Re: 請問各位大大,為何很多人說FTP不安全
==> 在 Pea.bbs@bbs.ntu.edu.tw (小豆子) 的文章中提到:
> ==> snitm@kkcity.com.tw 提到:
> > 我的作業系統是2000server
> > 我還聽說如果對方的檔案夾帶病毒傳過來
> > 我們就沒輒了,這是真的嗎?
> > 難道防毒軟體管不到ftp嗎
> > (我們公司用的是趨勢的IMSS)
> > 請問如果不用ftp
> > 在傳送大檔案方面
> > 是否有更安全的替代方式
> 防毒軟體一般都是有產品定位的.
> 據我所知, IMSS應該是只在gateway端掃SMTP的Mail traffic.
> 如果要在gateway端分析ftp的traffic內容有無病毒, 那個是另一個產品(IWSS).
> 如果掃毒的點是在你自己的ftp server上, 那個應該是裝server上的防毒程式.
> 再講下去會變廣告.
> 檔案/password用明碼的缺點可以架類似secure shell的server,
> 然後請client端用scp這樣的程式來進行加密傳輸.
> 至於內容含不含毒, 那是另一個問題.那個應該要解密後再進行掃毒.
除了上面幾位講過的一些部分 我把我自己的一些心得提供給你參考
重複的部分我就不提了
FTP server CHECK LIST(是我自己訂的啦~~):
1. 注意所有帳戶的密碼是否強固 即不可和ID相同 不可過短......等等
2. 最好是以系統上的防火牆或額外的防火牆來完成連線存取控管 而不只是使用該FTP
server上內建的IP連線限制(像Serv-U上俗稱的鎖IP) 最好是兩個都用
3. 注意該FTP server上是否有系統預設的帳號或密碼 若這些帳號擁有特權的話更是要
注意 必須把這些帳號或密碼變更 或者是否能透過特定的port連線進去 就不需要
經過認證就可直接存取系統
4. 在使用者權限的設定上 謹記" 最低權限 "的原則 簡單的說就是沒必要讓某人或某
些人下載的的地方就不要開放權限 其他像是上傳 修改(包括刪除 寫入 建立)
甚至瀏覽也同樣是如此
5. 設定FTP server的事件紀錄 且知道該紀錄檔存放的位置並定時檢查一次(檢查的時間
請務必保密) 同時這些紀錄檔存放的位置也應該在所有連進FTP server的人(包括管
理員)所能存取到的範圍之外
---> 如果不是的話我建議你可以換一個FTP server........
6. 有關紀錄所有帳戶和密碼的檔案也要比照5. 的原則 並注意這些檔案的存取權限
還有這些檔案的內容是否經過編碼或加密
---> 如果沒有的話這個server也可以換了.......
7. 有些FTP server是採用和硬碟連結(link)的方式來讓FTP server能使用該連結區域
的資料(如Serv-U) 則應該會有個設定檔紀錄了它和哪個硬碟區域作連結 該檔案
最好也比照5. 的原則 如果真的不行 則該檔案的名稱也要予以" 偽裝 "
(disguise)
8. 絕大多數的FTP server都只允許所有帳戶在一個受限制的環境下來做所有操作(類似於
UNIX系列的Chroot或FreeBSD上的Jail) 要謹防任何帳戶逃出這個限制的環境 像是
利用在
cd ../某目錄 的輸入字串上加入" %20 "這一類的特殊字串來躲過受限制目
錄字串的比對
或是利用這一類程式的漏洞 經由Ptrace手法跟蹤未受限制的行程並植入惡意程式
來攻擊該FTP server 進而突破目錄限制甚至攻佔整個FTP server
---> 這是2002年起用來攻擊Linux上Chroot的手法
9. 找到該FTP server軟體的" 官方主站 " 並保持該FTP server軟體在最新版且安裝好
所有的安全修正檔(security patch) 且經常留意該軟體的消息
10. FTP server最好不要跟其他你認為重要的server一起架在同一台機器上 因為若該
機器的系統上有漏洞 攻擊者可以" 上傳 "他的攻擊程式(有經過壓縮或加密或加殼的)
到你的機器上再解壓縮後使用而變成本地(local)攻擊者 直接利用你機器上的Debug
工具來定位出精準的EIP位置
---> 這些動作你的NIDS(網路型IDS)可都無法掌握.......
以上是我自己的一點心得 希望能對你有用 ^^
當然如果有荒謬錯誤的地方還請各位前輩多多批評指正
--
* Post by EIPhunter from 61-226-102-171.dynamic.hinet.net
* Origin: ★ 交通大學資訊科學系 BBS ★ <bbs.cis.nctu.edu.tw: 140.113.23.3>
討論串 (同標題文章)
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章
