Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2196 / 318 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 10:

Безопасность FTP, NNTP и других служб IIS

Обеспечение безопасности сайта

FTP-серверы управляются и настраиваются (как и IIS) с помощью программы Internet Services Manager (ISM), осуществляющей контроль над отдельными FTP-сайтами. Службой FTP можно управлять с помощью консоли Services Management Console или команды Net (см. раздел "Запуск и остановка служб").

Параметры FTP-сайта можно настраивать на трех уровнях: главном, уровне сайта и уровне виртуального каталога. Параметры на главном уровне и уровне сайта наследуются всеми новыми FTP-сайтами. Откройте список Master Properties (Главные свойства) (см. рис. 10.1), щелкнув правой кнопкой мыши на узле веб-сервера в диспетчере Internet Services Manager.

Отдельные параметры, настроенные на уровне конкретного сайта и виртуального каталога, будут игнорировать родительские параметры. Можно создать на сервере несколько FTP-сайтов, чтобы FTP-сервер не выглядел единственным сервером.

В окне IIS Master Properties (Главные свойства IIS) настраиваются значения по умолчанию, наследуемые всеми сайтами

Рис. 10.1. В окне IIS Master Properties (Главные свойства IIS) настраиваются значения по умолчанию, наследуемые всеми сайтами

Ограничение полосы пропускания, настраиваемое в окне Internet Server Properties (Свойства сервера интернета), применяется ко всем службам интернета, работающим на сервере IIS; однако, в отличие от веб-сайтов, невозможно управлять этим ограничением для отдельного FTP-сайта. Если сервер IIS использует то же интернет-подключение, что и внутренние пользователи, примените параметр Maximum Network Use (Максимальное использование сети), чтобы запретить использование интернет-соединения службами FTP и Web в случаях повышенной активности или атаки на отказ в обслуживании. Выберите параметр Enable Bandwidth Throttling (Включить ограничение полосы пропускания) и введите максимальное число килобайт в секунду, доступное серверу IIS (см. рис. 10.1).

Мы рассмотрим каждый из параметров службы, влияющий на уровень защищенности сервера. Среди этих параметров выделяются параметры производительности, предотвращающие атаки на отказ в обслуживании. Для корректной настройки всех создаваемых FTP-сайтов необходимо сконфигурировать главные свойства FTP сервера интернета. Щелкните правой кнопкой мыши на объекте в диспетчере ISM и в появившемся меню выберите Properties (Свойства). После этого в ниспадающем списке Master Properties (Главные свойства) выберите FTP Service (Служба FTP) и нажмите на кнопку Edit (Изменить), чтобы открыть окно FTP Service Master Properties (Главные свойства службы FTP) (см. рис. 10.2).

Уменьшите число соединений по умолчанию в окне FTP Service Master Properties (Главные свойства службы FTP), равное 100 000, если не требуется поддержка такого количества подключений

Рис. 10.2. Уменьшите число соединений по умолчанию в окне FTP Service Master Properties (Главные свойства службы FTP), равное 100 000, если не требуется поддержка такого количества подключений
Ограничение подключений

Если служба FTP предназначена для нескольких отдельных клиентов или сотрудников, на сервере не нужна поддержка множества единовременных подключений, так как это упрощает хакерам реализацию атаки на отказ в обслуживании. На вкладке FTP Site (FTP-узел) в области Connection (Подключение) в поле Limited To (Ограничено) введите соответствующий предел согласно назначению сервера. После этого на вкладке Message (Сообщение) включите отображение сообщения пользователям, пытающимся подключиться к серверу после достижения максимально допустимого числа подключений. В поле Connection Timeout (Время простоя соединения) введите время (в секундах), по истечении которого сервер отключит неактивных пользователей. Такая настройка параметров обеспечит закрытие всех подключений, если это не сделает протокол FTP.

Ведение журнала FTP-активности

В соответствии с политикой аудита безопасности необходимо осуществлять запись FTP-активности, поэтому отметьте опцию Enable Logging (Вести журнал). Для включения записи активности пользователей отметьте опцию Log Visits (Записывать в журнал посещения) на вкладке Home Directory (Домашний каталог) для каждого сайта FTP. Система обнаружения вторжений поддерживает мониторинг журналов, однако следует выяснить формат этих журналов. Параметры и настройки журнала должны быть такими же, как и для службы WWW.

Отключение пользователей

В окне Properties (Свойства) FTP-сайта выясните, какие пользователи в данный момент подключены к сайту, нажав на кнопку Current Sessions (Текущие сеансы), как показано на рисунке. Анонимные пользователи отображаются с использованием вопросительных знаков.


Для быстрого отключения определенного пользователя (например, возникло подозрение, что он использует сервер не по назначению) выделите его (или их) и нажмите на кнопку Disconnect (Отключить) или отключите всех пользователей, нажав на кнопку Disconnect All (Отключить всех).

Совет. Используйте Internet Services Manager (Диспетчер служб интернета) для управления отдельными FTP-сайтами. Например, если на сервере находятся два FTP-сайта, можно остановить службу FTP на одном сайте, но оставить второй сайт работающим. Суть этого действия заключается в том, что служба FTP продолжает выполняться, а остановленный FTP-сайт переводится в автономный режим.