10 шагов к безопасному FTP-серверу

FTP [протокол передачи файлов] — один из старейших и самых популярных сервисов, существующих сегодня в Интернете. Выступая в качестве простого и эффективного метода передачи файлов по сети, FTP стал стандартом, принятым и широко доступным для пользователей почти во всех используемых сегодня сетях и операционных системах.

Windows 2000 поставляется с FTP-сервером как часть IIS 5.0. Установленный как самостоятельный сервис, он очень богат функциями. В сочетании с другими ресурсами, доступными внутри сервера Windows 2000, администраторы получают различные возможности, которые могут помочь сделать сайт FTP более безопасным.

Сказав это, мы рассмотрим 10 опций, доступных в Windows 2000, которые можно использовать для защиты FTP-сайта. Некоторые из них довольно очевидны, но некоторые представляют собой творческие подходы, о которых администраторы не сразу задумываются. В дополнение к приведенным ниже советам следует учитывать дополнительные услуги, такие как VPN или SSH, поскольку существует неприятная проблема с отправкой паролей открытым текстом по сети.

СОВЕТ №1: Отключите анонимный доступ.

Анонимный доступ включен по умолчанию при первой установке служб FTP в Windows 2000. Анонимный доступ — это метод, с помощью которого любой пользователь может получить доступ к вашему FTP-сайту без учетной записи пользователя.

Есть некоторые услуги, ориентированные на клиентов, которые могут эффективно обслуживаться анонимными FTP-сайтами, но в большинстве случаев разрешение анонимного доступа приведет к возможному захвату вашего сайта лицами, желающими разместить незаконные файлы и материалы, защищенные авторским правом.

Удалив возможность анонимного доступа, вы, по сути, ограничиваете доступ к своему FTP-сайту успешной аутентификацией с помощью предопределенной учетной записи пользователя. Затем элементы управления доступом настраиваются с помощью ACL [список управления доступом], определенных в домашнем каталоге FTP с использованием разрешений NTFS.

Рисунок 1. Чтобы ограничить анонимный доступ к вашему FTP-сайту, просто снимите флажок «Разрешить анонимные подключения» на вкладке «Учетные записи безопасности» на странице свойств FTP-сайтов.

СОВЕТ № 2: Включите ведение журнала.

Включив ведение журнала вашего FTP-сайта, вы можете быть уверены, что у вас будет точная запись того, какие IP-адреса и пользователи обращались к вашему сайту. Поддержание практики регулярного просмотра журнала может позволить вам оценить модели вашего трафика и выявить любые угрозы безопасности и/или нарушения.

СОВЕТ № 3. Укрепите ACLS.

Доступ к вашему FTP-каталогу должен регулироваться с помощью ограничений ACL для разрешений NTFS. Это не может быть подчеркнуто достаточно. В вашем FTP-каталоге не должно быть группы «все» с полными правами, так как это ограничит вашу возможность контролировать группы пользователей, имеющих доступ к вашему FTP-сайту.

СОВЕТ № 4: Настройте свой FTP-сайт как Blind Put.

Если вам нужно, чтобы ваши пользователи только передавали файлы на ваш сервер, а не передавали файлы с вашего сервера, рассмотрите возможность настройки вашего FTP-сайта как «вслепую». Это означает, что пользователям разрешено записывать файлы без возможности чтения из вашего FTP-каталога. Это защитит содержимое вашего ftp-сайта в случае, если неавторизованный пользователь получит доступ к вашему ftp-каталогу.

Настройка слепого размещения должна выполняться как на FTP-сайте, так и на разрешениях каталога NTFS.

СОВЕТ № 5: Включите дисковые квоты.

Windows 2000 поставляется с удобной утилитой, которая позволяет применять дисковые квоты. Дисковые квоты могут эффективно ограничивать объем дискового пространства, которым может владеть пользователь. По умолчанию право собственности предоставляется тому пользователю, который написал файл. Включив дисковые квоты и проверив запрет дискового пространства пользователям, превышающим дисковую квоту, вы можете эффективно ограничить возможный ущерб, причиненный в случае взлома вашего FTP-сайта. Один из худших сценариев — злоупотребление FTP-сайтом до такой степени, что диск переполняется. Это, конечно, может иметь катастрофические последствия для других служб, которые могут использовать раздел с FTP-сайтом.

Кроме того, из-за ограничения объема дискового пространства, которое может иметь каждый FTP-пользователь, ваш сайт становится непривлекательной мишенью для хакеров, ищущих место, где можно поделиться своими медиафайлами.

Рис. 5. Включение управления квотами на вкладке «Квота» в окне свойств раздела диска NTFS.

Использование дисковых квот ограничено разделами NTFS. Кроме того, квоты могут быть размещены только для каждого пользователя и не могут быть назначены группам.

СОВЕТ № 6: Используйте ограничения времени входа в систему.

В Windows 2000 начиная с версии NT 4.0 появилась возможность регистрировать часы для определенных пользователей. Эта опция позволяет ограничить пользователя определенными часами дня, в которые он может войти в систему.

Это можно творчески использовать, чтобы ограничить доступ к вашему FTP-сайту только авторизованным временем. Если, например, вы используете этот Ftp-сайт в корпоративной среде для бизнеса, вы можете оценить, что ваша доступность должна быть ограничена рабочим временем. Запрещая вход в систему в нерабочее время, вы эффективно закроете и обезопасите свой FTP-сайт на большую часть календарного дня.

сетевой пользователь <имя_пользователя> /times:

СОВЕТ №7: Ограничьте доступ по IP.

FTP Windows 2000 может быть ограничен определенными IP-адресами. Ограничив доступ к вашему FTP-сайту для известных лиц, вы можете значительно снизить риск несанкционированного доступа.

СОВЕТ № 8: Аудит событий входа в систему.

Включив аудит событий входа в учетную запись, вы сможете просматривать успешные/неудачные попытки доступа к вашему ftp-сайту в журнале безопасности средства просмотра событий.

Частый просмотр этого журнала может предупредить вас о подозрительной активности, которую может совершить злоумышленник, пытающийся взломать систему. Его также можно использовать в качестве эффективного метода обнаружения вторжений, предоставляя вам исторический обзор использования ваших FTP-сайтов.

СОВЕТ № 9: Включите требование надежного пароля.

Использование сложных паролей является хорошей практикой безопасности, когда вы имеете дело с аутентификацией конечных пользователей. В случае с FTP это может быть важным компонентом в обеспечении безопасности вашего сайта.

Windows 2000 позволяет администраторам принудительно пользователям соблюдать требования к надежному паролю. Включив поле «Пароли должны соответствовать требованиям сложности» в локальной политике безопасности или групповой политике, учетные записи пользователей FTP будут вынуждены придерживаться следующих ограничений при выборе паролей:

• Не должно содержать полностью или частично имя учетной записи пользователя.
  
• Должно быть не менее 6 символов в длину
  
• Содержат символы из 3 из следующих 4 категорий:
  
  
  
  • Английские прописные буквы (A – Z)
    
  • Английские строчные буквы (a – z)
    
  • Базовые 10 цифр (от 0 до 9)
    
  • Не буквенно-цифровые символы (например, !, $, #, %)

Рисунок 9:

СОВЕТ № 10: Включите блокировку учетной записи и порог блокировки учетной записи.

Учетные записи FTP являются довольно популярными целями для программ взлома паролей, которые просматривают исчерпывающий список паролей в попытке угадать или взломать доступ к учетной записи. Политики безопасности Windows 2000 позволяют администраторам ограничивать количество неудачных попыток входа в систему, прежде чем учетная запись будет заблокирована. Включив этот параметр и настроив пороговое значение, администраторы могут ограничить свою подверженность взломщикам паролей.

Рисунок 10. Параметры «Продолжительность блокировки учетной записи» и «Порог» можно настроить с помощью инструмента настройки локальной политики безопасности. Перейдите к контейнеру локальных политик/политик учетных записей/политики паролей и измените параметр, чтобы он отражал успех, сбой.

* При использовании Active Directory «Политики блокировки учетных записей» также можно настроить с помощью групповых политик.