提高II的FTP安全性.docx

提高IIS的FTP安全性11电信升本尹加加????? 在这里就向大家介绍一下有关提高IIS的FTP安全性的实用技巧。对广大直面各种网络攻击的网络安全工程师来说，工作中必然会遇到会遇到各种各样的FTP攻击，普通管理员会认为Windows 下FTP服务安全性比较弱，安全性无法保证，所以在Windows server加装了第三方FTP 程序，以满足自己的要求。经过笔者多年研究发现，其实利用IIS 下的FTP服务器，经过和系统配合设置就能很好的瞒住您的要求。所谓维护型安全FTP是指不公开使用或者很少公开使用的，一般只供网络管理员或者安全工程师在维护服务器时使用的FTP系统。这样的系统在工作中非常需要，但是因为本身是不公开的，所以安全性往往得不到足够的重视，成为很多攻击者喜欢攻击的目标。本文讲述了不为大家熟知九种技巧来教授如何使用大家都不看好的IIS FTP Server来构建足够网络管理员维护使用的FTP服务器，而且安全性足够高。真经基础阶段真经第一重易筋锻骨篇—— 指定FTP IP地址并修改默认端口1．使用专用IP进行FTP服务器搭建以典型的Windows 2003 Server系统为例，安装完成IIS以及FTP以后，依次选择“开始-管理工具-Internet信息服务IIS管理器”，指向“FTP站点”?右击并选择“新建-FTP站点”，进入“FTP站点创建向导”。在此向导中，重点介绍为即将建立的安全的维护型FtP服务器指定IP地址并修改端口。2．使用足够隐蔽的端口进行通信“端口”设置建议不使用默认端口，而是将默认端口设置成一个不常用的，大于10000、小于65535的端口号。之所以要设置大于10000，小于65535是因为很多端口扫描工具默认情况下都不会扫描这部分端口，而攻击者如果手动设置扫描端口的话，出于时间和速度的考虑，也很少定义1-65535这样的端口扫描规则，所以很容易迷惑攻击者，让他们根本不知道原来还有一个高端端口隐蔽在系统中发挥作用。?即使攻击者用扫描器扫到了这个端口，往往也会因为这个陌生的端口而不明白具体运行的服务，需要详细探测才有可能发现是FTP服务。接下来，将对此新建的FTP服务器进行详细的安全配置。经第二重疗伤篇——定制详细的FTP日志记录相关信息IIS的FTP系统有非常完善、丰富的日志记录系统，使用日志系统来时刻记录FTP服务器的运行状态是非常重要的。1．启用FTP服务器的日志记录功能在默认情况下，IIS管理器下FTP站点中的某个站点的FTP日志系统默认是启用的。2．FTP服务器的高级日志配置和普通的FTP服务器要求不同，如果需要建立足够安全的FTP服务器，需要对日志系统进行详细的高级定义，定义的内容就是设置攻击者或者可能发生的攻击可能存在的典型特征。详细需要定制的高级规则如下：“新日志计划”：此选项控制每个日志文件的生成规则，默认是每天生成一份新的FTP日志。假定攻击者绕过了种种限制，对某目标FTP服务器进行了大批量的分布式暴力破解攻击，如果FTP日志是按默认的记录方式记录的，则会产生无比庞大的单一文件有时候日志记录文件可能达到数十GB的大小，甚至撑破系统盘的空间，导致系统的正常运行出现问题。所以这里需要首先确定FTP的日志按照文件大小来生成，选择“新日志计划”下的“当文件大小达到20MB”时开始生成新的日志记录文件，方便分析和调用；“日志文件目录”：此选项是非常重要的选项，定义FTP日志的存放地址，默认是存放在“C:\WINDOWS\system32\LogFiles”下。?对于任何被攻击者广泛了解的默认选项，都应该进行相关的在可允许范围内修改。同时，出于对操作系统所在盘的保护，建议将FTP的日志系统定义到每个FTP用户单独使用的文件夹下，但不能赋予该用户对此日志记录文件的访问权限。3．定义FTP服务器日志的详细记录规则在配置好日志文件的生成规则和路径以后，需要对日志文件记录信息的类型进行详细配置。一个能记录绝大多数攻击者和使用者行为的日志文件应该包含以下记录信息：日期（非默认选中，需要手动选中）；时间（默认选中）；客户端IP地址（默认选中）；用户名（非默认选中，需要手动选中）方法（默认选中）；URL资源（默认选中）；协议状态（默认选中）；Win32状态（默认选中）；所用时间（非默认选中，需要手动选中）；用户代理（非默认选中，需要手动选中）；需要注意的是，并不是日志系统记录的信息越多就越好，因为日志系统记录FTP用户（攻击者或者正常用户）的访问毕竟需要消耗资源，而且生成的日志记录同样需要存放空间。如果记录项目过多，可能引起系统资源消耗日志文件占用空间大的问题。真经第三重点穴篇——取消匿名访问匿名访问是FTP服务器的默认设置，此设置可以很好地支持普通用户的FTP访问，但是要建立安全性足够的FTP服务器的话，此项