Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989 |
Безопасность FTP, NNTP и других служб IIS
Установка компонентов IIS
Компоненты IIS устанавливаются при инсталляции IIS, или позднее, с помощью мастера установки и удаления программ, имеющегося в панели управления Windows. Отметьте компонент Internet Information Services, нажмите на кнопку Details (Детали) и выберите любые дополнительные службы IIS, которые необходимо установить (см. рисунок ниже).
Совет. При установке сервера IIS инсталлируйте только те компоненты, которые обеспечивают работу нужных служб.
Каждая устанавливаемая служба представляет собой потенциальную точку входа на сервер, так как она обрабатывает запросы клиентов. Чем больше служб работает на сервере, тем больше точек входа доступно для реализации атак. Назначение веб-сайта и соответствующая ему политика безопасности определяют, какие дополнительные службы должны быть установлены и включены. Не следует устанавливать или включать ненужные службы. Сетевая политика доступа к службам определяет, какие службы IIS и при каких обстоятельствах разрешены и запрещены. В "Подготовка и укрепление веб-сервера" рассказывалось о минимальном наборе служб, необходимом для работы IIS. Единственными необходимыми службами IIS являются службы World Wide Web (WWW) Publishing Service и IIS Admin Service.
Все разделы, используемые IIS-службами, должны иметь файловую систему NTFS для контроля доступа и использования защиты NTFS. Располагайте содержимое каждой поддерживаемой службы (WWW или FTP) в отдельном разделе либо, что предпочтительнее, на отдельном томе. Убедитесь, что сервер имеет ресурсы, необходимые для поддержки дополнительных служб с использованием настроек безопасности, так как их работа отрицательно скажется на общей производительности системы. Далее вы увидите, что некоторые конфигурации безопасности используют значительную долю ресурсов. Давайте начнем со службы протокола FTP (протокол передачи файлов).
Служба FTP – протокол передачи файлов
FTP представляет самый простой способ обмена файлами между удаленными компьютерами и используется для загрузки или отгрузки файлов на другой компьютер. Это стандартный протокол интернета, оптимизированный для передачи данных через сети TCP/IP. Для надежной передачи данных FTP устанавливает соединение клиент/сервер с использованием двух портов TCP на компьютере-клиенте и сервере. Первый порт называется FTР Control и обеспечивает начало сеанса и контроль ошибок; второй порт называется FTP Data и обеспечивает непосредственную передачу данных между клиентом и сервером. Служба FTP использует хорошо известный порт 21 для операций контроля и порт 20 для передачи данных. Клиентские порты TCP присваиваются динамически при создании сеанса.
"Хорошо известные" номера портов зарезервированы организацией ICANN (Internet Corporation for Assigned Names and Numbers) для использования конечными точками приложения, которые устанавливают связь через протоколы TCP или UDP. Каждый тип приложения имеет свой собственный и, следовательно, "хорошо известный" номер порта. Когда приложение на одном клиенте устанавливает соединение с другим клиентом, оно указывает на конкретное приложение посредством номера порта. Известные порты лежат в диапазоне от 0 до 1023, зарегистрированные порты – с 1024 по 49 151, а оставшиеся порты, вплоть до 65 535, используются в качестве динамических или частных портов. Вы можете сменить номер порта, используемый любой службой IIS, включая SMTP и NNTP. Это делается из соображений безопасности в небольшой частной сети; однако большинство хакеров используют сканеры портов для нахождения открытых портов.
Служба FTP позволяет пользователям загружать с сайта файлы, например, руководства по использованию товаров, сотрудникам отдела продаж работать с заказами или отчетами, находясь в отъезде или в пути. Однако за эти возможности можно заплатить немалую цену. Протокол FTP осуществляет передачу всех данных, включая имена пользователей и пароли, через сеть в открытом виде, что открывает доступ к локальной файловой системе любому пользователю в сети, если не обеспечена должная защита (право на локальный вход требуется каждому пользователю, подключающемуся к FTP-серверу).
Совет. При смене значения контрольного порта FTP вы скроете свой сервер от большинства клиентов FTP в интернете. В этом случае сообщите новый номер порта только тем пользователям, которым предоставляется доступ к FTP-службе, например: ftp://www.ваш_сервер.com:1025.