ايمن
سازي سرويس دهنده FTP
سرويس FTP)File Transfer Protocol)
يکي از قديمي ترين و متداولترين سرويس هاي موجود بر روي اينترنت است . از سرويس
فوق ، بمنظور ارسال و دريافت فايل در يک شبکه استفاده مي گردد. سرويس FTP ،
توسط عموم کاربران اينترنت استفاده و بعنوان استانداردي براي ارسال و دريافت فايل
در شبکه ( اينترانت ، اينترنت ) توسط اکثر سيستم هاي عامل پذيرفته شده است .
ويندوز 2000 بهمراه خود از يک سرويس دهنده FTP استفاده مي
نمايد که بعنوان بخشي از IIS در نظر گرفته
مي شود. مديران سيستم با استفاده از سرويس فوق و ترکيب آن با ساير امکانات ارائه
شده توسط ويندوز ، قادر به ايجاد و پيکربندي يک سايت FTP با
ضريب امنيتي مناسبي خواهند بود.در ادامه و بمنظور ايمن سازي يک سايت FTP ،
پيشنهادات متعددي ارائه مي گردد.
نکته اول : دستيابي از طريق Anonymous account را
غير فعال نمائيد . دستيابي از نوع Anonymouse، بصورت پيش فرض و پس از نصب اولين سرويس دهنده FTP
فعال مي گردد. روش فوق ، امکان دستيابي به سايت FTP را
بدون نياز به يک account خاص فراهم مي نمايد. بدين ترتيب استفاده کنندگان بصورت
کاملا" ناشناس قادر به استفاده از منابع موجود بر روي سرويس دهنده FTP
بوده و امکان مشاهده سودمند ترافيک سايت و در صورت ضرورت، رديابي آنان وجود نخواهد
داشت . با حذف قابليت دستيابي Anonymous ، امکان
دستيابي به سايت FTP صرفا" در اختيار کاربراني قرار خواهد گرفت که داراي يک account معتبر باشند.
پس از تعريف هر يک از account هاي مورد نظر، مي توان در ادامه
با استفاده از ACL)Access
Control List) کنترل ها و مجوزهاي مربوط به دستيابي
به دايرکتوري FTP ( محل فيزيکي استقرار سايت FTP بر
روي ديسک ) را تعريف و مشخص نمود . در اين رابطه مي توان از مجوزهاي NTFS
استفاده کرد. به منظور غير فعال نمودن Anonymous account ،
مي توان از طريق صفحه Property مربوط به سايت FTP (
برنامه Internet
Information Service )
عمليات مورد نظر را انجام داد .
نکته
دوم : فعال نمودن Logging . با فعال نمودن Logging بمنظور اتصال
به سايت FTP ، اين اطمينان بوجود خواهد آمد که اطلاعات لازم ( آدرس هاي IP و
يا نام کاربران ) در خصوص کاربراني که بصورت موفقيت آميز به سايت متصل شده اند ،
ثبت خواهد شد.با استفاده از فايل هاي لاگ که در اين رابطه ايجاد خواهد شد ، مي
توان ترافيک موجود بر روي سايت را مشاهده و در صورت يک تهاجم ، امکان رديابي اوليه
آن فراهم گردد. بمنظور فعال نمودن ويژگي فوق، کافي است که Chex box
مربوطه از طريق صفحه Property مربوط به سايت FTP
انتخاب گردد .در ادامه ، فايل هاي لاگ بر اساس فرمتي که مشخص شده است ، ايجاد
خواهند شد . استفاده از فايل هاي لاگ ، بمنظور مشاهده و آناليز ترافيک سايت بسيار
مفيد خواهد بود.
نکته
سوم : تنظيم و پيکربندي مناسب ليست ACL ( ليست کنترل
دستيابي ) .دستيتابي به دايرکتوري FTP مي بايست با
استفاده از مجوزهاي NTFS و بکارگيري محدوديت هاي ACL ،
کنترل گردد . دايرکتوري FTP نبايد داراي گروه Everyone با تمامي امتيازات و مجوزها باشد ( امکان کنترل مجوزها و کاربراني
که سايت FTP متصل شده اند وجود نخواهد داشت ) .بدين منظور لازم است بر روي
دايرکتوري مربوط به سايت FTP مستقر و با
انتخاب گزينه Property و Security Option ، اسامي موجود
را حذف و با انتخاب دکمه Add از ليست
موجود، Authenticated
user را انتخاب کرد . در ادامه مي توان با
توجه به سياست هاي موجود مجوز Read,Write و List Folder contents را در اختيار
گروه مربوطه قرار داد . در صورتيکه سياست موجود اقتضاء مي کند ، مي توان
صرفا" امکان دستيابي Write را در اختيار
گروه مربوطه قرار و مجوزهاي Read وList Folder Contents را از آنها سلب نمود .
نکته
چهارم : پيکربندي سايت بعنوان دريافت کننده نه ارسال کننده . در صورتيکه
صرفا" نياز است که کاربران فايل هائي را براي سرويس دهنده ، ارسال و امکان دريافت
فايل از سرويس دهنده را نداشته باشند ، مي توان سايت FTP را
بصورت Blind
put پيکربندي نمود. بدين ترتيب به کاربران
امکان ارسال ( نوشتن ) فايل بر روي سرويس دهنده داده خواهد شد .( امکان خواندن از
دايرکتوري FTP وجود نخواهد داشت ) . بدين منظور مي توان پس از انتخاب سايت FTP از
طريق Home
Directory ، اقدام به تنظيمات مورد نظر نمود.
نکته
پنجم : فعال نمودن Disk Quotas. با استفاده
از امکانات ارائه شده توسط ويندوز 2000 ، مي توان اقدام به تعيين ظرفيت و يا سهيه
ذخيره سازي بر روي ديسک براي هر يک از کاربران نمود..ويژگي فوق ، باعث اعمال
محدوديت در رابطه با ميزان فضاي ذخيره سازي مربوط به يک کاربر مي گردد.بصورت پيش
فرض ، مالکيت به هر کاربر که در فايلي مي نويسد اعطاء مي گردد . با فعال نمودن و
انجام تنظيمات مورد نظر، مي توان پيشگيري لازم در ارتباط با تهاجم به يک سايت FTP را
انجام داد ( پر نمودن ظرفيت ديسک ). در صورت تحقق وضعيت فوق ، دامنه اشکال بوجود
آمده به ساير سرويس هائي که از فضاي ذخيره سازي ديسک استفاده مي نمايند نيز سرايت
خواهد کرد. براي فعال نمودن Quota Management ،
بر روي درايو موردنظر مستقر و با کليک سمت راست گزينه Property را
انتخاب و در نهايت گزينه Quota Tab انتخاب شود
.امکان فوق ، صرفا" در ارتبا ط با پارتيشن هاي NTFS
قابل استفاده خواهد بود.استفاده از Disk Quota ، محدود به
پارتيش هاي NTFS بوده و علاوه بر اين صرفا" مي تواند در رابطه با يک کاربر
استفاده شده وامکان بکارگيري آن در ارتباط با گروه ها وجود نخواهد داشت . با
انتخاب دکمه Quota
Entries مي توان اقدام به تعريف يک Entry
جديد و تعريف محدوديت هاي مورد نظر نمود.
نکته
ششم : استفاده از محدوديت زماني براي Logon . با استفاده
از امکانات ارائه شده همراه ويندوز 2000 ، مي توان زمان خاصي را براي ورود به شبکه
کا ربران تعريف نمود. بدين ترتيب کاربران صرفا" قادر به استفاده از سرويس
دهنده در ساعات مشخص شده خواهند بود.ويژگي فوق ، بطرز محسوسي باعث کنترل دستيابي
به سايت FTP خواهد شد. براي پيکربندي زمان logon ،
از برنامه Active
Directory Users and Computers
استفاده مي گردد . پس از فعال شدن برنامه فوق ، کاربر مورد نظر را انتخاب و پس از
مشاهده صفحه Property مربوطه، با انتخاب دکمه Logon hours از
طريق Account
Tab ، مي توان اقدام به مشخص نمودن زمان مورد نظر کاربر براي استفاده
ازسرويس دهنده نمود.
نکته
هفتم : محدوديت دستيابي بر اساس آدرس IP . بمنظور
دستيابي به سايت FTP مي توان معيار دستيابي را بر اساس آدرس هاي IP
خاصي در نظر گرفت . با اعمال محدوديت فوق ، اقدامات مناسبي بمنظور کنترل دستيابي
به سايت در نظر گرفته خواهد شد . بمنظور فعال نمودن ويژگي فوق ، پس از انتخاب سايت
FTP از طريق برنامهInternet Information Services و
مشاهده صفحه Property ، گزينه Directory Security Tab انتخاب گردد. در ادامه، Denied Access
فعال و مي توان با استفاده از دکمه Add آدرس هاي IP
تائيد شده را معرفي کرد.
نکته
هشتم :ثبت رويدادهاي Audit logon . با فعال
نمودن Auditing ( مميزي ) مربوط به رويدادهاي Account Logon ،
مي توان تمامي تلاش هاي موفقيت آميز و يا با شکست مواجه شده جهت اتصال به سايت FTP را
با استفاده از Security
log مربوط به Event Viewer ،
مشاهده نمود. مشاهده ادواري اين لاگ مي تواند عامل موثري در کشف ، تشخيص و رديابي
تهاجم به يک سايت باشد. (تشخيص مزاحمين و مهاجمين اطلاعاتي ). بمنظور فعال نمودن
ويژگي فوق ، از برنامه Local Security Policy و يا Group Policy استفاده مي گردد (Programs|Administrative Tools )
. پس از فعال شدن برنامه فوق و استقرار در Local Policies/audit policy ،
مي توان اقدام به تغيير Local Setting به Success و Failure نمود.
نکته
نهم : فعال نمودن Strong
Password . استفاده از رمزهاي عبور پيچيده ،روشي
مناسب بمنظور افزايش امنيت در خصوص ارائه يک سرويس خاص براي کاربران تائيد شده است
. با توجه به جايگاه سرويس دهنده FTP ، استفاده از
رمزهاي عبور قدرتمند مي تواند عاملي موثر در جهت افزايش امنيت سايت هاي FTP
باشد . با استفاده از امکانات ارائه شده در ويندوز 2000 ، مديران سيستم مي توانند
کاربران را مجبور به استفاده از رمزهاي عبور مستحکم و قوي نمايند. بمنظور فعال
نمودن ويژگي فوق ، از برنامه Local Security Policy و
يا Group
Policy استفاده مي گردد (Programs|Administrative Tools )
. پس از فعال شدن برنامه فوق و استقرار در Account Policy/Password Policy ،
مي توان گزينه Passwords
Must Meet Complexity Requirements را
فعال نمود . پس از فعال شدن ويژگي فوق ، هر يک از account
هاي تعريف شده تابع شرايط و محدوديت هاي زير خواهند بود :
رمز عبور تعريف شده نمي تواند شامل تمام و يا بخشي از نام Account
کاربر باشد .
رمز عبور تعريف شده مي بايست داراي طولي به اندازه حداقل شش باشد .
رمز عبور تعريف شده مي تواند شامل کاراکترها ئي از سه گروه از چهار گروه زير باشد
:
- حروف الفبائي A-Z
- حروف الفبائي a-z
- ارقام صفر تا نه
- کاراکترهاي خاص ( %,#,$,!)
نکته
دهم : فعال نمودن Account
Lockout و Account Lockout Threshold .آگاهي و تشخيص رمزهاي عبور يکي از موضوعات مورد علاقه اکثر
مهاجمان و برنامه هاي تشخيص دهنده رمز عبوراست .با استفاده از امکانات ارائه شده
بهمراه ويندوز 2000 ، مديران شبکه مي توانند تعداد دفعاتي را که يک کاربرسعي در
ورود به شبکه مي نمايد و عمليات وي با موفقيت همراه نمي گردد را مشخص و در صورت
تحقق شرايط فوق ، account مربوطه غير فعال گردد. با فعال نمودن ويژگي فوق و پيکربندي ميزان
آستانه ، مديران شبکه مي توانند عماکرد برنامه هاي تشخييص دهنده رمز هاي عبور و يا
مهاجمان اطلاعاتي را محدود و ضريب ايمني را افزايش دهند. بمنظور فعال نمودن ويژگي
فوق ، از برنامه Local
Security Policy و يا Group Policy
استفاده مي گردد (Programs|Administrative Tools )
. پس از فعال شدن برنامه فوق و استقرار در Account Policy/Account Lockout Policy ،
مي توان تنظيمات لازم در خصوص Account Lockout duration , Account lockout
threshold و Reset account lockout counter after را
انجام داد .
بازگشت به فهرست
بازگشت به صفحه نخست