Cómo configurar su propio servidor FTP
1. Selección del sistema operativo
El servidor FTP primero funciona en función del sistema operativo, por lo que la seguridad del propio sistema operativo determina el nivel de seguridad del servidor FTP. Aunque Windows 98/Me también puede configurar un servidor FTP, no es muy seguro y vulnerable a ataques, por lo que es mejor no usarlo. Windows NT es inútil, así que no lo uses. Es mejor utilizar Windows 2000 y superior y recordar aplicar los parches a tiempo. En cuanto a Unix y Linux, no están incluidos en la discusión.
2. Utilice un firewall
El puerto es la interfaz lógica que conecta la computadora a la red externa y también es la primera barrera para la computadora si la configuración del puerto es correcta o no. Afecta directamente la seguridad del host. En términos generales, es más seguro abrir solo los puertos que necesita usar y bloquear otros puertos que no necesita usar. Hay muchas formas de restringir los puertos y puede utilizar un firewall personal de terceros. Aquí solo presentamos la configuración del firewall que viene con Windows.
1. Utilice la función de filtrado TCP/IP
En Windows 2000 y Windows XP, el sistema tiene una función de filtrado TCP/IP, que se puede utilizar para configurar fácilmente el puerto. Tomando Windows XP como ejemplo, abra las propiedades de la conexión local, busque el Protocolo de Internet (TCP/IP) en las opciones generales y haga doble clic en él para abrir la ventana de configuración de propiedades del protocolo. Haga clic en el botón Avanzado en la parte inferior derecha para ingresar a la configuración avanzada de TCP/IP. Seleccione Filtrado TCP/IP en las opciones y haga doble clic para ingresar a la configuración de sus propiedades. Aquí podemos configurar el sistema para que solo permita puertos abiertos. Si el puerto del servidor FTP es 21, primero seleccione Habilitar filtrado TCP/IP (todos los adaptadores), luego seleccione Permitir solo en la opción Puerto TCP, haga clic en Agregar, ingrese el número de puerto 21. , DE ACUERDO. De esta forma, el sistema sólo permite abrir el puerto 21. Para abrir otros puertos, simplemente continúe agregándolos. Esto puede prevenir eficazmente la intrusión más común en el puerto 139. La desventaja es que la función es demasiado simple. Solo puede configurar los puertos que se pueden abrir y no puede personalizar los puertos que se pueden cerrar. Si tiene una gran cantidad de puertos para abrir, debe agregarlos manualmente uno por uno, lo cual es más problemático.
2. Active el firewall de conexión a Internet
Para los sistemas Windows XP, la función de firewall de conexión a Internet viene incluida en comparación con la función de filtrado TCP/IP. Configurado y más potente. Además de las reglas de apertura de puertos del firewall integradas, también puedes agregarlas o eliminarlas tú mismo. Abra Conexiones de red en el Panel de control, haga clic con el botón derecho en la conexión de acceso telefónico, vaya a la pestaña Avanzado, seleccione Proteger mi computadora y mi red restringiendo o bloqueando el acceso a esta computadora desde Internet y habilítelo. El puerto FTP está cerrado de forma predeterminada en el sistema, por lo que debe configurar un firewall y abrir el puerto FTP utilizado. Haga clic en el botón de configuración en la esquina inferior derecha para ingresar a la configuración avanzada, seleccione el servidor FTP y edítelo. Dado que el puerto predeterminado del servicio FTP es 21, excepto la columna de dirección IP, el resto no se puede cambiar. Complete la dirección IP pública del servidor en la columna de dirección IP, confirme y salga para que surta efecto de inmediato. Si el puerto del servidor FTP configurado es otro puerto, como 22, puede hacer clic en Agregar en la pestaña de servicio. Después de ingresar el nombre del servidor y la IP pública, complete 22 tanto para el número de puerto externo como para el número de puerto interno.
3. Configure el software del servidor como IIS y Serv-u
Además de confiar en las medidas de seguridad proporcionadas por el sistema, debe utilizar la configuración del servidor FTP. software en sí para mejorar todo el servidor. Es seguro.
1. Configuración de seguridad de IIS
1) Instale nuevos parches de manera oportuna
Se puede decir que las vulnerabilidades de seguridad de IIS son bien conocidas. en promedio cada dos Cada tres meses aparecerán una o dos lagunas jurídicas. Afortunadamente, Microsoft proporcionará los parches correspondientes basados en las vulnerabilidades recién descubiertas, lo que requiere que actualice e instale constantemente los parches más recientes.
2) Configure el directorio de instalación en un disco que no sea del sistema y cierre los servicios innecesarios.
Algunos usuarios malintencionados pueden obtener acceso al sistema a través de vulnerabilidades de desbordamiento de IIS. Colocar IIS en la partición del sistema expondrá los archivos del sistema a acceso ilegal como IIS, lo que facilitará que los usuarios ilegales invadan la partición del sistema.
Además, dado que IIS es un componente de servicio integral, cada vez que se abre un servicio, se reducirá la seguridad de todo el servicio. Por lo tanto, trate de no instalar ni iniciar servicios innecesarios.
El mayor defecto de seguridad de FTP es que su proceso de transmisión de contraseña predeterminado se realiza en texto claro, que puede detectarse fácilmente. IIS se administra en función de las cuentas de usuario de Windows, por lo que es fácil filtrar el nombre y la contraseña de la cuenta del sistema. Si la cuenta tiene ciertos derechos de administración, afectará la seguridad de todo el sistema. Configurarlo para permitir sólo conexiones anónimas puede evitar el riesgo de filtrar secretos durante la transmisión. Ingrese al sitio FTP predeterminado y seleccione esta opción en la pestaña Cuenta de seguridad de las propiedades.
4) Configure cuidadosamente el directorio de inicio y sus permisos
IIS puede configurar el directorio de inicio del sitio FTP como el directorio privado de otra computadora en la LAN, pero en la LAN, directorios compartidos pueden ser atacados fácilmente por virus infectados por otras computadoras. En casos graves, pueden incluso paralizar toda la red de área local. Como último recurso, es mejor utilizar un directorio local y configurar el directorio de inicio en una partición que no sea del sistema. Formato NTFS. De esta manera, al configurar permisos en directorios, se pueden configurar los permisos correspondientes para cada directorio según los diferentes grupos o usuarios. Haga clic con el botón derecho en el directorio que desea configurar, ingrese a Configuración de seguridad y uso compartido y no otorgue permisos de escritura a menos que sea necesario.
5) Intente no utilizar el número de puerto predeterminado 21
Habilite el registro para prepararse para consultar la causa cuando se produzca una anomalía.
2. Configuración de seguridad de Serv-u
En comparación con el servicio FTP de IIS, Serv-u hace un mejor trabajo en términos de seguridad.
1) Configura el servidor local
Primero, selecciona bloquear ataques FTP_bounce y XP. Por lo general, cuando se utiliza el protocolo FTP para la transferencia de archivos, el cliente primero envía un comando PORT al servidor FTP. El comando contiene la dirección IP del usuario y el número de puerto que se utilizará para la transmisión de datos. El comando La información de dirección de usuario proporcionada establece una conexión con el usuario. En la mayoría de los casos, el proceso anterior no causará ningún problema, pero cuando el cliente es un usuario malintencionado, el servidor FTP puede establecer una conexión con otras máquinas que no son cliente agregando información de dirección específica al comando PORT. Aunque es posible que el usuario malintencionado no tenga acceso directo a una máquina específica, si el servidor FTP tiene acceso a la máquina, el usuario malintencionado aún puede conectarse al servidor de destino a través del servidor FTP como intermediario. Este es FXP, también conocido como ataque entre servidores. Marque esto para evitar que esto suceda.
En segundo lugar, en la pestaña Avanzado, verifique si Cifrar contraseña y Habilitar seguridad están marcados; si no, selecciónelos. La contraseña cifrada utiliza la función Hash unidireccional (MD5) para cifrar la contraseña del usuario, y la contraseña cifrada se guarda en ServUDaemon. ini o registro. Si no se selecciona esta opción, las contraseñas de los usuarios se guardarán en texto sin cifrar en un archivo: Habilitar la seguridad habilitará la seguridad del servidor Serv-u con éxito.
2) Configure el servidor en el dominio
Como se mencionó anteriormente, FTP transmite contraseñas en texto claro de forma predeterminada, lo que es fácil de detectar para cuentas con permisos generales. No es peligroso, no es grande, pero si la cuenta tiene administración remota, especialmente derechos de administrador del sistema, otros controlarán todo el servidor de forma remota. Serv-u proporciona los siguientes tres tipos de seguridad para la contraseña de cada cuenta: contraseña de regla, OTP S/KEY MD4 y OTP S/KEY MD5. Los diferentes tipos tienen diferentes métodos de cifrado para la transmisión, siendo las contraseñas normales las que tienen la seguridad más baja. Ingrese la configuración de una cuenta con ciertos derechos administrativos, busque el cuadro de lista desplegable del tipo de contraseña en la pestaña General, seleccione el segundo o tercer tipo y guárdelo. Tenga en cuenta que cuando el usuario inicia sesión en el servidor con esta cuenta, el software del cliente FTP debe admitir este tipo de contraseña, como CuteFTP Pro, etc. Al ingresar la contraseña, seleccione el tipo de contraseña correspondiente para pasar la verificación del servidor.
De manera similar a IIS, también debe configurar el directorio de inicio y sus permisos con cuidado. Si no es necesario otorgar permisos de escritura que puedan modificar los archivos o directorios del servidor, intente no otorgarlos. Finalmente, ingrese el código fuente de configuración sky