Cómo configurar su propio servidor FTP
El servidor FTP se basa primero en el funcionamiento del sistema operativo y en el propio sistema operativo, por lo que la seguridad del sistema operativo determina el nivel de seguridad del servidor FTP. Aunque Windows 98/Me puede configurar un servidor FTP, no es muy seguro y vulnerable a ataques, por lo que es mejor no usarlo. Windows NT es inútil, no lo uses. Es mejor utilizar Windows 2000 y superior y recordar parchearlo a tiempo. En cuanto a Unix y Linux, no están incluidos en la discusión.
En segundo lugar, utilice un firewall
El puerto es la interfaz lógica entre el ordenador y la red externa, y es la primera barrera para el ordenador. La correcta configuración del puerto afecta directamente a la seguridad. del host En términos generales, es más seguro abrir solo los puertos que necesita usar y bloquear otros puertos que no necesita usar. Hay muchas formas de restringir los puertos. Puede utilizar un firewall personal de terceros. Aquí solo presentamos el método de configuración del firewall propio de Windows.
1. Utilice el filtrado TCP/IP
En Windows 2000 y Windows XP, el sistema viene con filtrado TCP/IP, que se puede utilizar para configuraciones de puertos simples. Por ejemplo, en Windows XP, abra las propiedades de la conexión de área local, busque Protocolo de Internet (TCP/IP) en las opciones generales y luego haga doble clic en el protocolo para abrir la ventana de configuración de propiedades del protocolo. Haga clic en el botón Avanzado en la esquina inferior derecha para ingresar la configuración avanzada de TCP/IP. Seleccione el filtro TCP/IP en Opciones y haga doble clic en él para ingresar a sus propiedades. Aquí podemos configurar el sistema para que solo permita puertos abiertos, como configurar el puerto 21 del servidor FTP. Primero marque Habilitar filtrado TCP/IP (todos los adaptadores), luego seleccione Permitir solo en la opción Puerto TCP, haga clic en Agregar, ingrese el número de puerto 21, Claro. De esta forma, el sistema sólo permitirá abrir el puerto 21. Para abrir puertos adicionales, simplemente sigue agregándolos. Esto puede prevenir eficazmente la intrusión más común en el puerto 139. La desventaja es que la función es demasiado simple. Solo puede configurar los puertos que se pueden abrir y no puede personalizar los puertos que se pueden cerrar. Si hay muchos puertos para abrir, debe agregarlos uno por uno manualmente, lo cual es más problemático.
2. Active el Firewall de conexión a Internet
Para Windows XP, su propio Firewall de conexión a Internet es más fácil de configurar y más potente que el filtrado TCP/IP. Además de las reglas de apertura de puertos del firewall integradas, también puede agregar o eliminar sus propias reglas. Abra "Conexiones de red" en el Panel de control, haga clic con el botón derecho en "Conexiones de acceso telefónico", vaya a la pestaña "Avanzado", marque "Proteger mi computadora y mi red restringiendo o bloqueando el acceso a esta computadora desde Internet" y luego habilite él. De forma predeterminada, el puerto FTP está cerrado en el sistema, por lo que también es necesario configurar un firewall para abrir el puerto FTP utilizado. Haga clic en el botón de configuración en la esquina inferior derecha para ingresar a la configuración avanzada, seleccione el servidor FTP y edítelo. Dado que el puerto predeterminado para el servicio FTP es 21, no se puede cambiar nada excepto el campo de dirección IP. Complete la dirección IP pública del servidor en el campo de dirección IP, confirme y salga para que surta efecto de inmediato. Si configura un servidor FTP con un puerto diferente, como 22, puede hacer clic en Agregar en la pestaña Servicios, ingresar el nombre del servidor y la dirección IP pública y luego completar los números de puerto externo e interno como 22.
3. Configuración del software del servidor como IIS y Serv-u
Además de confiar en las medidas de seguridad proporcionadas por el sistema, también debe utilizar la configuración del servidor FTP. Software para mejorar la seguridad de todo el servidor.
1. Configuración de seguridad de IIS
1) Instalar nuevos parches de manera oportuna
Se puede decir que las vulnerabilidades de seguridad de IIS son bien conocidas, en promedio. cada dos o tres meses. Una o dos lagunas. Afortunadamente, Microsoft proporciona parches para vulnerabilidades recién descubiertas, lo que requiere que actualice e instale continuamente los parches más recientes.
2) Configure el directorio de instalación en una unidad que no sea del sistema y deshabilite los servicios innecesarios.
Algunos usuarios malintencionados pueden acceder al sistema a través de vulnerabilidades de desbordamiento de IIS. Colocar IIS en la partición del sistema expone los archivos del sistema al mismo acceso ilegal que IIS, lo que facilita que los usuarios ilegales invadan la partición del sistema. Además, dado que IIS es un componente de servicio integral, cada servicio abierto reducirá la seguridad de todo el servicio, así que trate de no instalar ni iniciar servicios que no necesita.
El mayor defecto de seguridad de FTP es que transmite contraseñas en texto claro de forma predeterminada, que puede detectarse fácilmente. IIS también se basa en cuentas de usuario de Windows, por lo que es fácil filtrar el nombre y la contraseña de la cuenta del sistema. Si la cuenta tiene ciertos derechos administrativos, afectará la seguridad de todo el sistema. Configurarlo para permitir solo conexiones anónimas puede evitar el riesgo de fugas durante la transmisión. Vaya al sitio FTP predeterminado y marque esta opción en la pestaña Cuentas de seguridad de las propiedades.
4) Configure cuidadosamente el directorio de inicio y sus permisos
IIS puede configurar el directorio de inicio del sitio FTP como un directorio compartido de otra computadora en la LAN, pero en la LAN, el directorio compartido se infecta fácilmente con virus de otras computadoras y, en casos graves, puede incluso paralizar toda la red de área local. Por lo tanto, como último recurso, es mejor utilizar un directorio local y configurar el directorio de inicio. una partición que no es del sistema en formato NTFS *** Compartir catálogo. Es mejor utilizar un directorio local y configurar el directorio de inicio en una partición que no sea del sistema en formato NTFS. De esta manera, al configurar permisos para directorios, puede configurar permisos para cada directorio en función de diferentes grupos o usuarios. Haga clic derecho en el directorio que desea configurar y vaya a *** ¿Disfrutar y estar seguro? para configurarlo y no conceda permiso de escritura si no es necesario.
5) Intente no utilizar el número de puerto predeterminado 21
Habilite el registro cuando se produzcan excepciones para comprobar la causa.
2. Configuración de seguridad de Serv-u
En comparación con el servicio FTP de IIS, Serv-u hace un mejor trabajo en términos de seguridad.
1) Configurar un servidor local
Primero verifique para bloquear ataques __bounce FTP y XP. Por lo general, cuando se utiliza el protocolo FTP para la transferencia de archivos, el cliente primero enviará un comando PORT al servidor FTP, que contiene la dirección IP del usuario y el número de puerto que se utilizará para realizar la transferencia de datos. Después de recibir el comando, el servidor. proporcionará Crear un nuevo servidor con la información de la dirección del usuario. Después de recibirlo, el servidor utilizará la información de la dirección del usuario proporcionada por el comando para establecer una conexión con el usuario. En la mayoría de los casos, el proceso anterior no causará ningún problema, pero cuando el cliente es un usuario malintencionado, es posible que el servidor FTP establezca una conexión con otra máquina que no sea el cliente al incluir información de dirección específica en el comando PORT. . Si bien es posible que un usuario malintencionado no tenga acceso directo a una máquina específica, si el servidor FTP tiene acceso a la máquina, el usuario malintencionado puede utilizar el servidor FTP como intermediario y aun así eventualmente conectarse al servidor de destino. Este es FXP, también conocido como ataque entre servidores. Verificarlo evita que esto suceda.
En segundo lugar, en la pestaña "Avanzado", verifique si "Cifrar contraseña" y "Habilitar seguridad" están marcados, si no, selecciónelos. Las contraseñas cifradas utilizan una función hash unidireccional (MD5) para cifrar las contraseñas de los usuarios, y las contraseñas cifradas se almacenan en ServUDaemon.ini o el registro. Si no se selecciona esto, las contraseñas de los usuarios se guardarán en texto sin cifrar en un archivo: Al habilitar la seguridad se iniciará exitosamente la seguridad para el servidor Serv-u.
2) Configurar el servidor en el dominio
Como se mencionó anteriormente, FTP transmite contraseñas en texto claro de forma predeterminada, que se puede rastrear fácilmente. Para las cuentas que solo tienen permisos generales, el riesgo no es grande, pero si la cuenta tiene administración remota, especialmente permisos de administrador del sistema, otros pueden controlar remotamente todo el servidor. Serv-u proporciona las siguientes contraseñas para cada cuenta Serv-u proporciona tres tipos de seguridad para cada cuenta: Contraseña de regla, OTP S/KEY MD4 y OTP S/KEY MD5. Los diferentes tipos de métodos de cifrado de transmisión son diferentes y la contraseña de la regla es la menos segura.
Ingrese la configuración de una cuenta con algunos derechos administrativos, busque el cuadro de lista desplegable Tipo de contraseña en la pestaña General, seleccione el segundo o tercer tipo y guarde. Tenga en cuenta que cuando los usuarios utilizan esta cuenta para iniciar sesión en el servidor, el software del cliente FTP debe admitir este tipo de contraseña, como CuteFTP Pro, etc. Al ingresar su contraseña, elija un tipo de contraseña apropiado para autenticarse con el servidor.
Además de IIS, también debes prestar atención a la configuración del directorio de inicio y sus permisos, y tratar de no otorgar permisos de escritura y otros permisos que puedan modificar los archivos o directorios del servidor. Finalmente, ingrese el código fuente de configuración Sky