|
عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
|
ايمن سازی سرويس دهنده FTP |
مديريت شبکه |
14872 |
27 |
3.4 |
|
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
ايمن سازی سرويس دهنده FTP
ايمن سازی سرويس دهنده FTP
سرويس FTP)File Transfer
Protocol) يکی از قديمی ترين و متداولترين سرويس های موجود بر روی اينترنت
است . از سرويس فوق
، بمنظور ارسال و دريافت فايل در يک شبکه
استفاده می گردد. سرويس
FTP ، توسط عموم کاربران
اينترنت استفاده و بعنوان استانداردی برای ارسال و دريافت فايل در شبکه ( اينترانت ، اينترنت )
توسط اکثر سيستم های عامل پذيرفته شده است
ويندوز 2000 بهمراه خود از يک سرويس دهنده FTP استفاده
می نمايد که بعنوان بخشی از IIS در نظر گرفته می
شود. مديران سيستم با استفاده از سرويس فوق و ترکيب آن با ساير امکانات ارائه
شده توسط ويندوز ، قادر
به ايجاد و پيکربندی يک سايت FTP با
ضريب امنيتی مناسبی خواهند بود.در ادامه و بمنظور ايمن سازی يک سايت
FTP ، پيشنهادات متعددی
ارائه می گردد.
نکته اول
: دستيابی از طريق Anonymous account را غير فعال
نمائيد . دستيابی از نوع Anonymouse، بصورت
پيش فرض و پس از نصب اولين سرويس دهنده FTP فعال
می گردد. روش فوق ، امکان دستيابی به سايت FTP را بدون نياز به يک
account خاص فراهم می نمايد. بدين ترتيب استفاده
کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روی سرويس دهنده
FTP بوده و امکان
مشاهده سودمند ترافيک
سايت و در صورت ضرورت، رديابی آنان وجود نخواهد داشت
. با حذف قابليت دستيابی
Anonymous ، امکان دستيابی به سايت
FTP صرفا" در اختيار کاربرانی قرار خواهد گرفت که دارای يک
account معتبر باشند.
پس از تعريف هر يک از
account های مورد نظر، می توان در ادامه با استفاده از
ACL)Access Control List)
کنترل ها و مجوزهای مربوط به دستيابی به دايرکتوری FTP (
محل فيزيکی استقرار سايت FTP بر روی ديسک ) را تعريف و
مشخص نمود . در اين رابطه می توان از مجوزهای NTFS
استفاده کرد. به منظور غير فعال نمودن
Anonymous account ، می توان از طريق صفحه Property مربوط
به سايت FTP ( برنامه
Internet Information Service ) عمليات مورد نظر را انجام داد .
نکته دوم
: فعال نمودن Logging
. با فعال نمودن Logging بمنظور اتصال به سايت
FTP ، اين اطمينان بوجود خواهد آمد که اطلاعات لازم (
آدرس های IP و يا نام کاربران ) در خصوص کاربرانی که
بصورت موفقيت آميز به سايت متصل شده اند ، ثبت خواهد شد.با استفاده از فايل های لاگ
که در اين رابطه ايجاد خواهد شد ، می توان ترافيک موجود بر روی سايت را مشاهده و در
صورت يک تهاجم ، امکان رديابی اوليه آن فراهم گردد. بمنظور فعال نمودن ويژگی فوق،
کافی است که Chex box مربوطه از طريق صفحه
Property مربوط به سايت FTP
انتخاب گردد .در ادامه ، فايل های لاگ بر اساس فرمتی که مشخص شده است ، ايجاد
خواهند شد . استفاده از فايل های لاگ ، بمنظور مشاهده
و آناليز ترافيک سايت بسيار مفيد خواهد بود.
نکته سوم :
تنظيم و پيکربندی مناسب ليست
ACL ( ليست کنترل دستيابی ) .دستيتابی به دايرکتوری
FTP می بايست با استفاده از مجوزهای
NTFS و بکارگيری محدوديت های ACL ، کنترل گردد .
دايرکتوری FTP نبايد دارای گروه Everyone
با تمامی امتيازات و مجوزها باشد ( امکان کنترل
مجوزها و کاربرانی که سايت FTP
متصل شده اند وجود نخواهد داشت ) .بدين منظور لازم است بر روی دايرکتوری
مربوط به سايت
FTP مستقر و با انتخاب گزينه
Property و Security Option ، اسامی موجود
را حذف و
با انتخاب دکمه Add از ليست موجود،
Authenticated user را انتخاب کرد . در ادامه می توان با توجه به سياست های
موجود مجوز Read,Write و List Folder
contents را در اختيار گروه مربوطه قرار داد . در صورتيکه سياست موجود
اقتضاء می کند ، می توان صرفا" امکان دستيابی Write را
در اختيار گروه مربوطه قرار و مجوزهای Read وList
Folder Contents را از آنها سلب نمود .
نکته چهارم
: پيکربندی سايت بعنوان دريافت کننده نه ارسال کننده . در صورتيکه صرفا" نياز
است که کاربران فايل هائی را برای سرويس دهنده ، ارسال و امکان دريافت فايل از
سرويس دهنده را نداشته باشند ، می توان سايت FTP را بصورت Blind put
پيکربندی نمود. بدين ترتيب به کاربران امکان ارسال ( نوشتن ) فايل بر روی سرويس
دهنده داده خواهد شد .( امکان خواندن از دايرکتوری FTP
وجود نخواهد داشت ) . بدين منظور می توان پس از انتخاب سايت FTP
از طريق Home Directory ، اقدام به تنظيمات مورد نظر
نمود.
نکته پنجم : فعال نمودن
Disk Quotas. با استفاده از امکانات ارائه شده توسط ويندوز
2000 ، می توان اقدام به تعيين
ظرفيت و يا سهيه ذخيره سازی بر روی ديسک برای هر يک از کاربران نمود..ويژگی فوق ،
باعث اعمال محدوديت در رابطه با ميزان فضای ذخيره سازی مربوط به يک کاربر می گردد.بصورت پيش فرض ، مالکيت به هر
کاربر که در فايلی می نويسد اعطاء می گردد . با فعال نمودن و انجام تنظيمات مورد
نظر، می توان پيشگيری لازم در ارتباط با تهاجم به يک سايت FTP
را انجام داد ( پر نمودن ظرفيت ديسک
). در صورت تحقق وضعيت فوق ،
دامنه اشکال بوجود آمده به ساير سرويس هائی که از فضای ذخيره سازی ديسک
استفاده می نمايند نيز سرايت خواهد کرد. برای فعال نمودن Quota
Management ، بر روی درايو موردنظر مستقر و با کليک سمت راست گزينه
Property را انتخاب و در نهايت گزينه
Quota Tab انتخاب شود .امکان فوق ، صرفا" در ارتبا ط با پارتيشن های
NTFS قابل استفاده خواهد بود.استفاده از
Disk Quota ، محدود به پارتيش های
NTFS بوده و علاوه بر اين صرفا" می تواند در رابطه با يک کاربر
استفاده شده وامکان بکارگيری آن در ارتباط با گروه ها وجود نخواهد داشت . با انتخاب
دکمه Quota Entries می توان اقدام به تعريف يک
Entry جديد و تعريف محدوديت های مورد نظر نمود.
نکته ششم
: استفاده از محدوديت زمانی برای Logon . با استفاده از
امکانات ارائه شده همراه ويندوز 2000 ، می توان زمان خاصی را برای ورود به
شبکه کا ربران تعريف نمود. بدين ترتيب کاربران صرفا" قادر به استفاده از سرويس
دهنده در ساعات مشخص شده خواهند بود.ويژگی فوق ، بطرز محسوسی باعث کنترل دستيابی به
سايت FTP خواهد شد. برای پيکربندی زمان
logon ، از برنامه Active Directory
Users and Computers استفاده می گردد . پس از فعال شدن برنامه فوق ، کاربر
مورد نظر را انتخاب و پس از مشاهده صفحه Property
مربوطه، با انتخاب دکمه Logon hours از
طريق Account Tab ، می توان
اقدام به مشخص نمودن زمان مورد نظر
کاربر برای استفاده ازسرويس دهنده نمود.
نکته هفتم
: محدوديت دستيابی بر اساس آدرس IP . بمنظور
دستيابی به سايت FTP می توان معيار دستيابی را بر اساس
آدرس های IP خاصی در نظر گرفت . با اعمال محدوديت فوق ،
اقدامات مناسبی بمنظور کنترل دستيابی به سايت در نظر گرفته خواهد شد . بمنظور فعال
نمودن ويژگی فوق ، پس از انتخاب سايت FTP از طريق برنامهInternet
Information Services و مشاهده صفحه Property
، گزينه Directory Security Tab انتخاب گردد. در ادامه،
Denied Access فعال و می توان با استفاده از دکمه
Add آدرس های IP تائيد شده را
معرفی کرد.
نکته هشتم
:ثبت رويدادهای Audit logon . با فعال نمودن
Auditing ( مميزی ) مربوط به رويدادهای
Account Logon ، می توان تمامی تلاش های موفقيت آميز و
يا با شکست مواجه شده جهت اتصال به سايت FTP را با
استفاده از Security log مربوط به
Event Viewer ، مشاهده نمود. مشاهده ادواری اين لاگ می تواند عامل موثری در
کشف ، تشخيص و رديابی تهاجم به يک سايت باشد. (تشخيص مزاحمين و مهاجمين
اطلاعاتی ). بمنظور فعال نمودن ويژگی فوق ، از برنامه Local
Security Policy و يا Group Policy استفاده می
گردد (Programs|Administrative Tools ) . پس از فعال شدن
برنامه فوق و استقرار در Local Policies/audit policy ،
می توان اقدام به تغيير Local Setting به
Success و Failure نمود.
نکته نهم
: فعال نمودن Strong Password . استفاده از رمزهای عبور پيچيده ،روشی مناسب بمنظور افزايش امنيت
در خصوص ارائه يک سرويس خاص برای کاربران تائيد شده است . با توجه به
جايگاه سرويس دهنده FTP ، استفاده از رمزهای عبور
قدرتمند می تواند عاملی موثر در جهت افزايش
امنيت سايت های FTP
باشد . با استفاده از امکانات ارائه شده در ويندوز 2000 ، مديران سيستم می
توانند کاربران را مجبور به استفاده از رمزهای عبور
مستحکم و قوی نمايند. بمنظور فعال
نمودن ويژگی فوق ، از برنامه Local Security Policy و يا
Group Policy استفاده می گردد (Programs|Administrative
Tools ) . پس از فعال شدن برنامه فوق و استقرار در
Account Policy/Password Policy ، می توان گزينه Passwords Must Meet
Complexity Requirements را فعال نمود . پس از فعال شدن ويژگی فوق ، هر يک از
account های تعريف شده تابع شرايط و محدوديت های زير
خواهند بود :
-
رمز عبور تعريف شده نمی تواند شامل تمام
و يا بخشی از نام Account کاربر باشد .
-
رمز عبور تعريف شده می بايست دارای طولی
به اندازه حداقل شش باشد .
-
رمز عبور تعريف شده می تواند شامل
کاراکترها ئی از سه گروه از چهار گروه زير باشد :
- حروف الفبائی A-Z
- حروف الفبائی a-z
- ارقام صفر تا نه
- کاراکترهای خاص ( %,#,$,!)
نکته دهم
: فعال نمودن Account Lockout و
Account Lockout Threshold .آگاهی و تشخيص
رمزهای عبور يکی از موضوعات مورد علاقه اکثر مهاجمان و برنامه های تشخيص دهنده رمز
عبوراست .با استفاده از امکانات ارائه شده بهمراه ويندوز 2000 ، مديران شبکه
می توانند تعداد دفعاتی را که يک کاربرسعی در ورود به شبکه می نمايد و عمليات وی با
موفقيت همراه نمی گردد را مشخص و در صورت تحقق شرايط فوق ،
account مربوطه غير فعال گردد. با فعال نمودن ويژگی فوق و پيکربندی ميزان
آستانه ، مديران شبکه می توانند عماکرد برنامه های تشخيیص دهنده رمز های عبور و يا
مهاجمان اطلاعاتی را محدود و ضريب ايمنی را افزايش دهند.
بمنظور فعال نمودن
ويژگی فوق ، از برنامه Local Security Policy و يا
Group Policy استفاده می گردد (Programs|Administrative
Tools ) . پس از فعال شدن برنامه فوق و استقرار در
Account Policy/Account Lockout Policy ، می توان
تنظيمات لازم در خصوص Account Lockout duration ,
Account lockout threshold و Reset account lockout
counter after را انجام داد .
