سرويس FTP)File Transfer Protocol) يکی از قديمی ترين و متداولترين سرويس های موجود بر روی اينترنت است . از سرويس فوق ، بمنظور ارسال و دريافت فايل در يک شبکه استفاده می گردد. سرويس FTP ، توسط عموم کاربران اينترنت استفاده و بعنوان استانداردی برای ارسال و دريافت فايل در شبکه ( اينترانت ، اينترنت ) توسط اکثر سيستم های عامل پذيرفته شده است
ويندوز 2000 بهمراه خود از يک سرويس دهنده FTP استفاده می نمايد که بعنوان بخشی از IIS در نظر گرفته می شود. مديران سيستم با استفاده از سرويس فوق و ترکيب آن با ساير امکانات ارائه شده توسط ويندوز ، قادر به ايجاد و پيکربندی يک سايت FTP با ضريب امنيتی مناسبی خواهند بود.در ادامه و بمنظور ايمن سازی يک سايت FTP ، پيشنهادات متعددی ارائه می گردد.
نکته اول :
دستيابی از طريق Anonymous account را غير فعال نمائيد . دستيابی از نوع Anonymouse، بصورت پيش فرض و پس از نصب اولين سرويس دهنده FTP فعال می گردد. روش فوق ، امکان دستيابی به سايت FTP را بدون نياز به يک account خاص فراهم می نمايد. بدين ترتيب استفاده کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روی سرويس دهنده FTP بوده و امکان مشاهده سودمند ترافيک سايت و در صورت ضرورت، رديابی آنان وجود نخواهد داشت . با حذف قابليت دستيابی Anonymous ، امکان دستيابی به سايت FTP صرفا" در اختيار کاربرانی قرار خواهد گرفت که دارای يک account معتبر باشند.
پس از تعريف هر يک از account های مورد نظر، می توان در ادامه با استفاده از ACL)Access Control List) کنترل ها و مجوزهای مربوط به دستيابی به دايرکتوری FTP ( محل فيزيکی استقرار سايت FTP بر روی ديسک ) را تعريف و مشخص نمود . در اين رابطه می توان از مجوزهای NTFS استفاده کرد. به منظور غير فعال نمودن Anonymous account ، می توان از طريق صفحه Property مربوط به سايت FTP ( برنامه Internet Information Service ) عمليات مورد نظر را انجام داد .
نکته دوم :
فعال نمودن Logging . با فعال نمودن Logging بمنظور اتصال به سايت FTP ، اين اطمينان بوجود خواهد آمد که اطلاعات لازم ( آدرس های IP و يا نام کاربران ) در خصوص کاربرانی که بصورت موفقيت آميز به سايت متصل شده اند ، ثبت خواهد شد.با استفاده از فايل های لاگ که در اين رابطه ايجاد خواهد شد ، می توان ترافيک موجود بر روی سايت را مشاهده و در صورت يک تهاجم ، امکان رديابی اوليه آن فراهم گردد. بمنظور فعال نمودن ويژگی فوق، کافی است که Chex box مربوطه از طريق صفحه Property مربوط به سايت FTP انتخاب گردد .در ادامه ، فايل های لاگ بر اساس فرمتی که مشخص شده است ، ايجاد خواهند شد . استفاده از فايل های لاگ ، بمنظور مشاهده و آناليز ترافيک سايت بسيار مفيد خواهد بود.
نکته سوم :
تنظيم و پيکربندی مناسب ليست ACL ( ليست کنترل دستيابی ) .دستيتابی به دايرکتوری FTP می بايست با استفاده از مجوزهای NTFS و بکارگيری محدوديت های ACL ، کنترل گردد . دايرکتوری FTP نبايد دارای گروه Everyone با تمامی امتيازات و مجوزها باشد ( امکان کنترل مجوزها و کاربرانی که سايت FTP متصل شده اند وجود نخواهد داشت ) .بدين منظور لازم است بر روی دايرکتوری مربوط به سايت FTP مستقر و با انتخاب گزينه Property و Security Option ، اسامی موجود را حذف و با انتخاب دکمه Add از ليست موجود، Authenticated user را انتخاب کرد . در ادامه می توان با توجه به سياست های موجود مجوز Read,Write و List Folder contents را در اختيار گروه مربوطه قرار داد . در صورتيکه سياست موجود اقتضاء می کند ، می توان صرفا" امکان دستيابی Write را در اختيار گروه مربوطه قرار و مجوزهای Read وList Folder Contents را از آنها سلب نمود .
نکته چهارم :
پيکربندی سايت بعنوان دريافت کننده نه ارسال کننده . در صورتيکه صرفا" نياز است که کاربران فايل هائی را برای سرويس دهنده ، ارسال و امکان دريافت فايل از سرويس دهنده را نداشته باشند ، می توان سايت FTP را بصورت Blind put پيکربندی نمود. بدين ترتيب به کاربران امکان ارسال ( نوشتن ) فايل بر روی سرويس دهنده داده خواهد شد .( امکان خواندن از دايرکتوری FTP وجود نخواهد داشت ) . بدين منظور می توان پس از انتخاب سايت FTP از طريق Home Directory ، اقدام به تنظيمات مورد نظر نمود.
نکته پنجم :
فعال نمودن Disk Quotas. با استفاده از امکانات ارائه شده توسط ويندوز 2000 ، می توان اقدام به تعيين ظرفيت و يا سهيه ذخيره سازی بر روی ديسک برای هر يک از کاربران نمود..ويژگی فوق ، باعث اعمال محدوديت در رابطه با ميزان فضای ذخيره سازی مربوط به يک کاربر می گردد.بصورت پيش فرض ، مالکيت به هر کاربر که در فايلی می نويسد اعطاء می گردد . با فعال نمودن و انجام تنظيمات مورد نظر، می توان پيشگيری لازم در ارتباط با تهاجم به يک سايت FTP را انجام داد ( پر نمودن ظرفيت ديسک ). در صورت تحقق وضعيت فوق ، دامنه اشکال بوجود آمده به ساير سرويس هائی که از فضای ذخيره سازی ديسک استفاده می نمايند نيز سرايت خواهد کرد. برای فعال نمودن Quota Management ، بر روی درايو موردنظر مستقر و با کليک سمت راست گزينه Property را انتخاب و در نهايت گزينه Quota Tab انتخاب شود .امکان فوق ، صرفا" در ارتبا ط با پارتيشن های NTFS قابل استفاده خواهد بود.استفاده از Disk Quota ، محدود به پارتيش های NTFS بوده و علاوه بر اين صرفا" می تواند در رابطه با يک کاربر استفاده شده وامکان بکارگيری آن در ارتباط با گروه ها وجود نخواهد داشت . با انتخاب دکمه Quota Entries می توان اقدام به تعريف يک Entry جديد و تعريف محدوديت های مورد نظر نمود.
نکته ششم :
استفاده از محدوديت زمانی برای Logon . با استفاده از امکانات ارائه شده همراه ويندوز 2000 ، می توان زمان خاصی را برای ورود به شبکه کا ربران تعريف نمود. بدين ترتيب کاربران صرفا" قادر به استفاده از سرويس دهنده در ساعات مشخص شده خواهند بود.ويژگی فوق ، بطرز محسوسی باعث کنترل دستيابی به سايت FTP خواهد شد. برای پيکربندی زمان logon ، از برنامه Active Directory Users and Computers استفاده می گردد . پس از فعال شدن برنامه فوق ، کاربر مورد نظر را انتخاب و پس از مشاهده صفحه Property مربوطه، با انتخاب دکمه Logon hours از طريق Account Tab ، می توان اقدام به مشخص نمودن زمان مورد نظر کاربر برای استفاده ازسرويس دهنده نمود.
نکته هفتم :
محدوديت دستيابی بر اساس آدرس IP . بمنظور دستيابی به سايت FTP می توان معيار دستيابی را بر اساس آدرس های IP خاصی در نظر گرفت . با اعمال محدوديت فوق ، اقدامات مناسبی بمنظور کنترل دستيابی به سايت در نظر گرفته خواهد شد . بمنظور فعال نمودن ويژگی فوق ، پس از انتخاب سايت FTP از طريق برنامهInternet Information Services و مشاهده صفحه Property ، گزينه Directory Security Tab انتخاب گردد. در ادامه، Denied Access فعال و می توان با استفاده از دکمه Add آدرس های IP تائيد شده را معرفی کرد.
نکته هشتم :
ثبت رويدادهای Audit logon . با فعال نمودن Auditing ( مميزی ) مربوط به رويدادهای Account Logon ، می توان تمامی تلاش های موفقيت آميز و يا با شکست مواجه شده جهت اتصال به سايت FTP را با استفاده از Security log مربوط به Event Viewer ، مشاهده نمود. مشاهده ادواری اين لاگ می تواند عامل موثری در کشف ، تشخيص و رديابی تهاجم به يک سايت باشد. (تشخيص مزاحمين و مهاجمين اطلاعاتی ). بمنظور فعال نمودن ويژگی فوق ، از برنامه Local Security Policy و يا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Local Policies/audit policy ، می توان اقدام به تغيير Local Setting به Success و Failure نمود.
نکته نهم :
فعال نمودن Strong Password . استفاده از رمزهای عبور پيچيده ،روشی مناسب بمنظور افزايش امنيت در خصوص ارائه يک سرويس خاص برای کاربران تائيد شده است . با توجه به جايگاه سرويس دهنده FTP ، استفاده از رمزهای عبور قدرتمند می تواند عاملی موثر در جهت افزايش امنيت سايت های FTP باشد . با استفاده از امکانات ارائه شده در ويندوز 2000 ، مديران سيستم می توانند کاربران را مجبور به استفاده از رمزهای عبور مستحکم و قوی نمايند. بمنظور فعال نمودن ويژگی فوق ، از برنامه Local Security Policy و يا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Password Policy ، می توان گزينه Passwords Must Meet Complexity Requirements را فعال نمود . پس از فعال شدن ويژگی فوق ، هر يک از account های تعريف شده تابع شرايط و محدوديت های زير خواهند بود :
• رمز عبور تعريف شده نمی تواند شامل تمام و يا بخشی از نام Account کاربر باشد .
• رمز عبور تعريف شده می بايست دارای طولی به اندازه حداقل شش باشد .
• رمز عبور تعريف شده می تواند شامل کاراکترها ئی از سه گروه از چهار گروه زير باشد :
- حروف الفبائی A-Z
- حروف الفبائی a-z
- ارقام صفر تا نه
- کاراکترهای خاص ( %,#,$,!)
نکته دهم :
فعال نمودن Account Lockout و Account Lockout Threshold .آگاهی و تشخيص رمزهای عبور يکی از موضوعات مورد علاقه اکثر مهاجمان و برنامه های تشخيص دهنده رمز عبوراست .با استفاده از امکانات ارائه شده بهمراه ويندوز 2000 ، مديران شبکه می توانند تعداد دفعاتی را که يک کاربرسعی در ورود به شبکه می نمايد و عمليات وی با موفقيت همراه نمی گردد را مشخص و در صورت تحقق شرايط فوق ، account مربوطه غير فعال گردد. با فعال نمودن ويژگی فوق و پيکربندی ميزان آستانه ، مديران شبکه می توانند عماکرد برنامه های تشخيیص دهنده رمز های عبور و يا مهاجمان اطلاعاتی را محدود و ضريب ايمنی را افزايش دهند. بمنظور فعال نمودن ويژگی فوق ، از برنامه Local Security Policy و يا Group Policy استفاده می گردد (Programs|Administrative Tools ) . پس از فعال شدن برنامه فوق و استقرار در Account Policy/Account Lockout Policy ، می توان تنظيمات لازم در خصوص Account Lockout duration , Account lockout threshold و Reset account lockout counter after را انجام داد .
