท่านั้น การตั้งค่าการกรองนี้สามารถป้องกันการบุกรุกที่พบบ่อยที่สุด เช่น พอร์ต 139 ได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม ข้อบกพร่องของวิธีนี้ก็ชัดเจนเช่นกัน: ฟังก์ชันนี้ง่ายเกินไป และสามารถตั้งค่าพอร์ตที่เปิดได้เท่านั้น คุณไม่สามารถปรับแต่งพอร์ตให้ปิดได้ หากคุณต้องการเปิดหลายพอร์ต คุณต้องเพิ่มทีละพอร์ตด้วยตนเอง ซึ่งจะยุ่งยากกว่า
ความปลอดภัยของเซิร์ฟเวอร์เป็นหัวข้อที่ไม่มีวันจบสิ้น สิ่งสำคัญคือให้ทุกคนได้สรุปประสบการณ์และสั่งสมประสบการณ์ในการจัดการจริง หลังจากผ่านการตั้งค่าการจัดการขั้นพื้นฐานข้างต้นแล้ว FTP ของคุณควรมีความปลอดภัยในระดับหนึ่งและสามารถนำไปใช้งานได้อย่างมั่นใจ!