《(2020年)(售后服务)中国移动FTP服务器安全配置手册》由会员分享,可在线阅读,更多相关《(2020年)(售后服务)中国移动FTP服务器安全配置手册(35页珍藏版)》请在金锄头文库上搜索。
1、中国移动FTP服务器安全配置手册密 级:文档编号:项目代号:中国移动企业FTP服务器安全配置手册Version 1.0中国移动通信有限公司二零零四年十一月拟 制:审 核:批 准:会 签:标准化:第 3页 共 35 页版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取中国移动FTP服务器安全配置手册目 录1 FTP安全问题51.1 FTP概述51.2 FTP的包过滤(Packet Filtering)方式51.3 匿名FTP服务61.
2、4 FTP代理服务器61.5 FTP的安全问题71.5.1 FTP安全缺陷71.5.2 FTP易受的攻击72 IIS 5.0 FTP服务器的安全配置82.1 Windows 2000及IIS 5.0的安全配置82.1.1 Windows 2000安全配置82.1.2 IIS的安全配置122.2 IIS 5.0 FTP服务器的安全配置152.2.1 取消匿名访问功能162.2.2 启用日志记录162.2.3 正确设置用户访问权限172.2.4 启用磁盘配额172.2.5 TCP/IP访问限制192.2.6 合理设置组策略193 IIS 6.0 FTP安全配置213.1 概述213.2 系统服务2
3、13.3 安全设置223.3.1 仅安装必要的 IIS 组件223.3.2 仅启用必要的 Web 服务扩展223.3.3 在专用磁盘卷中放置内容233.3.4 设置 NTFS 权限243.3.5 设置 IIS Web 站点权限253.3.6 配置 IIS 日志263.3.7 保护众所周知帐户的安全273.3.8 保护服务帐户的安全283.3.9 用 IPSec 过滤器阻断端口283.4 IIS 6.0 安全加强最佳实践303.4.1 通用最佳安全实践303.4.2 IIS最佳安全实践304 Wu-FTP的安全配置314.1 禁止匿名登录324.2 新增用户334.3 让用户只能访问自身的hom
4、e目录334.4. 不能存取 shell344.5 确定wu-ftpd是否存在SITE EXEC安全漏洞345 安全检查列表35第 35 页 共 35 页1 FTP安全问题1.1 FTP概述FTP(File Transfer Protocol)即文件传输协议,用来从一台机器传送文件到另一台机器上。可以使用FTP来传送任何类型的文件,包括二进制文件、图形文件、ASCII文本文件、PostScript打印文件、音频及视频文件等。有两种类型的FTP访问,即有名和匿名FTP。有名FTP要求用户在服务器上有帐号,当他登录时他可以拥有他应该拥有的一切资源。匿名FTP是为了那些在服务器上没有帐号的人提供的,
5、主要是用来使用户访问一些公用资源。1.2 FTP的包过滤(Packet Filtering)方式包过滤即是只基于TCP/IP包的检测。FTP使用两个独立的TCP连接:一个在服务器和客户程序之间传递命令和结果(通常称为命令通道);另一个用来传送真实的文件和目录列表(通常称为数据通道)。在服务器上,命令通道使用众所周知的端口号21,数据通道为端口号20。客户程序则在命令和数据通道上分别使用大于1023的端口(根据TCP/IP协议,端口对应于INTERNET应用层,不同的应用层客户程序有其缺省的端口号,如FTP为20、21,HTTP为80)。在开始一个FTP的连接时,客户程序首先为自己分配两个大于1
6、023的TCP端口,它使用第一个端口作为命令通道端口与服务器连接,然后发出PORT命令(通常是PORT C,C,C,C,F,F,其中C,C,C,C为客户端IP地址,F,F为第二个端口号),告诉服务器它的第二个作为数据通道的端口号,这样服务器就能打开数据通道了。大多数FTP服务器(特别是那些用在INTERNET上的主要匿名FTP站点)和许多FTP客户程序都支持一种客户程序打开命令通道和数据通道来连接到FTP服务器的修改方式,这种方式被称之为反向方式或PASV方式。在使用反向方式时,一个FTP客户程序需要分配两个TCP端口供其使用。第一步同正常方式,但客户程序通过PASV命令代替原来PORT命令来
7、告诉服务器客户程序的第二个TCP端口。这样就能使服务器为本身的数据通道分配第二个TCP端口,并通知客户程序所分配的那个端口号。这时,客户程序就从它的数据通道的端口连接到服务器刚才通知它的那个端口上。通过FTP包过滤方式的分析可以知道,一个TCP连接可以从防火墙外部实现,即一个外部FTP服务器会接通一个到内部的客户程序的数据通道的连接,来响应从内部的客户程序发出的命令通道连接。正是这种方式,一方面可以允许客户程序通过FTP代理服务器连接其他FTP服务器,另一方面也给网络带来了不安全性。1.3 匿名FTP服务匿名服务(AnonymousService)的登录名用anonymous,而口令通常可用用
8、户的Email代替。正是这种服务方式方便了用户,但也不可避免地带来了问题,如客户登录后,往往能够获得一个可写目录(通常是/incoming),这样客户就可以通过PUT上载一个甚至是多个TXT文件,来达到其攻击该FTP服务器或其他FTP服务器的目的,虽然许多FTP服务器都限制匿名用户的权限,如执行权,而许多FTP服务器同HTTP服务器同装在一台机器上,那么匿名用户完全可以利用该可写目录运行命令调用HTTP服务器执行。1.4 FTP代理服务器通过FTP代理服务器连接到匿名服务器,而不是直接同其连接,主要基于两种原由:其一,无法直接连接,如防火墙的存在;其二,出于不被匿名服务器知晓其IP地址,或者基
9、于ATTACK,或者基于匿名服务器限制客户登录(通过限制IP地址范围)。所以对于防火墙内的客户来说,它必须首先运行FTP命令并通过作为主机的防火墙连接,连接完成后,必须说明用户名和连接的地点,在认证该地点确实允许之后,代理就与远程系统上的FTP服务器建立连接,用用户提供的用户名开始登录。然后远程服务器提示用户输入口令,如果口令正确则连接被允许。对于非防火墙内用户,它可以通过任意代理服务器来连接其目的服务器,并达到隐藏其地址的目的。因对于目标服务器而言,其知道的仅仅是代理服务器的地址。1.5 FTP的安全问题1.5.1 FTP安全缺陷1.5.1.1 用户欺骗FTP使用标准的用户名口令的认证方法。
10、这就使服务器不能可靠地确定一个用户是否他所声称的那个人。 1.5.1.2 明文传输默认情况下,口令以明文方式传输。这就使攻击者通过电子窃听获得口令。FTP会话没有加密因此没有隐蔽性。 1.5.2 FTP易受的攻击 1.5.2.1 FTP的跳(bounce)攻击FTP跳攻击的目标是配置为拒绝来自指定IP地址(或IP地址掩码)连接的主机。通常一个入侵者的IP地址正好在限制区域,因此他不能访问FTP服务器的目录。为了克服这种限制,入侵者使用另一台机器来访问目标机器。 为了实现这种方法,入侵者向中介FTP目录写一个文件,该文件包含有连接到目标机器并获得一些文件的命令。当该中介连接目标主机时,使用它自己
11、的地址(而不是入侵者的地址)。因此,目标主机信任该连接请求并返回要求的文件。 1.5.2.2 文件许可权限错误权限错误就是攻击者发现目标主机上错误的文件和目录权限获得特权甚至根用户访问权来达到入侵的目的。 1.5.2.3 SITE EXEC漏洞SITE EXEC漏洞就是在早期的wu-ftpd版本允许远程用户通过向21端口发起telnet会话获得shell。为了检查有没有该漏洞,启动一个与21端口的telnet对话并发出命令SITE EXEC。如果获得shell,就存在该漏洞。 2 IIS 5.0 FTP服务器的安全配置2.1 Windows 2000及IIS 5.0的安全配置2.1.1 Win
12、dows 2000安全配置2.1.1.1 基本要求l 确保所有磁盘分区为NTFS分区 l 操作系统、Web主目录、日志分别安装在不同的分区l 不要安装不需要的协议,比如IPX/SPX, NetBIOSl 不要安装其它任何操作系统l 安装Service Pack 4l 安装最新的hotfix 具体可参考微软网站: http:/ Windows 服务设置l 关闭所有不需要的服务* Alerter (disable) * ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Re
13、plicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Re
14、mote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable)l 在必要时禁止如下服务* SNMP service (optional)* SNMP trap (optional)* UPS (optionall 设置如下服务为自动启动* Eventlog ( required )* NT LM Security Provider (required)* RPC service (required)* WWW (required)* Workstation (leave service on: will be disabled later in the document)* MSDTC (required)* Protected Storage (required)2.1.1.3 删除 OS/2 和 POSIX 子系统: l 删除如下目录的任何键:HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2
