Безопасность FTP, NNTP и других служб IIS
Домашний каталог
До сих пор вы настраивали число пользователей, имеющих право на доступ к сайту, способ их аутентификации и создавали сообщение, отображаемое при входе. Теперь нужно определить, какие действия пользователи могут выполнять после установки соединения с сервером. Определите используемый FTP-сайтом каталог или виртуальный каталог на вкладке Home Directory (Домашний каталог) (см. рис.10.4). Никогда не используйте общее сетевое расположение, так как оно управляется посредством привилегий доступа учетной записи общего расположения. Это сделает настройку безопасного доступа к нему более сложной, чем управление, что не соответствует уровню риска. Если позволяет бюджет, установите FTP-сервер на другом сервере, нежели основной сервер IIS. В противном случае расположите корневые папки на другом томе. Это не только изолирует FTP-службу, но и упростит управление дисковыми квотами в Windows 2000 и разрешением на запись.
После выбора расположения каталога включите для него разрешение Read (Чтение) или Write (Запись). Если предоставить доступ к FTP-сайту для чтения, пользователь увидит физические каталоги и файлы, имеющиеся в домашнем каталоге, а также все созданные виртуальные каталоги, и сможет считывать и загружать любые файлы. Разрешение на запись позволит пользователям отгружать файлы на FTP-сайт. Если необходимо предоставить разрешение Write (Запись) для каталога, то присвойте это разрешение отдельному виртуальному каталогу, не имеющему разрешение на чтение. Это делается по той причине, что предоставление анонимным пользователям права на чтение и запись в один и тот же каталог создает так называемый warez-сайт. Хакеры используют такие сайты для отгрузки пиратского программного обеспечения или музыкальных файлов, что обеспечит вам серьезные проблемы, связанные с авторскими правами. Разрешение Read (Чтение) для отгруженных файлов присваивайте только внутренним пользователям с соответствующими правами.
Сценарии аутентификации
Изучите следующие сценарии аутентификации перед разрешением или запретом анонимного подключения к FTP-сайту.
Все пользователи осуществляют доступ к FTP-сайту из интернета. Следует разрешить только анонимные подключения, что запретит использование реальных имен пользователей и паролей посредством отправки их в открытом виде через интернет.
Все пользователи осуществляют доступ к FTP-сайту через локальную сеть. Необходимо, чтобы каждый пользователь входил в систему под своей учетной записью, и использовать функции безопасности NTFS для управления разрешениями на доступ. Если нет уверенности в том, что сеть является доверенной (что реально для сети небольшого размера), то используйте только анонимные подключения для запрета передачи паролей в открытом виде.
Пользователи доверенной сети по умолчанию входят в собственный подкаталог FTP. Отключите опцию Allow Anonymous Connections (Разрешить анонимные подключения) и создайте учетную запись Windows для каждого из пользователей. Присвойте учетным записям Administrators (Администраторы) и System (Система) право Full Control (Полный доступ) и удалите группу Everyone (Все пользователи). Создайте подпапку для каждого пользователя, наследующую параметры безопасности корневой папки, добавьте пользователя, использующего папку, и присвойте ему право Full Control (Полный доступ).
Пользователи осуществляют доступ к FTP-сайту как из интернета, так и из локальной сети. Из-за ограничений протокола FTP следует разрешать только анонимные подключения, чтобы локальные пользователи не передавали свои пароли в открытом виде.
FTP-сайт позволяет пользователям обмениваться конфиденциальными файлами. Необходимо установить сертификат сервера и предоставить пользователям такую программу, как SecureFX от Van Dyke Software, расположенную по адресу www.vandyke.com/products/securefx/. Программа SecureFX обеспечивает соединение SFTP (Безопасный FTP) посредством шифруемого SSH2-соединения, защищающего весь трафик от сетевого прослушивания. В качестве альтернативы можно использовать сетевые экраны типа Microsoft ISA Server, работающие через протокол IPSec, для шифрования FTP-трафика и аутентификации пользователей посредством входных данных их учетных записей Windows.
Важно. Используйте для FTP-каталогов файловую систему NTFS. Файловая система FAT поддерживает безопасность только на уровне общего расположения.
Разрешения папок и файлов
Настройка разрешений на вкладке FTP Site (FTP-сайт) или Virtual Directory (Виртуальный каталог) не может игнорировать атрибуты безопасности NTFS рассматриваемого каталога или находящихся в нем файлов. Если разрешения NTFS для каталога установлены только на чтение, то даже при наличии доступа на чтение и запись во вкладке Directory (Каталог) пользователь сможет осуществлять доступ только для чтения.
В настоящий момент пользователям предоставлены самые ограниченные права. Следует просто добавить пользователей, которым нужен доступ к каталогу FTP, и присвоить им минимальные разрешения. Пользователи должны обладать привилегией локального входа, а также разрешением Read (Чтение) или Write (Запись). Не предоставляйте им право Access this Computer from the Network (Осуществлять доступ к этому компьютеру из сети), которое позволяет обходить службы Web, FTP или Gopher.
Важно. Предоставление права Access this Computer from the Network позволяет пользователю обходить службы FTP для подключения к серверу. Это обстоятельство не соответствует одному из важных условий безопасности IIS. При входе клиента на сервер доступ пользователя ограничивается домашним каталогом FTP и его подкаталогами. Это хороший метод управления областями, к которым имеет доступ пользователь.
Безопасность каталога
С помощью этой вкладки можно ограничить доступ по IP-адресам пользователей. По умолчанию доступ к FTP-сайту разрешен со всех IP-адресов, но иногда нужно установить доступ только с IP-адресов, лежащих в определенном диапазоне; этими пользователями могут быть, например, клиенты компании или пользователи интранет-сети. Это можно сделать через блокировку доступа со всех компьютеров с последующим указанием доверенных IP-адресов в виде исключений (см. рис. 10.5).
Можно сделать наоборот – разрешить всем компьютерам доступ к сайту, после чего указать отдельные компьютеры, доступ с которых запрещен. Это полезно в случае, если в результате анализа журналов системы выявлены подозрительные действия с определенного IP-адреса и нужно запретить доступ к сайту с соответствующего компьютера. Можно запретить доступ и по имени домена, чтобы конкурентам с сайта rival.com был недоступен ваш FTP-сайт.
Совет. При запрете доступа к FTP-сайту по имени домена служба FTP будет работать медленнее, так как FTP-серверу теперь придется выполнять обратный поиск и определять, является ли IP-адрес компьютера, с которого осуществляется попытка доступа, запрещенным для доступа
FTP повышает общую эффективность интернет-служб, однако следует в обязательном порядке изменить настройки по умолчанию для обеспечения безопасности службы и определить, как и кем она будет использоваться.