Опубликован: 16.10.2006 | Уровень: специалист | Доступ: платный
Лекция 10:

Безопасность FTP, NNTP и других служб IIS

Аннотация: IIS представляет собой полнофункциональный веб-сервер, обеспечивающий широкий спектр полезных служб в дополнение к веб-службам FTP, NNTP и SMTP. Как и служба WWW Publishing Service, компоненты IIS базируются на семействе протоколов TCP/IP и, следовательно, открыты для злоупотребления и использования не по назначению. При включении в работу любой из этих дополнительных служб придется настроить сетевой экран на контроль доступа к необходимым протоколам, портам и адресам. Руководство по применению конкретного сетевого экрана должно содержать инструкции по реализации этого процесса. В данной лекции мы покажем, как обеспечить безопасность компонентов IIS и уменьшить число служб до минимального количества. Нужно ли иметь 10 000 FTP-соединений для своих сотрудников, если в компании работает только 50 человек?
Ключевые слова: IIS, Windows, компонент, Internet, information, сервер, политика безопасности, Web, WWW, publishing, service, admin, разделы, NTFS, доступ на использование, FTP, компьютер, стандартный протокол, TCP, порт, контроль, ICANN, AND, связь, UDP, номер порта, приложение, ПО, smtp, NNTP, сеть, доступ, ISM, internet server, bandwidth throttling, активный пользователь, Disconnect, anonymity, анонимный доступ, приветственное сообщение, привилегия доступа, квота, VAN, sftp, ISA Server, gopher, интранет, Интернет, группы новостей, почтовый ящик, SSL, manager, диспетчер, папка, вложенная папка, контроль доступа, объект, virtual, поле, newsgroup, subtree, дерево, default, системный журнал, performance monitoring, microsoft outlook express, security package, moderator, служба индексирования, server, HTML, word, excel, операции, management, пространство, запрос, килобайт, Computer Management, условия поиска, IDA, доступ к ключам, exchange, POP3, IMAP, сайт, security service, системы аутентификации, Transport layer, win2k, NTLM, размер сообщения, challenge, recipient, получатель сообщения, incoming, routing domain, pause, команда, media, передача данных, Веб-служба, процессорное время, функции безопасности, security, безопасность, logging, character generator, генератор, discard, echo, quote, windows 2000, network, uninstall, сертификаты пользователей

Установка компонентов IIS

Компоненты IIS устанавливаются при инсталляции IIS, или позднее, с помощью мастера установки и удаления программ, имеющегося в панели управления Windows. Отметьте компонент Internet Information Services, нажмите на кнопку Details (Детали) и выберите любые дополнительные службы IIS, которые необходимо установить (см. рисунок ниже).

Совет. При установке сервера IIS инсталлируйте только те компоненты, которые обеспечивают работу нужных служб.

Каждая устанавливаемая служба представляет собой потенциальную точку входа на сервер, так как она обрабатывает запросы клиентов. Чем больше служб работает на сервере, тем больше точек входа доступно для реализации атак. Назначение веб-сайта и соответствующая ему политика безопасности определяют, какие дополнительные службы должны быть установлены и включены. Не следует устанавливать или включать ненужные службы. Сетевая политика доступа к службам определяет, какие службы IIS и при каких обстоятельствах разрешены и запрещены. В "Подготовка и укрепление веб-сервера" рассказывалось о минимальном наборе служб, необходимом для работы IIS. Единственными необходимыми службами IIS являются службы World Wide Web (WWW) Publishing Service и IIS Admin Service.

Все разделы, используемые IIS-службами, должны иметь файловую систему NTFS для контроля доступа и использования защиты NTFS. Располагайте содержимое каждой поддерживаемой службы (WWW или FTP) в отдельном разделе либо, что предпочтительнее, на отдельном томе. Убедитесь, что сервер имеет ресурсы, необходимые для поддержки дополнительных служб с использованием настроек безопасности, так как их работа отрицательно скажется на общей производительности системы. Далее вы увидите, что некоторые конфигурации безопасности используют значительную долю ресурсов. Давайте начнем со службы протокола FTP (протокол передачи файлов).

Служба FTP – протокол передачи файлов

FTP представляет самый простой способ обмена файлами между удаленными компьютерами и используется для загрузки или отгрузки файлов на другой компьютер. Это стандартный протокол интернета, оптимизированный для передачи данных через сети TCP/IP. Для надежной передачи данных FTP устанавливает соединение клиент/сервер с использованием двух портов TCP на компьютере-клиенте и сервере. Первый порт называется FTР Control и обеспечивает начало сеанса и контроль ошибок; второй порт называется FTP Data и обеспечивает непосредственную передачу данных между клиентом и сервером. Служба FTP использует хорошо известный порт 21 для операций контроля и порт 20 для передачи данных. Клиентские порты TCP присваиваются динамически при создании сеанса.

"Хорошо известные" номера портов зарезервированы организацией ICANN (Internet Corporation for Assigned Names and Numbers) для использования конечными точками приложения, которые устанавливают связь через протоколы TCP или UDP. Каждый тип приложения имеет свой собственный и, следовательно, "хорошо известный" номер порта. Когда приложение на одном клиенте устанавливает соединение с другим клиентом, оно указывает на конкретное приложение посредством номера порта. Известные порты лежат в диапазоне от 0 до 1023, зарегистрированные порты – с 1024 по 49 151, а оставшиеся порты, вплоть до 65 535, используются в качестве динамических или частных портов. Вы можете сменить номер порта, используемый любой службой IIS, включая SMTP и NNTP. Это делается из соображений безопасности в небольшой частной сети; однако большинство хакеров используют сканеры портов для нахождения открытых портов.

Служба FTP позволяет пользователям загружать с сайта файлы, например, руководства по использованию товаров, сотрудникам отдела продаж работать с заказами или отчетами, находясь в отъезде или в пути. Однако за эти возможности можно заплатить немалую цену. Протокол FTP осуществляет передачу всех данных, включая имена пользователей и пароли, через сеть в открытом виде, что открывает доступ к локальной файловой системе любому пользователю в сети, если не обеспечена должная защита (право на локальный вход требуется каждому пользователю, подключающемуся к FTP-серверу).

Совет. При смене значения контрольного порта FTP вы скроете свой сервер от большинства клиентов FTP в интернете. В этом случае сообщите новый номер порта только тем пользователям, которым предоставляется доступ к FTP-службе, например: ftp://www.ваш_сервер.com:1025.

Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989