FTP Site و راه هاي ايمن سازي - بخش اول

FTP يا File Transfer Protocol يكي از رايج ترين و قديمي ترين سرويسهاي موجود بر روي شبكه ها و همچنين اينترنت است كه براي نقل و انتقال فايلها روي شبكه بكار مي رود. در حال حاضر FTP روشي استاندارد و در دسترس است كه جامعيت يافته است.
FTP Site يكي از اعضاي IIS 5.0 بوده وبه همراه Windows 2000 آمده است بصورت يك Service مستقل با كارايي و امكانات فراوان مي باشد. بعضي از اين امكانات آشكار بوده و برخي از آنها توسط سرپرست شبكه مورد استفاده قرار مي گيرند البته بعدها سرويسهاي وابسته اي نظير VPN و SSH براي امنيت رواج يافته اند.
در اين نوشتار ده روش موجود در Windows 2000 توضيح داده خواهد شد تا به كمك آن بتوانيد سايتهاي FTP خود را بيش از پيش در اختيار گرفته ، ايمن نموده و كنترل نمائيد.

1- از دسترسيهاي بي نام و نامشخص جلوگيري نماييد.

در ابتدا و پس از فعال ساختن FTP، دسترسي ها بي نام به صورت پيش فرض در سيستم به وجود مي آيند. به عبارتي هركس بدون ثبت و Autentication قادر به استفاده از FTP Site خواهد بود.
به غير از موارد خاص از اين خاصيت در اكثر اوقات استفاده غير مجاز مي شود. با حذف دسترسي Anonymous كه به معناي بي نام است و استفاده از كلمه عبور و Password مختص كاربر قادر به كنترل دسترسي ها خواهيم بود. اين عمل با تنظيم ACL يا (Access Control List) روي FTP Home Directory كه در سيستم NTFS وجود دارد قابل انجام است.
براي محدود كردن دسترسي هاي ناشناس به FTP ، گزينه مربوط به Allow Anonymous Connection در پنجره Security Accounts واقع در FTP Property را برداريد.

2- گزارشگيري را فعال نماييد

با فعال شدن گزارشگيري شما از اينكه چه كساني با كدام آدرس شبكه ( IP ) به سايت شما دسترسي يافته اند آگاهي خواهيد يافت . مرور گزارشها شما را قادر مي سازد ترافيك سايت را تشخيص داده و متوجه تهديدهاي امنيتي و مشكلات شويد.
براي فعال ساختن گزارشگيري از FTP Site ، Enable Logging را در صفحه Property فعال سازيد. بااين عمل فايل هاي گزارش با فرمت خاص قابل مرور شدن و تجزيه تحليل خواهند بود.

3- ACL را مقاوم سازيد

براي تنظيم نه تنها لزوم دسترسي به FTP Directory با استفاده از محدوديت هاي موجود در ACL ( در NTFS ) و همچنين تنظيم آن است بلكه گروه هاي موجود در FTP بايد از لحاظ حقوق و دسترسي تنظيم گردند.
به عنوان مثال شما تنها مي خواهيد دسترسي Read,Write,List Folder را به اين گروه بدهيد بدون آنكه امكان اجرا (Execute) را فعال سازيد لذا تنها سه گزينه فوق انتخاب مي شود.

4-FTP Site را بصورت يكطرفه (Blind Put) تنظيم نماييد.

اگر تنها انتقال اطلاعات به سرور مدنظر بوده و نياز به برداشت فايل از آن نباشد ( به عبارتي انتقال اطلاعات يكطرفه است) به اين حالت اصطلاحا Blind Put گفته مي شود. به عبارتي امكان نوشتن (Write) را دارا مي باشد بدون آنكه توانايي خواندن داشته باشد.
اين روش يكي از روش هاي كنترلي براي در اختيار گرفتن دسترسي كاربران مي باشد. تنظيم Blind Put در FTP Site و مجوزهاي NTFS صورت مي پذيرد.
شكل فوق روش حذف دسترسي خواندن رااز FTP Site نشان مي دهد.

5- فعال سازي ظرفيت حافظه مورد نياز

Windows 2000 به همراه ابزاري دستي براي تخصيص فضاي ديسك (Disk Quotas) به بازار آمد. Disk Quotas بطور مؤثر قادر به تخصيص مقدار مشخصي فضاي حافظه به كاربري خاص مي باشد. مقدار پيش فرض معادل فضاي كل ديسك (Partition) است. با استفاده از اين خاصيت شما قادر به كنترل و محدود كردن خطاهاي احتمالي ناشي از كاربرها مي باشيد لذا سايت شما به سايتي غير جذاب براي نفوذگران بدل خواهد شد.
جهت فعال سازي Quotas در Property پارتيشن NTFS قادر به انجام اين مهم خواهيد شد.
Quotas مي تواند براي يك كاربر تنظيم شود و نمي تواند به يك گروه تخصيص يابد.
مديريت Quota براي هر كاربر تنظيم مي شود و محدوديت بايد روي هر User Account براي دسترسي به FTP تنظيم گردد.
منبع:www.sgnec.net
/س