FTP sunucusunun güvenliğini sağlama
FTP hizmeti, İnternette bulunan en eski ve en yaygın hizmetlerden biridir. Yukarıdaki hizmet, bir ağda dosya göndermek ve almak için kullanılır. FTP hizmeti genel internet kullanıcıları tarafından kullanılır ve çoğu işletim sistemi tarafından ağda (intranet, internet) dosya göndermek ve almak için bir standart olarak kabul edilir.
Windows 2000, IIS’nin bir parçası olarak kabul edilen bir FTP sunucusuyla birlikte gelir. Yukarıdaki hizmeti kullanarak ve onu Windows tarafından sağlanan diğer özelliklerle birleştirerek, sistem yöneticileri uygun bir güvenlik faktörüne sahip bir FTP sitesi oluşturabilecek ve yapılandırabilecektir.Bir FTP sitesinin güvenliğini sağlamak için birkaç öneri sunulmaktadır.
İlk nokta: Anonim hesap üzerinden erişimi devre dışı bırakın
Anonim erişim, ilk FTP sunucusunu kurduktan sonra varsayılan olarak etkinleştirilir. Yukarıdaki yöntem, özel bir hesaba ihtiyaç duymadan FTP sitesine erişme imkanı sağlar. Bu sayede kullanıcılar FTP sunucusunda bulunan kaynakları tamamen anonim olarak kullanabilecek ve sitenin trafiğini faydalı bir şekilde gözlemleme ve gerekirse takip etme imkanı kalmayacaktır. Sadece FTP sitesine erişim imkanı Geçerli bir hesabı olan kullanıcılara sunulacaktır.
İstediğiniz hesapların her birini tanımladıktan sonra, Erişim Kontrol Listesini (ACL) kullanarak FTP dizinine (FTP sitesinin fiziksel konumu) erişimle ilgili kontrolleri ve izinleri tanımlayabilir ve belirtebilirsiniz. Bu konuda NTFS izinleri kullanılabilir. Anonim hesabı devre dışı bırakmak için FTP sitesinin (İnternet Bilgi Hizmeti programı) Mülk sayfası üzerinden istediğiniz işlemi gerçekleştirebilirsiniz.
İkinci ipucu: Günlüğü Etkinleştir. FTP sitesine bağlanmak için günlüğe kaydetmeyi etkinleştirerek
Bu, siteye başarıyla bağlanan kullanıcılar hakkında gerekli bilgilerin (IP adresleri veya kullanıcı adları) sağlanmasını sağlayacaktır. Kaydedilecektir.Bu konuda oluşturulacak log dosyaları kullanılarak sitedeki trafik görülebilmekte ve herhangi bir saldırı durumunda ilk etapta takip edilebilmektedir. Yukarıdaki özelliği aktif hale getirmek için FTP sitesinin Property sayfasından ilgili Chex kutusunun seçilmesi yeterlidir, ardından belirtilen formata göre log dosyaları oluşturulacaktır. Günlük dosyalarını kullanmak, site trafiğini görüntülemek ve analiz etmek için çok faydalı olacaktır.
Üçüncü nokta: ACL listesinin ayarlanması ve yapılandırılması (erişim kontrol listesi)
FTP dizinine erişim, NTFS izinleri ve ACL kısıtlamaları kullanılarak kontrol edilmelidir. FTP dizini tüm yetki ve izinlere sahip olan Herkes grubuna sahip olmamalıdır (FTP sitesine bağlı olan izin ve kullanıcıları kontrol etmek mümkün olmayacaktır.)Bu amaçla ilgili dizinde yer almak gerekir. FTP sitesine ve Özellik ve Güvenlik Seçeneği seçeneklerini seçerek mevcut adları kaldırdı ve mevcut listeden Ekle düğmesini seçerek Kimliği doğrulanmış kullanıcıyı seçti. Aşağıda mevcut politikalara göre Okuma, Yazma ve Liste Klasör içerikleri ilgili gruba verilebilir. Mevcut politika gerektiriyorsa, ilgili gruba yazma erişimi sağlamak ve Klasör İçeriklerini Okuma ve Listeleme izinlerini onlardan kaldırmak mümkündür.
Dördüncü nokta: siteyi gönderen değil alıcı olarak yapılandırın
Kullanıcıların sadece sunucuya dosya göndermesi gerekiyorsa ve sunucudan dosya alma imkanı yoksa, FTP sitesi kör bağlantı olarak yapılandırılabilir.Sunucu verilir (bilgisayardan okuma yapılamaz). FTP dizini) Bu amaçla Home Directory üzerinden FTP sitesi seçildikten sonra istenilen ayarlar yapılabilir.
Beşinci ipucu: Disk Kotalarını Etkinleştirin
Windows 2000‘in sağladığı kolaylıkları kullanarak her kullanıcı için disk üzerindeki depolama kapasitesini veya paylaşımını belirlemek mümkündür.Varsayılan olarak bir dosyaya yazan her kullanıcıya sahiplik verilir. Aktifleştirip istenilen ayarları yaparak FTP sitesine yapılacak bir saldırı ile ilgili gerekli önleme (disk kapasitesinin doldurulması) yapılabilmektedir. Yukarıdaki durum yerine getirilirse, sorun disk depolama alanını kullanan diğer servislere yayılacaktır.
Kota Yönetimini etkinleştirmek için, istediğiniz sürücüye sağ tıklayın ve Özellik seçeneğini seçin ve son olarak Kota Sekmesi seçeneğini seçin.Yukarıdaki seçenek yalnızca NTFS bölümleriyle bağlantılı olarak kullanılabilir.Disk Kotasını kullanmak NTFS bölümleriyle sınırlıdır ve ayrıca sadece bir kullanıcı ile ilgili olarak kullanılabilir ve gruplarla ilgili olarak kullanılması mümkün olmayacaktır. Kota Girişleri butonunu seçerek yeni bir Giriş tanımlayabilir ve istenilen kısıtlamaları tanımlayabilirsiniz.
Altıncı nokta: Oturum Açma için zaman sınırını kullanın
Windows 2000 ile sağlanan özellikleri kullanarak, kullanıcıların ağa girmesi için belirli bir zaman tanımlamak mümkündür. Bu sayede kullanıcılar sunucuyu sadece belirtilen saatlerde kullanabilecektir.Yukarıdaki özellik FTP sitesine erişimi önemli ölçüde kontrol edecektir.Oturum açma süresini yapılandırmak için Active Directory Kullanıcıları ve Bilgisayarları programı kullanılır.Yukarıdakileri Etkinleştirdikten Sonra programı, istediğiniz kullanıcıyı seçin ve ilgili Emlak sayfasını görüntüledikten sonra Hesap Sekmesi üzerinden Oturum açma saatleri butonunu seçerek, kullanıcının sunucuyu kullanmak istediği zamanı belirleyebilirsiniz.
7. İpucu: IP adresine göre erişimi kısıtlayın
FTP sitesine erişmek için belirli IP adreslerine göre erişim kriterleri dikkate alınabilir. Yukarıdaki kısıtlamalar uygulanarak, siteye erişimi kontrol etmek için uygun önlemler alınacaktır. Yukarıdaki özelliği etkinleştirmek için İnternet Bilgi Servisleri programı üzerinden FTP sitesini seçtikten ve Özellik sayfasını görüntüledikten sonra Dizin Güvenliği Sekmesi seçeneğini seçin. Ardından, Reddedilen Erişim etkinleştirilir ve Ekle düğmesi kullanılarak onaylanmış IP adresleri tanıtılabilir.
Sekizinci nokta: Oturum açma olay kaydını denetleme
Hesap Oturum Açma olaylarıyla ilgili Denetimi etkinleştirerek, FTP sitesine bağlanmaya yönelik tüm başarılı veya başarısız girişimler, Olay Görüntüleyici ile ilgili Güvenlik günlüğü kullanılarak görüntülenebilir. Bu günlüğün periyodik olarak görüntülenmesi, bir siteye yapılan saldırıları keşfetme, tespit etme ve izlemede etkili bir faktör olabilir. (Davetsiz misafirlerin ve bilgi saldırganlarının tanımlanması). Yukarıdaki özelliği etkinleştirmek için Yerel Güvenlik İlkesi veya Grup İlkesi programı kullanılır (Programlar|Yönetimsel Araçlar). Yukarıdaki programı etkinleştirdikten ve Yerel Politikalar/denetim politikasında ayarladıktan sonra, Yerel Ayarı Başarılı ve Başarısız olarak değiştirebilirsiniz.
9. İpucu: Güçlü Parolayı Etkinleştirin
Karmaşık şifrelerin kullanılması, onaylanmış kullanıcılar için belirli bir hizmetin sağlanmasına ilişkin güvenliği artırmak için uygun bir yöntemdir. FTP sunucusunun konumu göz önüne alındığında, güçlü parolaların kullanılması FTP sitelerinin güvenliğini artırmada etkili bir faktör olabilir. Sistem yöneticileri, Windows 2000’de sağlanan özellikleri kullanarak, kullanıcıları güçlü parolalar kullanmaya zorlayabilir. Yukarıdaki özelliği etkinleştirmek için Yerel Güvenlik İlkesi veya Grup İlkesi programı kullanılır (Programlar|Yönetimsel Araçlar). Yukarıdaki programı etkinleştirip Hesap Politikası/Parola Politikası’nda ayarladıktan sonra, Parolalar Karmaşıklık Gereksinimlerini Karşılamalı seçeneği etkinleştirilebilir.
etkinleştirildikten sonra, tanımlanan hesapların her biri aşağıdaki koşullara ve kısıtlamalara tabi olacaktır:
Tanımlanan parola, kullanıcının hesap adının tamamını veya bir kısmını içeremez.
parolanın uzunluğu en az altı olmalıdır.
Tanımlanan parola, aşağıdaki dört gruptan üçünün karakterlerini içerebilir:
– Alfabeler A’dan Z’ye
– Alfabeler a-z
– Sıfırdan dokuza kadar rakamlar
– özel karakterler (%,#,$,!)
Onuncu ipucu: Hesap Kilitleme ve Hesap Kilitleme Eşiğini Etkinleştirin
Parolaları bilmek ve tanımak, çoğu saldırganın ve parola algılama programının favori konularından biridir.Windows 2000 ile sağlanan özellikleri kullanarak, ağ yöneticileri bir kullanıcının ağa kaç kez girmeye çalıştığını izleyebilir. ve işlemi başarılı olmaz ve yukarıdaki koşullar yerine getirilirse ilgili hesabın devre dışı bırakılması gerekir.
Ağ yöneticileri, yukarıdaki özelliği etkinleştirerek ve eşik seviyesini yapılandırarak, parola tanıma programlarının veya bilgi saldırganlarının kullanımını sınırlayabilir ve güvenlik faktörünü artırabilir. Yukarıdaki özelliği etkinleştirmek için Yerel Güvenlik İlkesi veya Grup İlkesi programı kullanılır (Programlar|Yönetimsel Araçlar). Yukarıdaki programı etkinleştirip Hesap Politikası/Hesap Kilitleme Politikası’nda kurduktan sonra Hesap Kilitleme süresi, Hesap kilitleme eşiği ve Hesap kilitleme sayacını sonra sıfırla ile ilgili gerekli ayarları yapabilirsiniz.