ايمن سازي سرويس دهنده ftp

[Mohammad Aref 120,438]

سرويس FTP)File Transfer Protocol) يکي از قديمي ترين و متداولترين سرويس هاي موجود بر روي اينترنت است . از سرويس فوق ، بمنظور ارسال و دريافت فايل در يک شبکه استفاده مي گردد. سرويس FTP ، توسط عموم کاربران اينترنت استفاده و بعنوان استانداردي براي ارسال و دريافت فايل در شبکه ( اينترانت ، اينترنت ) توسط اکثر سيستم هاي عامل پذيرفته شده است

ويندوز 2000 بهمراه خود از يک سرويس دهنده FTP استفاده مي نمايد که بعنوان بخشي از IIS در نظر گرفته مي شود. مديران سيستم با استفاده از سرويس فوق و ترکيب آن با ساير امکانات ارائه شده توسط ويندوز ، قادر به ايجاد و پيکربندي يک سايت FTP با ضريب امنيتي مناسبي خواهند بود.در ادامه و بمنظور ايمن سازي يک سايت FTP ، پيشنهادات متعددي ارائه مي گردد.

 

نکته اول : دستيابي از طريق Anonymous account را غير فعال نمائيد . دستيابي از نوع Anonymouse، بصورت پيش فرض و پس از نصب اولين سرويس دهنده FTP فعال مي گردد. روش فوق ، امکان دستيابي به سايت FTP را بدون نياز به يک account خاص فراهم مي نمايد. بدين ترتيب استفاده کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روي سرويس دهنده FTP بوده و امکان مشاهده سودمند ترافيک سايت و در صورت ضرورت، رديابي آنان وجود نخواهد داشت . با حذف قابليت دستيابي Anonymous ، امکان دستيابي به سايت FTP صرفا" در اختيار کاربراني قرار خواهد گرفت که داراي يک account معتبر باشند.

پس از تعريف هر يک از account هاي مورد نظر، مي توان در ادامه با استفاده از ACL)Access Control List) کنترل ها و مجوزهاي مربوط به دستيابي به دايرکتوري FTP ( محل فيزيکي استقرار سايت FTP بر روي ديسک ) را تعريف و مشخص نمود . در اين رابطه مي توان از مجوزهاي NTFS استفاده کرد. به منظور غير فعال نمودن Anonymous account ، مي توان از طريق صفحه Property مربوط به سايت FTP ( برنامه Internet Information Service ) عمليات مورد نظر را انجام داد .

 

نکته دوم : فعال نمودن Logging . با فعال نمودن Logging بمنظور اتصال به سايت FTP ، اين اطمينان بوجود خواهد آمد که اطلاعات لازم ( آدرس هاي IP و يا نام کاربران ) در خصوص کاربراني که بصورت موفقيت آميز به سايت متصل شده اند ، ثبت خواهد شد.با استفاده از فايل هاي لاگ که در اين رابطه ايجاد خواهد شد ، مي توان ترافيک موجود بر روي سايت را مشاهده و در صورت يک تهاجم ، امکان رديابي اوليه آن فراهم گردد. بمنظور فعال نمودن ويژگي فوق، کافي است که Chex box مربوطه از طريق صفحه Property مربوط به سايت FTP انتخاب گردد .در ادامه ، فايل هاي لاگ بر اساس فرمتي که مشخص شده است ، ايجاد خواهند شد . استفاده از فايل هاي لاگ ، بمنظور مشاهده و آناليز ترافيک سايت بسيار مفيد خواهد بود.

 

نکته سوم : تنظيم و پيکربندي مناسب ليست ACL ( ليست کنترل دستيابي ) .دستيتابي به دايرکتوري FTP مي بايست با استفاده از مجوزهاي NTFS و بکارگيري محدوديت هاي ACL ، کنترل گردد . دايرکتوري FTP نبايد داراي گروه Everyone با تمامي امتيازات و مجوزها باشد ( امکان کنترل مجوزها و کاربراني که سايت FTP متصل شده اند وجود نخواهد داشت ) .بدين منظور لازم است بر روي دايرکتوري مربوط به سايت FTP مستقر و با انتخاب گزينه Property و Security Option ، اسامي موجود را حذف و با انتخاب دکمه Add از ليست موجود، Authenticated user را انتخاب کرد . در ادامه مي توان با توجه به سياست هاي موجود مجوز Read,Write و List Folder contents را در اختيار گروه مربوطه قرار داد . در صورتيکه سياست موجود اقتضاء مي کند ، مي توان صرفا" امکان دستيابي Write را در اختيار گروه مربوطه قرار و مجوزهاي Read وList Folder Contents را از آنها سلب نمود .

 

نکته چهارم : پيکربندي سايت بعنوان دريافت کننده نه ارسال کننده . در صورتيکه صرفا" نياز است که کاربران فايل هائي را براي سرويس دهنده ، ارسال و امکان دريافت فايل از سرويس دهنده را نداشته باشند ، مي توان سايت FTP را بصورت Blind put پيکربندي نمود. بدين ترتيب به کاربران امکان ارسال ( نوشتن ) فايل بر روي سرويس دهنده داده خواهد شد .( امکان خواندن از دايرکتوري FTP وجود نخواهد داشت ) . بدين منظور مي توان پس از انتخاب سايت FTP از طريق Home Directory ، اقدام به تنظيمات مورد نظر نمود.

 

نکته پنجم : فعال نمودن Disk Quotas. با استفاده از امکانات ارائه شده توسط ويندوز 2000 ، مي توان اقدام به تعيين ظرفيت و يا سهيه ذخيره سازي بر روي ديسک براي هر يک از کاربران نمود..ويژگي فوق ، باعث اعمال محدوديت در رابطه با ميزان فضاي ذخيره سازي مربوط به يک کاربر مي گردد.بصورت پيش فرض ، مالکيت به هر کاربر که در فايلي مي نويسد اعطاء مي گردد . با فعال نمودن و انجام تنظيمات مورد نظر، مي توان پيشگيري لازم در ارتباط با تهاجم به يک سايت FTP را انجام داد ( پر نمودن ظرفيت ديسک ). در صورت تحقق وضعيت فوق ، دامنه اشکال بوجود آمده به ساير سرويس هائي که از فضاي ذخيره سازي ديسک استفاده مي نمايند نيز سرايت خواهد کرد. براي فعال نمودن Quota Management ، بر روي درايو موردنظر مستقر و با کليک سمت راست گزينه Property را انتخاب و در نهايت گزينه Quota Tab انتخاب شود .امکان فوق ، صرفا" در ارتبا ط با پارتيشن هاي NTFS قابل استفاده خواهد بود.استفاده از Disk Quota ، محدود به پارتيش هاي NTFS بوده و علاوه بر اين صرفا" مي تواند در رابطه با يک کاربر استفاده شده وامکان بکارگيري آن در ارتباط با گروه ها وجود نخواهد داشت . با انتخاب دکمه Quota Entries مي توان اقدام به تعريف يک Entry جديد و تعريف محدوديت هاي مورد نظر نمود.

 

نکته ششم : استفاده از محدوديت زماني براي Logon . با استفاده از امکانات ارائه شده همراه ويندوز 2000 ، مي توان زمان خاصي را براي ورود به شبکه کا ربران تعريف نمود. بدين ترتيب کاربران صرفا" قادر به استفاده از سرويس دهنده در ساعات مشخص شده خواهند بود.ويژگي فوق ، بطرز محسوسي باعث کنترل دستيابي به سايت FTP خواهد شد. براي پيکربندي زمان logon ، از برنامه Active Directory Users and Computers استفاده مي گردد . پس از فعال شدن برنامه فوق ، کاربر مورد نظر را انتخاب و پس از مشاهده صفحه Property مربوطه، با انتخاب دکمه Logon hours از طريق Account Tab ، مي توان اقدام به مشخص نمودن زمان مورد نظر کاربر براي استفاده ازسرويس دهنده نمود.

 

نکته هفتم : محدوديت دستيابي بر اساس آدرس IP . بمنظور دستيابي به سايت FTP مي توان معيار دستيابي را بر اساس آدرس هاي IP خاصي در نظر گرفت . با اعمال محدوديت فوق ، اقدامات مناسبي بمنظور کنترل دستيابي به سايت در نظر گرفته خواهد شد . بمنظور فعال نمودن ويژگي فوق ، پس از انتخاب سايت FTP از طريق برنامهInternet Information Services و مشاهده صفحه Property ، گزينه Directory Security Tab انتخاب گردد. در ادامه، Denied Access فعال و مي توان با استفاده از دکمه Add آدرس هاي IP تائيد شده را معرفي کرد.

 

نکته هشتم :ثبت رويدادهاي Audit logon . با فعال نمودن Auditing ( مميزي ) مربوط به رويدادهاي Account Logon ، مي توان تمامي تلاش هاي موفقيت آميز و يا با شکست مواجه شده جهت اتصال به سايت FTP را با استفاده از Security log مربوط به Event Viewer ، مشاهده نمود. مشاهده ادواري اين لاگ مي تواند عامل موثري در کشف ، تشخيص و رديابي تهاجم به يک سايت باشد. (تشخيص مزاحمين و مهاجمين اطلاعاتي ). بمنظور فعال نمودن ويژگي فوق ، از برنامه Local Security Policy و يا Group Policy استفاده مي گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Local Policies/audit policy ، مي توان اقدام به تغيير Local Setting به Success و Failure نمود.

 

نکته نهم : فعال نمودن Strong Password . استفاده از رمزهاي عبور پيچيده ،روشي مناسب بمنظور افزايش امنيت در خصوص ارائه يک سرويس خاص براي کاربران تائيد شده است . با توجه به جايگاه سرويس دهنده FTP ، استفاده از رمزهاي عبور قدرتمند مي تواند عاملي موثر در جهت افزايش امنيت سايت هاي FTP باشد . با استفاده از امکانات ارائه شده در ويندوز 2000 ، مديران سيستم مي توانند کاربران را مجبور به استفاده از رمزهاي عبور مستحکم و قوي نمايند. بمنظور فعال نمودن ويژگي فوق ، از برنامه Local Security Policy و يا Group Policy استفاده مي گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Password Policy ، مي توان گزينه Passwords Must Meet Complexity Requirements را فعال نمود . پس از فعال شدن ويژگي فوق ، هر يک از account هاي تعريف شده تابع شرايط و محدوديت هاي زير خواهند بود :

 

رمز عبور تعريف شده نمي تواند شامل تمام و يا بخشي از نام Account کاربر باشد .

رمز عبور تعريف شده مي بايست داراي طولي به اندازه حداقل شش باشد .

رمز عبور تعريف شده مي تواند شامل کاراکترها ئي از سه گروه از چهار گروه زير باشد :

- حروف الفبائي A-Z

- حروف الفبائي a-z

- ارقام صفر تا نه

- کاراکترهاي خاص ( %,#,$,!)

 

نکته دهم : فعال نمودن Account Lockout و Account Lockout Threshold .آگاهي و تشخيص رمزهاي عبور يکي از موضوعات مورد علاقه اکثر مهاجمان و برنامه هاي تشخيص دهنده رمز عبوراست .با استفاده از امکانات ارائه شده بهمراه ويندوز 2000 ، مديران شبکه مي توانند تعداد دفعاتي را که يک کاربرسعي در ورود به شبکه مي نمايد و عمليات وي با موفقيت همراه نمي گردد را مشخص و در صورت تحقق شرايط فوق ، account مربوطه غير فعال گردد. با فعال نمودن ويژگي فوق و پيکربندي ميزان آستانه ، مديران شبکه مي توانند عماکرد برنامه هاي تشخييص دهنده رمز هاي عبور و يا مهاجمان اطلاعاتي را محدود و ضريب ايمني را افزايش دهند. بمنظور فعال نمودن ويژگي فوق ، از برنامه Local Security Policy و يا Group Policy استفاده مي گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Account Lockout Policy ، مي توان تنظيمات لازم در خصوص Account Lockout duration , Account lockout threshold و Reset account lockout counter after را انجام داد .

 

منبع:srco.ir